Dr. Naseweis auf der Suche nach 100% Ehrlichkeit

Neulich hat mich mal jemand auf das ganze Gefasel und Rumgeklöte in dem onimösen DIO-Chat aufmerksam gemacht, den ich mir daraufhin doch etwas genauer ansehen wollte. Prinzipell ist an einer Grepo-Weltweiten Chatfunktion, die funktioniert, nichts auszusetzten, weil Inno selbst das beste aus deren eigner Chat-Funktion gemacht hat was man hatte machen können - ihn wegen seelischer Grausamkeit zu löschen. Das Ding hat einfach überhaupt nicht funktioniert - never ever. Das sah schon immer so aus, als sei es nach dem ersten Release gestorbenes MVP. Mit dem Fehlen des ehemals monopolisierten Platzhirsches war es wohl an der Zeit um die Lücke zu füllen. Und da kommt diese bunte Chat-Dingens - weil mehr ist es leider nicht - gerade recht.

Schnell fällt mit ein wenig geklicke im Browser-Debugger Deiner Wahl auf, dass das Ganze ziemlich rudimentär an ein php-Skript geht - dann schauen wir mal, was damit alles geht. Damit das ganze ein bischen mehr Würze erhält suche ich mir Imbros heraus, oder wie die Anwendungs-Entwickler-Könige(tm) unter uns sicherlich sagen - de92. Für ein bischen Debugging von Netzwerkverkehr quäle ich mich gerne über die Konsole, das Tool der Wahl heißt "curl":

Code:
xxx
Ahja, eine ID. Schön verpackt in JSON, eine Notation für serialisierte Javascript Objekte. Falls Euch das nichts sagt, seht es als eine Struktur an Key-Value-Paaren an, die möglicherweise in Listen verpackt sind. Klingt mir auf jeden Fall danach als gäbe es auf dieser Welt fast 27k gezalzene Belletristik zu lesen, dann raten wir mal und schielen auf den Vorgänger. Nehmen wir an, man könne eine ID als zusätzlichen Parameter setzen. Quotes nicht vergessen, wir wollen ja keinen weiteren Prozess spawnen (das Ampers-And würde die sonst tun):

Code:
xxx
Voila, das klappt so. Ja, gebe zu, den Output zum besseren Verständnis habe ich etwas umformattiert, aber was sieht man hier? Zeitstempel der Nachricht, Username, die Nachricht selbst und eine IP. Die Nachricht selbst sieht mir erstmal nach einem ziemlich ehrlichen Statement aus, was auf dieser Welt ja eine Seltenheit scheint, aber lasst uns den Fokus nicht durch "Irrelevates" (Wuuaaah - Wortspiel!) verlieren - WTF? EINE IP? Das eröffnet ja ungeahnte Möglichkeiten zur Auswertung! Die XXX an der Stelle kommen von mir, die sind natürlich bei DIO nicht maskiert, aber dass das im Hinblick auf die DSGVO arg bedenklich ist sollte jedem klar sein und ich greife das am Ende dieses Artikels nocheinmal genauer auf. Befriedigen wir erstmal meine naseweisige Seite. Und Euere wohl auch, immerhin seit Ihr das noch am lesen.

Dann lasst uns mal weiter schnüffeln, und zwar etwas tiefer...

Code:
curl "https://diotools.de/php/getMessages.php?world=de92&id=1"
...
Die Ausgabe dessen dauert etwas länger, hier kommen knapp 400KB über den Äther. Da kommt unglaublich viel zurück, ein komplettes Sammelsurium geistiger Ergüsse des Chats dieser Welt, kilobyteweise Weisheiten, Lebenserfahrungen und - ich kann mich da einfach nicht zurückhalten - einfach nur unglaublichen Stuss. An der Interpretation des Inhaltes darf sich gerne ein Anderer versuchen, lasst uns heute hier auf die harten Daten konzentrieren.

Vielleicht korrelieren wir einfach mal Spieler zu IP-Adressen und ziehen ein paar Statistiken darüber. Hierbei hilft uns ein bischen parsing in der Sprache Euerer Wahl, ich mach sowas gerne in Perl. Vielleicht gibts im Nachhinein die ganzen Skripte dazu auch mal auf github, ist einfach eine Frage der Zeit und Relevanz.

