Frage von marlonz, 137

HTML Code auf Webseite ändern Strafbar?

Hallo,

wie ist das, wenn ich HTML Code über Chrome Entwicklertool ändern würde und dadurch (weil eine Seite z.B. schlecht Programmiert ist) mir "Coins" also deren Virtuelle Währung geben könnte. Sprich ich passe bei mir Lokal am PC die Coins an und dann kriege ich diese dennoch gut geschrieben.

Ist sowas Strafbar bzw überhaupt Nachweisbar? Eigentlich ändert sich HTML Code über der Entwicklerconsole von Chrome nur Lokal... aber was wäre wenn die Seite sich die Infos daraus zieht und die Coins dann darüber anpasst z.B.

Man kann ja eigentlich nicht Nachweisen, das eine Person das geändert hat, oder?

Hilfreichste Antwort - ausgezeichnet vom Fragesteller
von pbart, 66

Ich glaube meine Vorposter sind da etwas Voreilig. Wenn es sich beispielsweise um ein hidden Formularfeld handelt, dessen Inhalt später übergeben und beispielsweise in eine Datenbank eingetragen wird, kann es durchaus sein das aus der, zunächst nur "optischen" veränderung, eine Sicherheitslücke wird. Ansonsten ist es bedingt nachweisbar, beispielsweise enthält der HTTP-Log keine Post-Parameter Inhalte. Allerdings kann man mit den nötigen Rechten natürlich dein aktuelles Coin-Konto sehen. Inwiefern dann auf Betrig geschlossen werden kann liegt ganz daran wie deren Webanwendungaufebaut ist:
- Gibt es verläufe für das erhalten der Coins
- Werden alle Aktionen historisiert

Das sind nur ein paar Faktoren, allerdings wirst du da wohl eher im dunkeln tappen.

Fazit: Melde die Lücke und hoffe das du freiwillig ein paar Coins als Danke bekommst ;) fühlt sich doch such viel besseran.

Kommentar von xLukas123 ,

Welche Lücke? Das kann man auf so ziemlich jeder Seite machen.

Kommentar von marlonz ,

Danke dir für die Info!

Um so etwas in der Art handelt es sich nämlich und darauf wollte ich hinaus. Alle unter mir sagen geht nicht, ging aber wohl!

Aber was wäre denn, wenn rein Theoretisch in den Logs gesehen werden könnte, die Person XY hat durch etwas X Coins erhalten.
Darüber erhält man so oder so auch Coins, nur eben geringere Mengen z.B. und durchs anpassen größere. 
(Geht hier um eine eigene Seite von mir...)

Klar kann man, wenn man nicht blöd ist herausfinden wie eine Person so etwas gemacht haben kann, aber nachweisbar ist es doch dennoch nicht... oder? Außer das man sieht das er viele Coins gemacht hat z.B... aber wie soll man der Person dann nachweisen das er was geändert hat. "Könnte" ja auch ein Bug sein?

Kommentar von pbart ,

Du verstehst scheinbar nicht was ich meine. Mir ist durchsus bewusst das zuerst nur Local veränderungen vorgenommen werden allerdings kann es je nach weiterer verarbeitung der Daten auch zu einer Sicherheitslücke werden. Zur veranschaulichung folgendes Fallbeispiel:

Ein Onlineshop verkauft Produkte und holt sich, verständlicherweise, die Daten aus einer Datenbank. Der Programmierer hat sich dazu entscheiden auf der Produkt-Detailseite(auf der auch gekauft wird) ein kauf-formular darzustellen das alle Rechnungsdetails und Produktdaten in die Bestellungstabelle aufnimmt. Sollte nun in diesem Formular ein Hidden-Field vorhanden sein oder ein disabled feld das später mit dem Formular übergeben wird kann aus der zunächst nur Locaöen veränderung eine Sicherheitslücke werden. Wenn beidpielsweise das Hidden-Field Preis bearbeitet wird und so ein verfälschter Wert über das Formular weitergegeben wird.

