These forums have been archived and are now read-only.

The new forums are live and can be found at https://forums.eveonline.com/

Informationen und Bekanntmachungen

 
  • Topic is locked indefinitely.
 

Entwickler-Spotlight: Wer ist eigentlich CCP Random?

First post
Author
Previous Topic Next Topic
CCP Shadowcat
C C P
C C P Alliance
#1 - 2015-10-29 14:24:20 UTC  |  Edited by: CCP Phantom
In unseren Entwickler-Spotlights stellen wir euch die deutschsprachigen Mitarbeiter bei CCP Games näher vor. Anders als bei einem Devblog stehen hier jedoch nicht kommende Features im Fokus, sondern die Personen, die ihre Heimat auf dem Festland zurückgelassen haben, um in der vulkanischen, kalten Einöde von Island an eurem Lieblingsspiel zu arbeiten.

In diesem Spotlight stellen wir CCP Random vor, der der als Sicherheitsingenieur die Informationssicherheit bei CCP gewährleistet. Den kompletten Beitrag findet ihr hier: http://community.eveonline.com/de/community-spotlight/ccp-random/

Wenn ihr nach Lesen des Eintrags noch unbeantwortete Fragen habt, könnt ihr sie CCP Random gerne in diesem Thread stellen! Beachtet jedoch, dass aus Zeitgründen nur eine begrenzte Anzahl an Fragen beantwortet werden kann.

Viel Spaß!
  • CCP Shadowcat (=^・^=)

Señor German Linguistic Owner |  @CCP_Shadowcat
CCP Bugartist
C C P
C C P Alliance
#2 - 2015-10-29 14:34:28 UTC  |  Edited by: CCP Bugartist
Quote:
Jetzt seid ihr an der Reihe: Was wolltet ihr CCP Random schon immer mal fragen?

Can I haz your stuffz? Big smile

Spass bei Seite. Danke fuer deinen super Einsatz bei CCP bis dato. Ich kann bestaetigen das es meist Freude bringt mit dir zu arbeiten.

Und jetzt los, stellt ihm ein paar Fragen die ihn aus der Reserve locken ;)


Gruesse,
Euer CCP Bugartist
Samsara Toldya
Academy of Contradictory Behaviour
#3 - 2015-10-29 15:16:56 UTC
CCP Bugartist wrote:
Und jetzt los, stellt ihm ein paar Fragen die ihn aus der Reserve locken ;)


Aus der Reserve locken... ich versuch's!

Also CCP Random... habe mich gerade mal kurz in die Kundenkartei von CCP eingeloggt und sehe 3 mit deiner Kreditkarte verbundene EVE-Online Accounts - spielst du die alle regelmäßig?

Warum hat der Benutzer 'root' kein Passwort vergeben? Da ist ja eine Data Site im Nullsec schwerer zu hacken als eure Kundenkartei...

Ok, jetzt ernsthaft:
Viele (unzählige) CEOs von Corporations in EVE-O fragen/betteln schon seit Jahren darum, das Sicherheitsnetzwerk ihrer Corporations besser schützen zu können. Mit den neuen Strukturen wird sich da vielleicht etwas verbessern. Holt sich das für die Corprechteverwaltung zuständige Dev-Team bei euch Ratschläge und/oder lässt euch versuchen das Rechtesystem zu 'hacken' / auszuhebeln? QA ist dafür ja eigentlich zuständig, aber die IT-Police hat vielleicht mehr Erfahrung mit der Ausnutzung.

Wie stehst du persönlich zum relativ neuen SSO System? Mir persönlich stellen sich noch immer die Nackenhaare, wenn eine Webseite / Application mir ein Browserfenster öffnet und nach Accountname + Passwort fragt. Es fühlt sich an wie Phising Mails, die einen auch recht leicht auf täuschend echt nachgemachte Webseiten locken um Accountname + Passwort zu erhalten... im Grunde warte ich täglich darauf, dass so etwas auch mal passiert...

Weiteres Thema Sicherheit - der neue Beta-Launcher erlaubt nun erstmals die Passwörter zu speichern, selbst wenn der Inhaber keine Zwei-Wege-Authentifizierung aktiviert hat - lokal gespeicherte Passwörter... bequem für den Nutzer, aber aus Sicht der IT Security kein Horror?

Die neue Hardware für TQ wurde vorgestellt - gibt es da auch neue Versuche DDoS & Co besser abzuwehren?
CCP Random
C C P
C C P Alliance
#4 - 2015-10-29 16:42:08 UTC  |  Edited by: CCP Random
Hi Samsara,



Danke für die Fragen. Ich schau mal ob ich die alle beantworten kann. Bugartist meinte es sicherlich nicht so ernst Pirate

Samsara Toldya wrote:

Also CCP Random... habe mich gerade mal kurz in die Kundenkartei von CCP eingeloggt und sehe 3 mit deiner Kreditkarte verbundene EVE-Online Accounts - spielst du die alle regelmäßig?


Seit ich bei CCP bin spiele ich seltener EVE.
Nach Feierabend möchte man auch mal was anderes machen, und als Dev oder GM hat man möglicherweise Zugriff auf zu viele Infos.

Quote:

Warum hat der Benutzer 'root' kein Passwort vergeben? Da ist ja eine Data Site im Nullsec schwerer zu hacken als eure Kundenkartei...


Hmh, ich dachte dazu braucht man nen Pre-Shared Key und multiple Authenzifizierungsfaktoren Lol

Quote:

Holt sich das für die Corprechteverwaltung zuständige Dev-Team bei euch Ratschläge und/oder lässt euch versuchen das Rechtesystem zu 'hacken' / auszuhebeln? QA ist dafür ja eigentlich zuständig, aber die IT-Police hat vielleicht mehr Erfahrung mit der Ausnutzung.


Im Internet, in EVE, bei CCP gibt es keine "IT-Police". Wir - CCP InfoSec - arbeiten mit EVE Programmierern und Designern zusammen. Dadurch werden viele Fehler vermieden, aber evtl. nicht alle. Wenn irgendetwas auftaucht, was gefixt werden muss, hilft CCP und allen EVE Spielern eine Mail an security@ccpgames.com .

Quote:

Wie stehst du persönlich zum relativ neuen SSO System? Mir persönlich stellen sich noch immer die Nackenhaare, wenn eine Webseite / Application mir ein Browserfenster öffnet und nach Accountname + Passwort fragt. Es fühlt sich an wie Phising Mails, die einen auch recht leicht auf täuschend echt nachgemachte Webseiten locken um Accountname + Passwort zu erhalten... im Grunde warte ich täglich darauf, dass so etwas auch mal passiert...


Da sollte sich nicht nur ein Browser-Fenster öffnen, sondern die URL Bar bei Chrome/Firefox/IE usw. sollte ein EV SSL Zertifikat anzeigen. Das sieht neuerdings etwas anders aus:

[img]http://i.imgur.com/tUhFGrv.png[/img]

Weiteres dazu steht im Dev Blog: https://community.eveonline.com/news/dev-blogs/eve-online-sso-and-what-you-need-to-know/

Die Bilder unterscheiden sich geringfügig.

Quote:

Weiteres Thema Sicherheit - der neue Beta-Launcher erlaubt nun erstmals die Passwörter zu speichern, selbst wenn der Inhaber keine Zwei-Wege-Authentifizierung aktiviert hat - lokal gespeicherte Passwörter... bequem für den Nutzer, aber aus Sicht der IT Security kein Horror?


Stand heute: der speichert keine Passwörter, sondern generiert Login Tokens mit einer relativ langen Lebensdauer. Wir arbeiten daran hier eine Balance zwischen Sicherheit und Kompfort zu erreichen. Denn natürlich können auch die gespeicherten Tokens auf ungewollte Weise den Rechner verlassen.
2-Faktor Authenzifizierung wird im neuen Launcher besser unterstützt. Ich empfehle 2-Faktor Authenzifizierung zu aktivieren.

Mehr dazu hier:
https://community.eveonline.com/news/dev-blogs/two-factor-authentication/

Quote:

Die neue Hardware für TQ wurde vorgestellt - gibt es da auch neue Versuche DDoS & Co besser abzuwehren?


Im neuen Dev Blog zu TQ Tech III haben wir kurz erklärt, dass wir ein "Network Upgrade" vornehmen. Wenn man sich die Statistiken zu DDoS Angriffen ansieht, sieht man, dass die Volumen immer größer werden.

Die neue Hardware ist für das Vermitteln und Einschalten der Mitigationsmaßnahmen besser spezifiziert. Weiterhin können wir unsere Ansätze zu Intrusion Detection moderner integrieren.


//Random
Jezaja
turaagaq
#5 - 2015-10-29 17:59:45 UTC  |  Edited by: Jezaja
*Quietsch* Team Security <3 *kreisch*

Ok, jetzt etwas professioneller:



1) Bier oder Wein?

2) "Denunzianten", "Verräter","Abschaum" oder Drohungen die sich aufs RL beziehen sind nur einige der Dinge, die sich Spieler anhören müssen, wenn sie zugeben einen anderen Spieler wegen Bottens, Exploiting oder Nutzung von 3rd Party-Software gemeldet zu haben.
Welche "Kultur" wünscht ihr Euch da? Sollen die "Melder" auch Mal ein Auge zudrücken? Sollen die "Cheater" einfach zwischendurch "einpacken+docken" solange andere Spieler in der Nähe sind?

3) Mosaic hat uns die Two-Factor Authentification beschert. Wieviele Spieler nutzen das eigentlich?

4) Wie beruhigst du deine Nerven bei einer DDOS Attacke?