Top 10 der Mitteilungsbedürftigen:
Code:
xxx
In Summe 292 Spieler die etwa 28000 Statements abgegeben haben.

Wie ist das zu interpretieren? Viele IPs klingt immer direkt mal nach dynamischen Dial-In, was man sehr leicht mit den diversen GEO-Tools überprüfen könnte. Für hier ist das jetzt erstmal nutzlos. Viele Nachrichten und nur eine IP deutet auf eine statische IP hin, da gruselt sich das Datenschützerherz - 1a Profiling möglich! Viele Nachrichten und einigen wenige IPs sind in der Tat die wirklich interessanten und eröffnen endlich den Raum für Spekulationen, dem wir uns gerne fröhnen wollen.

Sammeln wir zu dem letzten Szenario einige Theorien:

* Da spielt jemand an seinem Arbeitsplatz, vielleicht sogar mit verschiedenen Standorten. Je nach Arbeitgeber verwerflich oder nicht. Wobei dabei im DIO-Chat abhängen... Jedenfalls könnte man hier ein Blick auf die GEO-Daten werfen.
* Jemand schleppt seinen Laptop mit rum und hängt bei Kumpels oder in öffentlichen WLans rum. Solange die kein Grepo spielen nix dagegen. Um freie WLans zu identifizieren könnte man könnte an der Stelle ein wenig mit den GEO-Daten hinter den IPs rumspielen... Freie Wlans von Privatpersonen lassen sich hierbei nicht wirklich identifizieren.
* Man schleppt den Laptop rum und stellt mit dem Handy eine Verbindung her. Möglich, Hardcore, aber legal.
* Man läßt seinen Kumpel seine Zugangsdaten zukommen und der ist auch noch so dämlich und tickert währenddessen im DIO-Chat rum... nunja, ohne Worte.

Stichwort GEO-Daten: Es gibt Anbieter, die ermöglichen einen Lookup einiger Daten wie Anbieter und Standort basierend auf Datenbanken zu IP-Adressen. So z.B:

Code:
xxx
Die üblich wurde der letzten Ziffernblock der IP maskiert, da muß natürlich die echte Zahl hin. In diesem Fall spuckt die Seite dann die Information aus, dass es sich um einen Dialup der "Deutsche Telekom AG" aus dem Regierungsbezirk Darmstadt handelt.

Drehen wir nun den Spieß um und kucken, welche der IP-Adressen zu welchem Spieler auflösen. Idealerweise immer nur zu einem. Ja, es gibt Kollisionen bei dýnamisch vergeben IP-Adressen, aber ausgerechnet bei denjenigen, die auch noch Grepo spielen? Klingt schon nach ziemlichen Zufall, aber schauen wir lieber erst mal nach. Wie gesagt, im folgenden ist das letzte Octet der IP ausge-X-t, aber in den Rohdaten vollständig enthalten (m:an kann das einfach nicht oft genug wiederholen!)

Code:
xxx
Das ist zugegebenermaßen deutlich mehr, als ich erwartet hätte, da sollten wir weiter nachgraben. Alle werden ich hier nicht näher nachkucken, aber zwei Konstellationen ziehen besonderes Interesse auf sich und die schauen wir uns genauer an:

Zunächst die IP xxx

Code:
xxx
Unser allerbester Anwendungsentwickler hat wohl ebenfalls herausgefunden, wie man unter anderem Namen in den DIO-Chat reinpostet. Für einen reinen Anwender der Erweiterung nicht weiter zu erkennen, höchstens am sprachlich miserablen Stil. Leidtragend erwähnt sind hier xxx, die in der Situation aber unschuldig sind, man kann sie sehr schön am Inhalt als "Opfer dieses Spasses" erkennen.

Schauen wir auf eine andere Konstellation, die Grundzüge einer zyklischen Abhängigkeit zeigt:

Code:
xxx
Wie gesagt, das sind nur die Posts von IP-Adressen, die unter mehreren Spielernamen getätigt wurden. In diesem Szenario ist das ein kompletter Ringelpietz mit 3 Beteiligten, kombinatorisch ohne Beachtung der Reihenfolge gibt es nur eben die 4 Kombinationen. Zur Erinnerung nocheinmal deren Gesamtzahl an Posts:

xxx

Man könnte sagen, dass ca 42% der Posts in einem - vorsichtlich formuliert - fragwürdigem Szenario entstanden sind. In meinen Augen zu viele, als dass sich da jemand einfach einen "Spass" mit Kumpels erlaubt hat.

Laßt uns als nächstes die Zeiten dazu heraussuchen und das ist was menschenlesbares überführen. Der Übersichtlichkeit geschuldet hier nur die Übergänge von einem Spielernamen auf den anderen, die "..." Kennzeichnen, dass der zuletzt genannte Spielername weitere Nachrichten gepostet hat:

Code:
xxx
Ihr könnt selbst die Wechsel und teilweise Überscheidungen der Zuordnungen von IPs zu Spielern sehen, um Euch die eine oder andere Frage dazu zu stellen. Warum das so ist kann vermutlich keiner mit Sicherheit beantworten. Vielleicht hat sich auch bisher noch keiner die Frage gestellt, oder ist sich dessen bewußt, dass diese Daten frei verfügbar für jedermann im Internet stehen. Ohne Benutzername, Passwort, oder irgendeine andere Art von Mitgliedschaft. Auch Dein Opa kann sich mit ner Kommandozeile den Quark reinziehen, den die Beteiligten den lieben langen Tag von sich geben. Von dieser und all den anderen Welten, in denen Nutzer den Chat benutzen.

Was man aber auf jeden Fall sieht ist, dass die Accounts zu gewissen Zeiten alle aktiv waren und bis auf xxx es jetzt noch sind (laut grepolife hat der Account am 26.04.201 um 05:44 seine letzte Stadt verloren). Man sieht zugehörig zu einzelnen IPs (die garnicht so zahlreich den Spielern zugeordnet sind) wechselnde Spielernamen, die Posts im Chat verfasst haben. Wie kann es nun passieren, dass unter einer IP mehrere Spielernamen aufgelistet sind? Die offensichtliche Antwort ist, dass sich unter einer IP auf unterschiedlichen Accounts eingeloggt wurden. Wenn diese auf einer Welt zusammen in einer Truppe spielen und sich auch noch dabei unterstützen, klingt das für mich jetzt erstmal nach etwas verbotenem. Wer einen Blick auf grepolife wirft erkennt sehr leicht, dass xxx Städte von den beiden anderen Städten übernommen hat, also ist hier auch keine geteilte Internetverbindung am Werke http://grepolife.com/de/92/player/1407582

Beweissicher ist das ganze nicht, man kann sehr wohl den Benutzernamen "faken", wenn man Bock drauf hat. Doch analysiert man etwas genauer und man könnte jetzt auch sich noch den Inhalt reinziehen und stochastisch an die Wortwahl und Satzbau gehen, um das alles auf natürliche Personen beziehen, aber wir enden an dieser Stelle. Vielleicht gehen sich die drei Beteiligten nur gerne gegenseitig an die Klöten, in dem Fall wollen wir das nicht wirklich wissen. Wir würden sicherlich gerne aber wissen wollen, falls es hier nicht mit rechten Dingen zugeht, schließlich konnten wir häufiger in der unsaglichen Imbros-Diskussion lesen, dass es 100% ehrlich zugegangen ist. Was ich ehrlich gesagt bezweifeln möchte, da mir persönlich das hier nicht ehrlich aussieht, und die Schnittmenge der beteiligten Personen leider nicht leer ist.

Aber wie gesagt, es endet hier, weil hier diejenigen weitermachen sollten, die sich nicht auf öffentliche Logs beziehen, sondern die tiefen Einsichten direkt an der Wurzel abgreifen können - die Techniker von Inno. Aber man sagt, sie haben es die vergangenen Tage gemacht und entsprechende Maßnahmen ergriffen. Zumindest sagt man sich das so, der Support verweist ja grundsätzlich auf den Datenschutz und läßt kaum Informationen zurückfliessen, aber zufriedengestellt hat es ehrlicherweise keinen.

