goal4glory Entwickler

Blog für den realistischen Fussball Manager

Projekt

Sicherheit im Fussball Manager Online

Sicherheit im Fussball Manager

Eine sichere Website als Grundlage

6 min Lesedauer

Bereits bei der Konzeptarbeit war uns die Website Sicherheit unseres Spiel ein zentrales Anliegen um Spielmanipulationen möglichst auszuschliessen. Cheatern soll das Leben möglichst schwer gemacht werden.

Wie aus einer Studie über Cyber-Bedrohungen im Jahr 2018 hervorgeht, sind gehackte Webanwendungen häufig ein Problem. 1 Gehackte Websites können für eine Vielzahl von Zwecken genutzt werden:

  • Verteilung von Malware
  • Diebstahl von Daten
  • Veröffentlichung von Anzeigen oder verbotenen Informationen
  • Begehung von Betrug
  • Eindringen in ein internes Netzwerk.

Die häufigsten Angriffe ändern sich dabei von Jahr zu Jahr nur minimal. SQL Injection, Path Traversal und Cross-Site Scripting stehen weiterhin ganz oben auf der Liste. Diese drei Angriffsarten machen zusammen mehr als die Hälfte aller erkannten Cyberangriffe aus

Website Sicherheit ist daher auch generell ein heisses Thema, da die Angriffe zunehmen und immer raffinierter werden. Auch als kleiner Website- oder Blog-Betreiber ist man immer gefährdet.

In diesem Artikel zeigen wir euch die Grundlegenden Anforderungen an die Sicherheit einer Webseite. Insbesondere um diese vor Hacker-Angriffen zu schützen und so zu verhindern, dass fremde Inhalte die Webseite verunreinigen. Wir versuchen dabei möglichst einfach und verständlich zu bleiben.

Im Zentrum steht dabei natürlich eine technisch aktuelle Website, welche sich an den aktuellen Entwicklungen orientiert. Zusätzlich werden die Bereiche Design, Technik und Sprache von einander getrennt. Dies ermöglicht schnelle Anpassungen, sollten diese notwendig sein.

Verhindern von Manipulationen des Spiels

Nichts ärgert einen so sehr, wie gegen Cheater das Nachsehen zu haben und zu verlieren. Um das Spielerlebnis möglichst ausgewogen zu gestalten, erschweren wir technisch den Zugriff von Zusatzprogrammen und Bots. Weitere Schutzmassnahmen sind durch technische und spielspezifische Elemente implementiert.

Sollte dennoch ein Cheater oder Bot durch diese Maschen fallen, haben wir Überwachungstools geschrieben. Diese machen kontinuierlich Jagd nach diesen ungebetenen Zeitgenossen.

Massnahmen gegen Cheater

Durch Spielinterne Massnahmen möchten wir weiter gegen Cheater vorgehen. So werden gewisse Aktivitäten, wie Transfers von Spielern, automatisiert überwacht und ausgewertet. Verdächtige Aktionen werden anschliessend durch die Spielleitung verifiziert und mit anderen Daten abgeglichen.

Bereits in der ersten Ausgabe unseres Online Fussball Manager hatten wir ein ähnliches System in betrieb. Dieses war erfolgreich und hat unzählige Cheating Versuche zum Vorschein gebracht. Basierend auf unseren Erfahrungen haben wir das System noch weiter verfeinert und angepasst.

Unsere Massnahmen werden zudem regelmässig durch eigene Tests und externe Überprüfungen verifiziert und den aktuellen Gegebenheiten angepasst. Dadurch soll unser Fussball Manager Spiel auch in Zukunft für alle Spieler die gleichen Chancen bieten. Cheatern soll das Leben möglichst schwer gemacht werden.

Aufgrund dieser Punkte bieten wir keine Möglichkeiten für externe Tools an. Stattdessen möchten wir die Nutzer anhalten, sich aktiv an der Entwicklung unseres Bundesliga Managers zu beteiligen.

Verhindern von Angriffen auf die Website

Cross-Site Scripting (XSS)

Cross-Site Scripting (XSS) Angriffe bringen eine Website dazu, schädlichen Code zusammen mit dem beabsichtigten Inhalt zu liefern. Das Problem dabei ist, dass Browser dem gesamten Code vertrauen der mit der Seite ausgeliefert wird.

Mittels dem HTTP-Header “X-Frame-Options”2 verhindern wir die Einbindung unserer Seite auf anderen Seiten (mittels Frame oder Iframe). Somit behalten wir die Kontrolle darüber, welche Inhalte im Hintergrund geladen werden.