Kommentar von pbart ,

Also ganz allgemein kann man wohl sagen das die Wahrscheinlichkeit erwischt zu werden wohl verschwindent gering ist. Kommt natürlich auf fie größe der Webseite und den Gegenwert der Coins an. Ich würde dir schlicht davon abraten, aber jeder ist sich selbst der Mann.

Kommentar von marlonz ,

Aber rein Rechtlich, kann überhaupt was passieren? Kann man einer Person anhängen das die etwas geändert hat? Und selbst wenn, dann war es ja "nur" Lokal bei ihm oder nicht? Wer soll dann nachweisen das es kein Bug war oder sowas... in Logs steht vielleicht er hat X Coins erhalten aber ja nicht das er den Code geändert hat

Kommentar von pbart ,

Ich bin Informatiker, kein Anwalt. Die Änderung passiert sber durchaus auf dem Server nicht Clientseitig. Denke mal zur genauen Rechtslage wird dir nur ein Anwalt mit dem Fachgebiet weiterhelfen können. Over and Out ;)

Antwort
von DarkNightmare, 20

Hi,

das wird so nicht möglich sein. Wenn jemand sowas mit Coins anbietet, wird der schon sicherstellen, dass du den Wert manuell nicht verändern kannst. 

Der Coinswert wird irgendwo auf einem Server gespeichert sein, der von außen ansprechbar ist.

Sollte jemand natürlich die Werte immer mit dem Lokalen abgleichen, wäre sowas in der Theorie möglich. Sprich du erntest deine Coins und bevor du das Spiel verlässt werden diese mit dem Server abgeglichen. Dann würde deine Methode funktionieren.

Wäre natürlich ziemlich blöd, wenn man Coins verkauft oder die mal das Spiel abstürzt. So wären dann ja auch die neuen Coins weg und du hättest den alten Stand, vor dem Absturz. 

Also sowas wird man heutzutage nicht mehr haben. Der Wert wird irgendwo auf dem Server gespeichert.

Ob so etwas strafbar ist? Glaube ich nicht. Es wäre sicherlich ein Verstoß gegen die AGBs, die mit einem sofortigen Ausschlusses vom Spiel bestraft werden würden. Rechtlich sollte dir da eigentlich nichts passieren. 

Nachweisen wird man es sicherlich auch können. Da man ja den alten und neuen stand hätte und sicherlich den Zugriff über deine IP geloggt hätte. 

Aber da es eh nicht gehen wird, musst du dir da keine Sorgen machen.

Gruß

Kommentar von marlonz ,

Ich rede aber von etwas, wo es ging. 

Aber selbst wenn man die IP hat, muss man der Person erstmal nachweisen können, das Sie irgendwas gemacht hat... 

Nur was ist, wenn man es nicht nachweisen kann, eben weils in der Konsole geändert wurde. Das wird ja nicht geloggt oder ähnliches, was eine Person in ihrem Browser ändert...

Antwort
von perhp, 7

Natürlich kannst du das machen. Ich kann mich erinnern, dass es einige online Shops gegeben hat, die ohne vorherige Überprüfung den Preis von den Input-Feld ausgelesen haben und man konnte einfach so den Preis ändern.

Solange du dann nicht eine unrealistische Zahl hineinschreibst( so wie eine - Zahl, dass dir der Online Shop sogar Geld zahlen müsste), dürfte es nicht auffallen.

Antwort
von xLukas123, 77

Probier es aus, das wird hundertprozentig nicht funktionieren, weil Du den Wert nur optisch änderst, aber nicht den wahren Wert, der auf den Servern gespeichert ist.

Kommentar von marlonz ,

Und selbst wenn es funktionieren würde, was wäre dann? Wäre das Strafbar? Überhaupt Nachweisbar?