5) Eine Corp"teilt" sich einen Rorqualaccount um den Miningboost im Erzgürtel ständig aktiv zu haben? Geht ihr gegen so etwas vor?

6) Wieviel Prozent der (permanent)gebannten Spieler versuchen gegen diese Entscheidung vorzugehen?

Broadcast4Reps!

......

www.giantsecurecontainer.de

......

Deutsches EVE Blogpack: www.eveblogs.de
CCP Random
C C P
C C P Alliance
#6 - 2015-10-29 18:51:05 UTC
Jezaja wrote:

1) Bier oder Wein?


Mein Schreibtisch ist CCP-weit am nächsten zur sogenannten Beer Cave. Das ist ein Geheimraum, mit einem derzeit mal wieder fast leeren Kühlschrank.

Quote:

2) "Denunzianten", "Verräter","Abschaum" oder Drohungen die sich aufs RL beziehen sind nur einige der Dinge, die sich Spieler anhören müssen, wenn sie zugeben einen anderen Spieler wegen Bottens, Exploiting oder Nutzung von 3rd Party-Software gemeldet zu haben.


Das Problem ist, dass Spieler das Reporting als taktischen Teil des Spiels begreifen möchten. Es ist aber, abgesehen von wirklich frechen Fällen, schwer in EVE einen Bot zu erkennen. Dazu kommen noch die Trolle, die so tun als wären sie Bots. Dadurch kann es seltsame Situationen geben.
Aber direkt bekommt der "Bot"-Verdächtige den Report nicht automatisch mit. Wenn man das aus den Konversationen, speziell aus den Chats raus hält, sollte es keine Probleme geben.

Quote:

Welche "Kultur" wünscht ihr Euch da? Sollen die "Melder" auch Mal ein Auge zudrücken? Sollen die "Cheater" einfach zwischendurch "einpacken+docken" solange andere Spieler in der Nähe sind?


Manche Botter haben schon Besuch von der sagenumwobenen Polaris Enigma Frigate bekommen. Es muss nicht so weit kommen, dass die Kollegen undocken müssen.
Daher möchten wir Cheater rechtzeitig banen, und vor allem verhindern dass es durch das Exploiten oder Bot-Farming zum Verkauf von ISK oder Items kommt.

Quote:

3) Mosaic hat uns die Two-Factor Authentification beschert. Wieviele Spieler nutzen das eigentlich?


Da planen wir eine bessere Integration. In den CSM Meetings und bei den Fanfest Roundtables haben viele Spieler angedeutet, dass sie es erst aktivieren, wenn es voll-umfassend ist. Das schließt dann ein, dass ohne Launcher kein 1-Faktor Login mehr möglich ist, sofern der 2. Faktor aktiviert ist.
Die Zahen möchten nächstes Fanfest veröffentlichen.

Quote:

4) Wie beruhigst du deine Nerven bei einer DDOS Attacke?


Oder wie werde ich nachts richtig wach, wenn der Alarm rein kommt? P
Das Schwierige ist zu identifizieren was genau es ist. Manchmal muss man anpassen wie man die Mitigations-Mechanismen definiert, sodass sie auch wirken. Sonst, siehe Antwort 1.

Quote:

5) Eine Corp"teilt" sich einen Rorqualaccount [...]


Die Probleme bei Account Sharing fangen ja an, wenn es nicht läuft wie geplant. Wenn z. B. jemand den Account übernimmt, den Rorqual verkauft, oder wegen des Account-Sharing schwache Passwörter benutzt werden.

Quote:

6) Wieviel Prozent der (permanent)gebannten Spieler versuchen gegen diese Entscheidung vorzugehen?


Bei mir hat sich keiner beschwert Bear Das Banen von Spielern ist nicht direkt mein Thema. Ich beschäftige mich zwar mit analytischen Ansätzen zur Erkennung, aber nicht mit Account-Sperren.

// Random
Tineoidea Asanari
Liga Freier Terraner
Northern Coalition.
#7 - 2015-10-29 20:47:36 UTC
Ich muss enttäuscht feststellen, dass in diesem Thread die vitale Frage, die man jedem CCP Mitglied eigentlich automatisch stellen sollte, bisher fehlt.

Hund oder Katze?
Jezaja
turaagaq
#8 - 2015-10-29 21:04:16 UTC
Ich tippe auch hier ganz stark auf Katze (oder Goldfisch)
Eigentlich will ich bei der Einstiegsfrage immer variieren und hab sie nachträglich auch editiert. War wohl etwas zu langsam Roll

Broadcast4Reps!

......

www.giantsecurecontainer.de

......

Deutsches EVE Blogpack: www.eveblogs.de
CCP Random
C C P
C C P Alliance
#9 - 2015-10-29 21:28:13 UTC
Jezaja wrote:
Ich tippe auch hier ganz stark auf Katze (oder Goldfisch)


Knapp daneben... - Hatte lange einen Dackel Shocked