Hinweise zu sicheren und unsicheren Scripten

So, ich habe mein Passwort bei userscript.org geändert, und keines meiner Scripte wurde durch Fremdeinwirkung "aktualisiert".

Somit kann ich hier bekanntgeben, das meine Scripte weiterhin verwendet werden können.

Bei den infizierten Scripten handelt es sich u.a. um
Ikariam Army Helper
Ikariam All-in-One
Ikariam Intercity Trading
Ikariam Pillage Helper
Ikariam Ex Machina
und sicher ein paar weitere. Ich kenne davon nur den Army Helper.

potentiell infiziert sind:
End Time
Ikariam Nearest City
und sicher noch viele andere... diese Scripte verwenden den Updater vom selben Script-Autor.
Wenn man nicht sicher ist, schaut euch auf userscripts.org den Wuellcode (Source) des Scriptes an, zBsp http://userscripts.org/scripts/review/50376.

Das wichtige Wort ist "//@require" -> dahinter steht die Adresse der verwendeten Scripte. Am besten, dies kommt nicht vor. Absolut verboten sollten jeder dieser Links sein:

Code:

//@require  http://userscripts.org/scripts/source/57377.user.js
//@require  http://userscripts.org/scripts/source/57756.user.js
//@require  http://userscripts.org/scripts/source/62718.user.js

Ich werde versuchen, im Laufe des Wochenendes ein paar dieser Scripte in einer bereinigten Version zur Verfügung zu stellen.

Diese werde ich hier verlinken.

Meine betroffene Scripte (mit denen von TD beschrieben Codezeilen):

"Army Helper" enthält
// @require http://userscripts.org/scripts/source/57377.user.js
// @require http://userscripts.org/scripts/source/57756.user.js

"Pillage Helper" enthält
// @require http://userscripts.org/scripts/source/57377.user.js
// @require http://userscripts.org/scripts/source/57756.user.js
// @require http://userscripts.org/scripts/source/62718.user.js

"End Time" enthält
// @require http://userscripts.org/scripts/source/57756.user.js

@Henry: ja, die sind betroffen...

Ich stufe als harmlos ein:
x500 Payloads
Ikariam Empire Board

Wäre es eine Lösung, die betroffenen js-Files 'zu säubern' (wenn es nicht bereits geschehen ist) und als "WMD-eigene" Versionen ggf. auf einem 'eigenen' Server zu hosten ??
Dann könnte zumindest kein Fremder die Scripte verändern?!
Ich selbst habe zwar keine Ahnung von den Ika-Scripten, hätte aber die (kostenfreien) Hosting-Möglichkeiten

Habe meine Scripte durchsucht, nirgends ein "require" zu finden.
Kann ich mich damit sicher fühlen ?

vermutlich schon - wenn Du mir sagst, welche es sind, kann ich auch noch mal schauen.

Jetzt auch sicher:
Army Helper (angepasst)

Ungefährlich ist das Plugin für Gamestats

Bitte noch mal aktualisieren: Army Helper (angepasst)

Die erste Version habe ich falsch hochgeladen, das gefährliche IkaToos (57377) war bereits entfernt, aber das potentiell gefährliche update-script (57756) war noch dabei.

@TD:
Geht nicht, Fehlermeldung:

Error loading dependency http://www.betawarriors.com/bin/gm/57756.user.js
Error! Server Returned : 404: Not Found

Args, ich schaue es mir an...

Auch der Link auf meine Scripte oben war falsch... jetzt ist er richtig und alle die sind natürlich OK...

Bitte noch mal den Army Helper probieren, jetzt sollte er endlich gehen...

Was für ein Stress...

Funzt, danke ! Lass Dich bloooss nicht stressen Alda...

Ich habe auf userscripts.org eine neue Gruppe aufgemacht. Die alte Gruppe gehörte Plasma Ex Machina, und ist zeitgleich mit dem bösartigen Script kaputtgemacht worden.

Die neue Gruppe könnte auch als Selbsthilfegruppe durchgehen... zu allem Überfluss ist die Suche nach Scripten auf userscripts.org kaputt...

