Bereits bei der Konzeptarbeit war uns die Website Sicherheit unseres Spiel ein zentrales Anliegen um Spielmanipulationen möglichst auszuschliessen. Cheatern soll das Leben möglichst schwer gemacht werden.
Wie aus einer Studie über Cyber-Bedrohungen im Jahr 2018 hervorgeht, sind gehackte Webanwendungen häufig ein Problem. 1 Gehackte Websites können für eine Vielzahl von Zwecken genutzt werden:
- Verteilung von Malware
- Diebstahl von Daten
- Veröffentlichung von Anzeigen oder verbotenen Informationen
- Begehung von Betrug
- Eindringen in ein internes Netzwerk.
Die häufigsten Angriffe ändern sich dabei von Jahr zu Jahr nur minimal. SQL Injection, Path Traversal und Cross-Site Scripting stehen weiterhin ganz oben auf der Liste. Diese drei Angriffsarten machen zusammen mehr als die Hälfte aller erkannten Cyberangriffe aus
Website Sicherheit ist daher auch generell ein heisses Thema, da die Angriffe zunehmen und immer raffinierter werden. Auch als kleiner Website- oder Blog-Betreiber ist man immer gefährdet.
In diesem Artikel zeigen wir euch die Grundlegenden Anforderungen an die Sicherheit einer Webseite. Insbesondere um diese vor Hacker-Angriffen zu schützen und so zu verhindern, dass fremde Inhalte die Webseite verunreinigen. Wir versuchen dabei möglichst einfach und verständlich zu bleiben.
Im Zentrum steht dabei natürlich eine technisch aktuelle Website, welche sich an den aktuellen Entwicklungen orientiert. Zusätzlich werden die Bereiche Design, Technik und Sprache von einander getrennt. Dies ermöglicht schnelle Anpassungen, sollten diese notwendig sein.
Inhaltsverzeichnis
Verhindern von Manipulationen des Spiels
Nichts ärgert einen so sehr, wie gegen Cheater das Nachsehen zu haben und zu verlieren. Um das Spielerlebnis möglichst ausgewogen zu gestalten, erschweren wir technisch den Zugriff von Zusatzprogrammen und Bots. Weitere Schutzmassnahmen sind durch technische und spielspezifische Elemente implementiert.
Sollte dennoch ein Cheater oder Bot durch diese Maschen fallen, haben wir Überwachungstools geschrieben. Diese machen kontinuierlich Jagd nach diesen ungebetenen Zeitgenossen.
Massnahmen gegen Cheater
Durch Spielinterne Massnahmen möchten wir weiter gegen Cheater vorgehen. So werden gewisse Aktivitäten, wie Transfers von Spielern, automatisiert überwacht und ausgewertet. Verdächtige Aktionen werden anschliessend durch die Spielleitung verifiziert und mit anderen Daten abgeglichen.
Bereits in der ersten Ausgabe unseres Online Fussball Manager hatten wir ein ähnliches System in betrieb. Dieses war erfolgreich und hat unzählige Cheating Versuche zum Vorschein gebracht. Basierend auf unseren Erfahrungen haben wir das System noch weiter verfeinert und angepasst.
Unsere Massnahmen werden zudem regelmässig durch eigene Tests und externe Überprüfungen verifiziert und den aktuellen Gegebenheiten angepasst. Dadurch soll unser Fussball Manager Spiel auch in Zukunft für alle Spieler die gleichen Chancen bieten. Cheatern soll das Leben möglichst schwer gemacht werden.
Aufgrund dieser Punkte bieten wir keine Möglichkeiten für externe Tools an. Stattdessen möchten wir die Nutzer anhalten, sich aktiv an der Entwicklung unseres Bundesliga Managers zu beteiligen.
Verhindern von Angriffen auf die Website
Cross-Site Scripting (XSS)
Cross-Site Scripting (XSS) Angriffe bringen eine Website dazu, schädlichen Code zusammen mit dem beabsichtigten Inhalt zu liefern. Das Problem dabei ist, dass Browser dem gesamten Code vertrauen der mit der Seite ausgeliefert wird.
Mittels dem HTTP-Header “X-Frame-Options”2 verhindern wir die Einbindung unserer Seite auf anderen Seiten (mittels Frame oder Iframe). Somit behalten wir die Kontrolle darüber, welche Inhalte im Hintergrund geladen werden.
Content Security Policy (CSP)
Content Security Policy (CSP) ermöglicht die genaue Kontrolle darüber, von wo Ressourcen auf die Website geladen werden können. Die Verwendung dieses Headers ist die beste Methode, um Cross-Site Scripting (XSS)-Schwachstellen zu vermeiden.
Der Hauptvorteil von CSP besteht darin, die Verwendung von unsicheren Inline JavaScript zu deaktivieren. Inline JavaScript bedeutet, dass unsachgemässe Eingaben durch Benutzer Code erzeugen können, der vom Webbrowser als JavaScript interpretiert wird. Durch die Verwendung von CSP können fast alle XSS-Angriffe auf einer Website effektiv beseitigt werden.
Sicherheit durch HTTPS/SSL
Eines der wichtigsten Elemente, welches für moderne Webanwendungen erforderlich ist, ist HTTPS. Dieses wird manchmal auch als sicheres HTTP bezeichnet.
Einige Leute glauben fälschlicherweise, dass HTTPS nur auf Websites mit vertraulicher Kommunikation verwendet werden muss. 3 Aber das ist nicht wahr: Jeder sollte HTTPS verwenden. HTTPS hilft, zu verhindern, dass jemand in die Verbindungen hineinhört oder die Übertragung manipuliert.
Mögliche Szenarien
Ein Ebenenmodell dient dazu, die Zuständigkeiten für die einzelnen Teilaufgaben bei der Konzeption der Sicherheit zuzuordnen. Ausgangspunkt ist eine Unterteilung in fünf Ebenen:
- Semantik
- Logik
- Implementierung
- Technik, des Systems sowie der Ebene “Netzwerk und Host”.
Es gibt dabei unzählige Möglichkeiten, Schwachstellen in einer Webanwendung zu finden und diese auszunutzen. Auf Wikipedia befindet sich eine Liste von allgemein bekannten und oft benutzten Angriffen im Zusammenhang mit Webanwendungen.
Als Betreiber einer Website ist es daher notwendig, die Gegenmassnahmen für die üblichsten Angriffe zu ergreifen. Die Liste ist allen nahezulegen, welche ihre eigene Seite absichern möchten. Insbesondere auch, weil einige der hier aufgezeigten Massnahmen gegen die gängigsten Angriffe aus 2018 schützen.
Liegt euch eure Sicherheit auch am Herzen? Beweist eure Fähigkeiten im sicheren Online Fussball Manager.
- Attacks on web applications: 2018 in review
- https://developer.mozilla.org/de/docs/Web/HTTP/Headers/X-Frame-Options
- Beispielsweise beim e-Banking
- wie z.B. Entwickeln/Programmieren von eines Fussball-Manager oder Wie kann man eine App entwickeln? (Fussball Manager Spiel)?
Schreib einen Kommentar