DevBlog – EVE Online SSO

Hey Kapselpiloten!

 

Hiermit wollen wir euch über ein recht ernstes Thema informieren. In sehr naher Zukunft werdet ihr Webseiten sehen, die keine offiziellen Eve Online Seiten sind, und die trotzdem EVE Single-Sign-On (SSO) verwenden. Ja gut, das ist toll, aber was ist ein SSO?

(Dieser Artikel von CCP FoxFour wurde von Kandoli übersetzt. Den Link zum Original findet ihr ganz unten.)

 

Einfach gesagt ist SSO eine Technologie mit der du dich auf einer Webseite anmelden kannst die in EVE SSO integriert wurde, und die bestätigt dass du einen entsprechenden Charakter besitzt. Während du dich einloggst wirst du gefragt mit welchem deiner Charaktere du dich authentifizieren willst, und die Webseite die dich mit EVE SSO anmeldet wird von CCP die Bestätigung bekommen dass dir dieser Charakter gehört. Die Original-Webseite wird nur deinen Charakternamen bekommen, sie werden weder deinen Account-Namen noch dein Passwort sehen. Die Original-Webseite wird nicht wissen auf welchem Account dieser Charakter sitzt, oder – zumindest von unserer Seite – mit welchen anderen Charakteren dieser Charakter verbunden ist.

 

SSO wird ungefähr so aussehen:

 

 

 

 

Ok, schön und gut, aber was bedeutet das für dich als EVE Spieler und warum erzählen wir dir das? Da ihr damit rechnen müsst, dass ihr diese Seite seht auch wenn ihr nicht auf offiziellen CCP Seiten unterwegs seid, ist es wichtig für euch zu wissen worauf ihr achten müsst um Phishing oder Scams zu verhindern. Bisher hatten nur offizielle EVE Online Seiten diesen Login, also wusstet ihr wenn ihr diesem auf anderen Seiten begegnet, solltet ihr dort keine Anmeldedaten hinterlassen. Da das bald aber auch auf andere Webseiten ausgedehnt wird wollen wir sicherstellen dass jeder weiß auf welche Dinge er achten muss wenn er sich in seinen EVE Online Account einloggt.

 

Der sichere Weg

 

Ein SSO System ist von Natur aus ein Torwächter. In unserem Fall bewacht er das Tor zu eurer virtuellen Identität. Unglücklicherweise ist das Internet voll von herumlungernden Betrügern die nur auf eine Chance warten Kapital oder Vorteile zu erlangen, und sie tun das auf jede Art die ihr euch denken könnt. Sie versuchen euch dazu zu bringen ihnen eure Accountdaten zu verraten und bedienen sich dabei sozialer und technischer Methoden, einschließlich Phishing und Spoofing sowie über Web Portale.

 

Wie kann man sich dann sicher sein? Glücklicherweise versorgen uns aktuelle Tools und Technologien heutzutage mit einer Reihe an Informationen über vertrauliche Beziehungen und über Kommunikationssicherheit. Unter Verwendung dieser Informationen sind wir in der Lage zu erkennen ob wir gerade angegriffen werden oder nicht. Im Fall unseres SSOs sieht das folgendermaßen aus.

 

Prüft, dass ihr sicher mit der korrekten Web-Adresse verbunden seid

 

 

Es gibt nur eine zulässige Domain / Hostnamen-Kombination für unser SSO, und diese ist login.eveonline.com. Stellt auch sicher dass ihr über https verbunden seid (beachtet das ’s‘), und niemals eure Accountdaten über Klartext- und unauthentifizierte http Verbindungen übermittelt.

 

Prüft, dass eure Verbindung verschlüsselt und sicher authentifiziert ist

 

 

Das ist ein Beispiel eines Bestätigungsdialogs den ihr seht wenn ihr auf das kleine Schloss-Symbol klickt, was sich links von der URL im Chrome Browser befindet. Jeder moderne Browser bietet ein solches oder ähnliches Textfenster in dem ihr die Vertrauensbeziehung der aktuellen Verbindung und die Sicherheitsstufe der Verschlüsselung sehen könnt.