EndTime v0.98 ist nun umgestellt.
http://userscripts.org/scripts/show/52268

Henry schrieb:Wäre es eine Lösung, die betroffenen js-Files 'zu säubern' (wenn es nicht bereits geschehen ist) und als "WMD-eigene" Versionen ggf. auf einem 'eigenen' Server zu hosten ??
Dann könnte zumindest kein Fremder die Scripte verändern?!
Ich selbst habe zwar keine Ahnung von den Ika-Scripten, hätte aber die (kostenfreien) Hosting-Möglichkeiten

prinzipiell ja, aber die userscripts.org Seite bietet schon mehr Komfort, gerade für Entwickler.
Dort habe ich ja zBsp die modifizierte Version vom Army Helper gespeichert.

Ich berate mit NRJ und holyschmidt, wie so etwas künftig aussehen könnte. Meine Idee: Zwei unterschiedliche Analysen der Scripte: Technik und Gameplay. Technisch unbedenklich, wenn zB #require nur auf feste Versionen zeigt, kein Aufruf von Webadressen und kein eval vorkommt. Dann würde die Entwickler-Community ihr "Technik-OK" geben. Das kann dann mit dem Gameplay-OK der GF kombiniert werden und die zugehörige Version wird freigegeben.

Du bist der Spezialist und Dein/euer Plan hört sich auch gut an

Klasse, TD war schon fleißig und ich hab das einzige genutzte, das als unsicher deklariert war, schon neu installiert.

Herzlichen Dank, TD.

Ich war gestern nicht online und hab erst heute gemerkt, dass resetted worden ist, bis auf die zusammengebrochene Weinversorgung und dadurch wütende Dorfbewohnber, hat sich das Chaos in Grenzen gehalten.

ich habe den Schadcode mal analysiert. Zum einen erschreckend, wie gut versteckt -und technisch gesehen völlig harmlos aussehend- der war... eine Zeile mit 1544 Zeichen, die mit

Code:

var _0xbe07=["\x69\x64","\x6...

beginnt.

In diesem Code wird "nur" das Abreißen eines zufälligen Gebäudes um 5 Sekunden verzögert aus der Stadtansicht heraus gesteuert. Keine Passwort-Weitergabe, keine Account- oder Städte-Löschung.

Aber ich habe keine Infos darüber, ob weitere Varianten des Scriptes in Umlauf waren

Hallo TorfDrottel,

es gab noch eine zweite Zeile Schadcode mit ca. 1200 Zeichen.
Diese beginnt mit

Code:

var _0xe537 = ["\x69\x64", "\x6...

Was ihre Funktion war weiß ich nicht mehr genau, aber meines Wissens war es die Städtelöschung (Ich habe den entschlüsselten Text leider nicht gespeichert und bin zu faul, noch mal zu entschlüsseln ).

Ein Danke noch für deinen Hinweis zu der sicheren Einbindungsmethode von Scripten.

@henry: Ich will dir jetzt keine Unterstellungen machen, aber auch du bist ein externer. Also wäre das Hosten bei dir auch wieder eine Vertrauenssache in dich. Am sichersten wäre in dieser Hinsicht das hosten auf einem GF-Server. Eventuell in einer ähnlichen Art und Weise wie Userscripts.org mit der Einschränkung, dass eingereichte Modifizierungen erst freigegeben werden müssten.

Was ihre Funktion war weiß ich nicht mehr genau, aber meines Wissens war es die Städtelöschung (Ich habe den entschlüsselten Text leider nicht gespeichert und bin zu faul, noch mal zu entschlüsseln cheese).

Jup, das war ein iframe, das die ganze Stadt gelöscht hat -> abolishColony

@Tobbe
"auch du bist ein externer"

Soll das heißen, die bösartigen Files seien "von externen" auf den usersript-Server geschleust worden

Nein, das sollte nur heißen, das Du nicht ich bist Wenn Du den Rappel bekommst und das Script bösartig änderst, kann das für andere, die den Link verwenden, mies werden. Kann TOBBE ja nicht wissen, dass Du ein ganz lieber Kerl bist - und es außerdem um eine WMD interne Speicherung von Scripten ging

Tja, wenn das keine "externen" waren, sollte man den "internen" doch eigentlich nicht mehr vertrauen

Anyway - war doch eh nur ein Angebot für WMD "interne" und nicht für "externe".

Henry, ich sagte ja, ich will dir nichts unterstellen. Ich glaube dir ja, dass du nichts böses im Schilde führst :)

Mit "extern" meinte ich nicht GF Mitarbeiter Und du hast recht, auch ich bin nach meiner eigenen Argumentation nicht vertrauenswürdig :)