Eines bin ich in der groben Analyse aber noch schuldig - ein paar Worte zum Datenschutz.

IP Adressen gelten aktuell als Daten, durch die ein direkter Personenbezug herstellbar ist, wenn auch nicht durch Euch, aber durch die Behörden (und in behördlichem Auftrag). Selbst das Maskieren des letzten Octets reicht für Einige noch nicht aus, ist aber im Moment eher gängige Praxis, an der ich mich auch orientiert habe. Dass das DIO-Tool die Daten für jedermann zugänglich macht geht aber einfach garnicht, das gehört direkt abgeschaltet. Selbst in maskierter Form ist der frei zugängliche Abgriff der Daten über eine URI mehr als fraglich, wenigstens ein bischen Pseudoverschlüsslung als Eingangshürde sollte drin sein. Kein Opt-In für die Übertragung der Daten/IP an eine separate Location, keine Datenschutzerklärung (ja, ich weis, das klingt nach getrolle), und ich bin mir sicher, DIO selbst wäre kaum in der Lage ein Auskunftsersuchen oder gar eine Löschanfrage effizient durchzuführen.

Bis auf weiteres sollte meiner Meinung die Freigabe für das Skript zurückgezogen werden, solange es keinerlei Nachbesserung gibt. Ob DIO überhaupt an dem Skript noch arbeitet kann ich nicht beurteilen, das schützt aber leider nicht vor der DSGVO.

Ein Satz noch zu Abschluß, den kann ich mir nicht verkneifen: Jungs, wenn ihr schon Schindluder betreibt, dann fällt wenigstens nicht dabei auf. Wer einmal lügt dem glaubt man nimmermehr.

Herzlichst,
Euer Dr. Naseweis

- connection close -
 
Zuletzt bearbeitet von einem Moderator:
Was ist an der Liste jetzt aussagekräftig? Komplett schwachsinnig.
xxx
 
Zuletzt bearbeitet von einem Moderator:

Tertosie

Teammitglied
Team Mitglied
Was man aber auf jeden Fall sieht ist, dass die Accounts zu gewissen Zeiten alle aktiv waren und bis auf "despirada" es jetzt noch sind (laut grepolife hat der Account am 26.04.201 um 05:44 seine letzte Stadt verloren). Man sieht zugehörig zu einzelnen IPs (die garnicht so zahlreich den Spielern zugeordnet sind) wechselnde Spielernamen, die Posts im Chat verfasst haben. Wie kann es nun passieren, dass unter einer IP mehrere Spielernamen aufgelistet sind? Die offensichtliche Antwort ist, dass sich unter einer IP auf unterschiedlichen Accounts eingeloggt wurden. Wenn diese auf einer Welt zusammen in einer Truppe spielen und sich auch noch dabei unterstützen, klingt das für mich jetzt erstmal nach etwas verbotenem. Wer einen Blick auf grepolife wirft erkennt sehr leicht, dass "Tertosie" Städte von den beiden anderen Städten übernommen hat, also ist hier auch keine geteilte Internetverbindung am Werke http://grepolife.com/de/92/player/1407582

Beweissicher ist das ganze nicht, man kann sehr wohl den Benutzernamen "faken", wenn man Bock drauf hat. Doch analysiert man etwas genauer und man könnte jetzt auch sich noch den Inhalt reinziehen und stochastisch an die Wortwahl und Satzbau gehen, um das alles auf natürliche Personen beziehen, aber wir enden an dieser Stelle. Vielleicht gehen sich die drei Beteiligten nur gerne gegenseitig an die Klöten, in dem Fall wollen wir das nicht wirklich wissen. Wir würden sicherlich gerne aber wissen wollen, falls es hier nicht mit rechten Dingen zugeht, schließlich konnten wir häufiger in der unsaglichen Imbros-Diskussion lesen, dass es 100% ehrlich zugegangen ist. Was ich ehrlich gesagt bezweifeln möchte, da mir persönlich das hier nicht ehrlich aussieht, und die Schnittmenge der beteiligten Personen leider nicht leer ist.
Tja, erstmal großen Respekt für den unnötigsten Thread den ich jemals gesehen habe.
Zudem muss ich dir mal einen Bereich vom Quellcode des DIO-Tools zeigen:

Weiß nicht was du mir mit deinem Beitrag sagen willst, das du große PC Kenntnisse hast, oder du einfach
irgendwelche Beschuldigungen absetzten willst.

