Security Risk: Passwords being stolen
Author: Kagome
Submitted by: Kagome   Date: 2009-09-13 01:45
Comments: (13)   Ratings:
If you are new on the ESE Website please read following Links first!
AccManager Release News: http://www.ese-protect.de/homepage/page.php?id=73
Client Release News: http://www.ese-protect.de/homepage/page.php?id=78
ESE BetaServers: http://ese-protect.de/downloads/Servercheck8.php

ESE Serverfilerequest: http://www.ese-protect.de/downloads/Serverrequest.php


[German below | Die deutschsprachige News folgt nach der weißen Trennlinie]

Admin and SemiAdmin password stealing

There is a rumor out there of a special Gameserver stealing your Adminpassword and SemiAdminpassword(s) from your User.ini (if you have passwords located in there).

IF TOSTProtect uploads your .INI on TOST43 Servers, TOSTProtect removes the Passwords in the Logfiles.
It seems to be that there is currently a Mutator on one Gameserver which uploads the User.ini too, but don't remove the Passwords!! So it is possible for the ServerAdmin to read your Passwords.

Solution for this Problem:
First of all:
- change all SemiAdminpasswords / Adminpasswords on your Gameserver
- remove in your User.ini [this file is located where the TacticalOps.exe is] lines like "key=salogin mySecretPassword" or "Key=Adminlogin mySecretPWtoo".
- remove a Password if you have a password after "key=salogout" / "key=adminlogout" (yes some people want to use a password to logout ....... there is no need of a Password for logging out!)

IF you want to safely use Keybinds for logging in to prevent that you type your password by accident with "say" command:
Replace the "key=salogin password" line with "key=quickconsole salogin" - without a password at the end.
NOW if you hit this key in-game, there will be written "salogin" where normally the say command appear. Now you need only to enter your password and can login fast and securely.

quickconsole is working for 'whisper', 'adminlogin', any anything else too.

We would appreciate if the community can acknowledge this news item and inform any friends/family whom may have been a victim of this scandal; where possible, notifying other TacticalOps game leagues, community forums/sites and clan HPs.

Thank you.

Contact:
Forum @ http://www.ESE-Protect.de
IRC QuakeNet #ESE

ESE-Team



Sollten Sie neu auf der ESE Website sein, lesen sie bitte folgende Links zuerst:
AccManager Release News: http://www.ese-protect.de/homepage/page.php?id=73
Client Release News: http://www.ese-protect.de/homepage/page.php?id=78
ESE BetaServers: http://ese-protect.de/downloads/Servercheck8.php



Hell0,

Admin und SemiAdmin Passwort Diebstahl

Derzeit gibt es einige Gerüchte, dass ein spezieller Gameserver das Admin und SemiAdminpasswort aus der User.ini klaut wenn es in der User.ini gespeichert wurde.

Wenn TOSTProtect die User.ini auf TOST43 Servern hochgeladen hatte, hatte TOSTProtect das Passwort in den Logfiles entfernt.
Es sieht so aus, dass es derzeit einen Mutator auf einem Gameserver gibt, welcher die User.ini auch hochlädt, aber nicht das Passwort entfernt. Dadurch ist es für den Serveradmin möglich, die Passwörter auszuspähen.


Lösung für dieses Problem:
Als allererstes:
- ändert alle SemiAdminpasswörter / Adminpasswörter auf dem Gameserver
- entfernt aus eurer User.ini (Die ist in dem Ordner wo die TacticalOps.exe ist) Zeilen wie "Taste=salogin meinGeheimesPasswort" oder "Taste=Adminlogin AucheinGeheimesPW".
- entfernt das Passwort, wenn es nach "Taste=salogout" / "Taste=adminlogout" folgt. (ja, es gibt einige die sich mit dem Passwort ausloggen wollen - es wird kein Passwort benötigt um sich auszuloggen!)

Wenn man sicher gehen möchte, dass man nicht aus versehen per Say-Befehl das Passwort mal auf einem Server rausblubbert kann man folgenden Keybind nutzen :
Ersetze die "taste=salogin Passwort" Zeile mit "Taste=quickconsole salogin" - ohne ein Passwort am ende.
Wenn man nun ingame diese Taste drückt, dann wird in der quickconsole, wo normalerweise der say-Befehl auftaucht um dann einen Text einzugeben, "salogin" stehen. Anschließend muss man nur noch das Passwort eingeben und ist fertig.

quickconsole funktioniert auch für 'whisper', 'adminlogin', und noch vielem mehr.

Wir wären dankbar, wenn die Community diese News befolgen würde und jeder Freunde, Familien, Clans, Community Websites, wen auch immer, der TO spielt, darüber informiert bevor es zu weiteren Vorfällen dieser Art kommt.

Danke.


Kontakt:
Forum @ http://www.ESE-Protect.de
IRC QuakeNet #ESE

ESE-Team