Kommentar von xLukas123 ,

Wenn es funktionieren soll, dann müsstest Du dich schon auf den Servern des Betreibers einklinken und das wäre natürlich strafbar und sicher auch nachweisbar, wenn man nicht viel Ahnung hat, wie man seine Identität verschleiert.

Kommentar von marlonz ,

Ich rede aber von lediglich HTML Code in Entwicklerkonsole ändern... das hat ja nichts mit einklinken zutun

Kommentar von xLukas123 ,

Ich weiß, aber es wird wie bereits gesagt nicht funktionieren, also ist da auch nichts nachweisbar, weil Du lediglich den optischen Wert änderst. Wie es funktionieren würde, habe ich Dir ja geschrieben und das dies dann anschließend auch strafbar und evtl. nachweisbar wäre.

Kommentar von marlonz ,

Es hat aber funktioniert. Daher frage ich... 

Frage mich nur, wie man nachweisen könnte das jemand in seiner Konsole was geändert hat

Kommentar von xLukas123 ,

Von welcher Seite sprichst Du eigentlich?

Kommentar von marlonz ,

Eigenentwicklung

Kommentar von xLukas123 ,

Eigenentwicklung? Willst Du dich selbst anzeigen, wenn es funktioniert?

Kommentar von marlonz ,

Ich glaube du verstehst es nicht so ganz. Ich will wissen wie man sowas Nachweisen könnte oder sonst was, wenn jemand Lokal etwas ändert.

Kommentar von xLukas123 ,

Doch, ich verstehe Dich. Du verstehst mich nicht. Ich habe Dir schon mehrfach gesagt, dass man das nicht nachweisen kann, wenn man es lokal/optisch ändert.

Wenn ich Dich dann anschließend noch frage, um was für eine Seite sich handelt und Du mir "Eigenentwicklung" sagst, was ergibst das dann bitte für einen Sinn? Wieso fragst Du nach irgendwelche Folgen, wenn Du auf deiner eigenen Seite etwas ändern willst?

Antwort
von Kiboman, 38

sollte das funktionieren und die werte über ein hiddenfield gelesen werden welche dann ungeprüft weiterverarbeitet werden und so den kontostand erhöhen

 dann hat der entwickler nicht nur mist gebaut sonder ist seines namens nicht wert.

ob es rechtlich relevant ist denke ich schon.

nur weil ein pormonai auf dem tresen liegt darf man nicht einfach geld rauanhemen

Kommentar von marlonz ,

Naja, aber wer bzw wie kann man nachweisen, das eine Person es geändert hat? Da es ja eigentlich nur Lokal bei ihm geändert war...

Kommentar von Kiboman ,

da man ja regelmäßig backup macht, kann man daraus einen zeitlichen verlauf des kontostands machen.

sollte der schlagartig angestiegen sein und das verhältniss auf normalen weg nicht möglich ist, hast du deinen nachweiss

Antwort
von Lino1400, 53

Du änderst nicht den Wert, der auf dem Server liegt, sondern nur den optischen Wert.

Kommentar von marlonz ,

Und selbst wenn es funktionieren würde, was wäre dann? Wäre das Strafbar? Überhaupt Nachweisbar?

Kommentar von Lino1400 ,

Es funktioniert nicht. Dazu müsstest du erstmal auf den Server zugreifen. Wenn du das geschafft hast, kannst du dich ja nochmal melden. Dann wäre es allerdings strafbar.

Lg Lino

Kommentar von marlonz ,

Lese mal bitte die anderen Kommentare, da hab ich ausführlicher was geschrieben

Antwort
von Thorsten2201, 42

Geh davon aus, dass seiten, die eine eigene währung haben, gegen so einfache "hacks" gewaffnet sind!

Kommentar von marlonz ,

Und selbst wenn es funktionieren würde, was wäre dann? Wäre das Strafbar? Überhaupt Nachweisbar?

Keine passende Antwort gefunden?

Fragen Sie die Community

Weitere Fragen mit Antworten