Ich sehe das hier eher als letzten Gegenschlag von SCR damit sie vielleicht doch noch durch die Sperre eines WW Spielers den Sieg der Welt verhindern können.
 
Zuletzt bearbeitet:
OOOOOOOOOHAAAAAAAA !!! Da hab ich doch nicht etwa den Despirada Account auf Imbros gesittet, während ich selbst auf Carphi gespielt habe?

Kam daher vlt. meine zweite Sperre? ..Mhhh... Eine Sperre hatte ich ja wegen Accountsitting, die ich hier sogar im öffentlichen Forum genannt habe. Das ist jetzt echt knifflig.

 

Gaius Iulius Caesar

Teammitglied
Community Manager
Hallo,

danke für deine Meldung. Ich habe dennoch alle Accountnamen aus dem Startpost gelöscht, sowie alle Code-Zeilen und IPs, Logins, Nachrichten, usw.

Wir schauen uns DIO-Tools noch einmal genau an und ergreifen ggf. entsprechende Maßnahmen, um eure Daten zu schützen. Datenschutz ist uns sehr wichtig und hat oberste Priorität. Ich melde mich morgen wieder zu diesem Thema.

Viele Grüße
GIC
 
Mensch GIC lebt ihr hinter dem Mond?^^
Das der Diochat sehr unsicher ist und man sogar leute dort durch veränderte Namen verarschen kann ist doch allgemein bekannt :eek:

Zugegeben muss ich sagen das ich das schon zienlich witzig finde was unser Naseweis hier gemacht hat, but :grepolis: and Nobody cares.
 
Es reicht wenn ich dir sage das er der Meinung ist und dies auch meint Beweisen zu können das ich und skillex (despirada) Multiaccount oder Sitting oder sonst was betreiben. Genauso wie skillex und despirada.
Tertosie war nie in despirada oder meinen Acocount. - Witzig, das die Sitting-Crew-Realoaded hier solche Diskussionen anzettel, wobei bei ihnen das sitten an der Tagesordnung stand/steht.
 
Ich finde das Thema und den Beitrag sehr gut, ein uraltes Problem von Onlinespielen, wo ein Weg ist findet sich halt auch immer eine Lösung XD
 
Hallo,

danke für deine Meldung. Ich habe dennoch alle Accountnamen aus dem Startpost gelöscht, sowie alle Code-Zeilen und IPs, Logins, Nachrichten, usw.

Wir schauen uns DIO-Tools noch einmal genau an und ergreifen ggf. entsprechende Maßnahmen, um eure Daten zu schützen. Datenschutz ist uns sehr wichtig und hat oberste Priorität. Ich melde mich morgen wieder zu diesem Thema.

Viele Grüße
GIC
es sollte wohl eher heissen,: wir schauen uns alles genau an und überprüfen, ob was dran ist.
 
Na ja , ich glaube das ich wieder als einziger in nem Sackbahnhof gelandet bin


auf gut Deutsch heißt das jetzt was ? Reloaded?

Fährt der SCR-Bus wieder???

!§#$%&? werde ich ja wieder beschimpft und beleidigt
 

Gaius Iulius Caesar

Teammitglied
Community Manager
Hallo,

Grepolis sendet keine IP-Adressen an DIO-Tools. Das Skript erhebt sie selbst.
Wir werden den Skriptschreiber aber darum bitten, eure Daten besser zu schützen.

Viele Grüße
GIC
 
Muß ja echt eine nachdrückliche Bitte gewesen sein, nach vier Monaten null Bewegung. Daß Ihr sowas weiterhin erlaubt...