Content Security Policy (CSP)

Content Security Policy (CSP) ermöglicht die genaue Kontrolle darüber, von wo Ressourcen auf die Website geladen werden können. Die Verwendung dieses Headers ist die beste Methode, um Cross-Site Scripting (XSS)-Schwachstellen zu vermeiden.

Der Hauptvorteil von CSP besteht darin, die Verwendung von unsicheren Inline JavaScript zu deaktivieren. Inline JavaScript bedeutet, dass unsachgemässe Eingaben durch Benutzer Code erzeugen können, der vom Webbrowser als JavaScript interpretiert wird. Durch die Verwendung von CSP können fast alle XSS-Angriffe auf einer Website effektiv beseitigt werden.

Sicherheit durch HTTPS/SSL

Eines der wichtigsten Elemente, welches für moderne Webanwendungen erforderlich ist, ist HTTPS. Dieses wird manchmal auch als sicheres HTTP bezeichnet.

Einige Leute glauben fälschlicherweise, dass HTTPS nur auf Websites mit vertraulicher Kommunikation verwendet werden muss. 3 Aber das ist nicht wahr: Jeder sollte HTTPS verwenden. HTTPS hilft, zu verhindern, dass jemand in die Verbindungen hineinhört oder die Übertragung manipuliert.

Mögliche Szenarien

Ein Ebenenmodell dient dazu, die Zuständigkeiten für die einzelnen Teilaufgaben bei der Konzeption der Sicherheit zuzuordnen. Ausgangspunkt ist eine Unterteilung in fünf Ebenen:

  • Semantik
  • Logik
  • Implementierung
  • Technik, des Systems sowie der Ebene “Netzwerk und Host”.

Es gibt dabei unzählige Möglichkeiten, Schwachstellen in einer Webanwendung zu finden und diese auszunutzen. Auf Wikipedia befindet sich eine Liste von allgemein bekannten und oft benutzten Angriffen im Zusammenhang mit Webanwendungen.

Als Betreiber einer Website ist es daher notwendig, die Gegenmassnahmen für die üblichsten Angriffe zu ergreifen. Die Liste ist allen nahezulegen, welche ihre eigene Seite absichern möchten. Insbesondere auch, weil einige der hier aufgezeigten Massnahmen gegen die gängigsten Angriffe aus 2018 schützen.

Liegt euch eure Sicherheit auch am Herzen? Beweist eure Fähigkeiten im sicheren Online Fussball Manager.

Related Post
Echte Vereine und Spieler im Fussball Manager oder nicht?

Unsere Userbefragung erhält immer wieder Antworten mit dem Wunsch, echte Spieler und echte Vereine einzubinden. Die (indirekte) Forderung, entsprechende Lizenzen zu erwerben, nehmen wir zur Kenntnis. In diesem Blogbeitrag möchten Weiterlesen

Vorstand und Vereinsphilosophie – das Salz in der Suppe

Das Berufsbild des Fussball Managers wird vor allem auch durch die Erwartungen des Vorstands geprägt. Dies soll es auch in goal4glory sein. Als Manager ist man gezwungen den Ansprüchen der Weiterlesen

Internationale Wettbewerbe

Ob bei Real Madrid, dem FC Barcelona oder bei Eintracht Frankfurt: Internationale Wettbewerbe faszinieren seit ihrer Entstehung die Fussballfans auf der ganzen Welt. Die aktuellen Formate der UEFA Champions League Weiterlesen

Nationale Wettbewerbe und Wertungen

Ihr habt eure Mannschaft trainiert, in Freundschaftsspielen getestet und seid bereit für den Ernstkampf, doch welche nationalen Wettbewerbe gibt es überhaupt? Im heutigen Blogbeitrag möchten wir euch die nationalen Wettbewerbe Weiterlesen

Fussball Manager entwickeln – goal4glory sucht Dich!

Du wolltest schon immer einmal einen eigenen Fussball Manager entwickeln? Dann könnte dies deine Chance sein! goal4glory hat es sich zum Ziel gemacht den realistischsten Online Fussball Manager zu entwickeln. Weiterlesen

Taktik im Fussball Manager

Die Taktik ist im Fussball die festgelegte Spielweise einer Mannschaft oder einzelner Spieler. Sie kann spielentscheidend sein und hängt von vielen Faktoren ab: Den Fähigkeiten der einzelnen zur Verfügung stehenden Weiterlesen

  1. Attacks on web applications: 2018 in review
  2. https://developer.mozilla.org/de/docs/Web/HTTP/Headers/X-Frame-Options
  3. Beispielsweise beim e-Banking

Schreiben Sie eine Antwort

Theme von Anders Norén