 

Manuelle Überprüfung des Zertifikats

 

 

 

Indem ihr das Zertifikat der Webressource manuell prüft, könnt ihr sichergehen dass das Zertifikat für diese Domain gültig ist und dass es nicht abgelaufen ist.

 

Wenn ihr diesen Empfehlungen folgt könnt ihr das Risiko senken dass jemand über eure Zugangsdaten eure virtuelle Identität stehlen kann. Wir ermutigen euch außerdem alle missverständlichen, gefälschten oder fragwürdigen Verwendungen von SSO an security@ccpgames.com zu melden.

 

SSO Begrenzter Testzeitraum

 

Mitte Mai haben wir die Registrierung (den zugehörigen Thread findet ihr hier) für den EVE SSO Testzeitraum gestartet. In der Zwischenzeit haben wir einige Webseiten ausgewählt die an dem Test teilnehmen können, und haben Ihnen die benötigten Informationen gegeben um SSO zu verwenden. Obwohl die Testphase auf einige wenige Webseiten begrenzt ist, haben wir die Dokumentation hier für alle lesbar abgelegt.

 

Die erste Phase des SSO Tests ist abgeschlossen, und bestand einfach daraus die Dokumentation und den Ablauf für SSO an die Teilnehmer zu verteilen. Das hat uns wertvolle Rückmeldungen beschert, aufgrund derer wir einige Änderungen am SSO Konzept vorgenommen haben. Jetzt beginnt Phase zwei, in der die Teilnehmer Zugriff auf SSO für Sisi erhalten. Das ist nun passiert und sie haben angefangen, SSO in ihre Webseiten einzubinden. Der Zugriff wird bis Ende Juli auf Sisi beschränkt bleiben, und wenn alles gut läuft gewähren wir im August den SSO Zugriff auf Tranquility. Danach ist das Ziel, SSO jedem bereitzustellen der es verwenden will. Dafür gibt es aber noch keine zeitliche Planung, weil das Hauptanliegen darin besteht es richtig zu machen.

 

Die Webseiten die am SSO Testzeitraum teilgenommen haben sind:

 

 

Da SSO bisher nur an Sisi angebunden ist, kann es sein dass du es noch nicht auf den Webseiten der Partner sehen kannst, aber die Liste zeigt dir zumindest jene Webseiten bei denen du damit rechnen kannst demnächst SSO in Aktion zu erleben. Wir wollen den Teilnehmern des Testzeitraums hiermit nochmal ordentlich danke sagen. Ihre Rückmeldungen waren super und der Aufwand den sie in dieses Thema investieren wollen ist wirklich beeindruckend.

 

Dieser Sicherheitshinweis wurde euch präsentiert von,

 

CCP FoxFour (@regnerba) und CCP Bugartist (@CCP_Bugartist)

 

EVE Online SSO and what you need to know – EVE Community.

One thought on “DevBlog – EVE Online SSO

  1. Ok, ich habe mich entschlossen eine persönliche Note zu den Übersetzungen hinzuzufügen. Frei nach dem Motto, von nichts eine Ahnung aber zu allem eine Meinung wird es nun zu ausgewählten Artikel einen Kandoli-Kommentar geben.

    Selbstverständlich soll euch das anregen euch ebenfalls zu äußern ^^

    Zum Thema SSO
    Feine Sache, auch wenn es zunächst etwas befremdlich ist sich bei CCP-fremden Seiten (morgen evtl. bei beliebigen Seiten) mit den CCP Login-Daten zu authentifizieren. Wer auf Zertifikat und URL achtet sollte sicher sein, aber seltsam ist es trotzdem. Vor allem anderen eine Wohltat für die arg gebeutelten Webseiten-Admins von Tools wie DOTLAN, Osmium oder Allianz/Corp-Präsenzen im Internet.

    Ich bin gespannt wie es sich entwickeln wird..

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert