HTML Code auf Webseite ändern Strafbar?
Hallo,
wie ist das, wenn ich HTML Code über Chrome Entwicklertool ändern würde und dadurch (weil eine Seite z.B. schlecht Programmiert ist) mir "Coins" also deren Virtuelle Währung geben könnte. Sprich ich passe bei mir Lokal am PC die Coins an und dann kriege ich diese dennoch gut geschrieben.
Ist sowas Strafbar bzw überhaupt Nachweisbar? Eigentlich ändert sich HTML Code über der Entwicklerconsole von Chrome nur Lokal... aber was wäre wenn die Seite sich die Infos daraus zieht und die Coins dann darüber anpasst z.B.
Man kann ja eigentlich nicht Nachweisen, das eine Person das geändert hat, oder?
9 Antworten
Ich glaube meine Vorposter sind da etwas Voreilig. Wenn es sich beispielsweise um ein hidden Formularfeld handelt, dessen Inhalt später übergeben und beispielsweise in eine Datenbank eingetragen wird, kann es durchaus sein das aus der, zunächst nur "optischen" veränderung, eine Sicherheitslücke wird. Ansonsten ist es bedingt nachweisbar, beispielsweise enthält der HTTP-Log keine Post-Parameter Inhalte. Allerdings kann man mit den nötigen Rechten natürlich dein aktuelles Coin-Konto sehen. Inwiefern dann auf Betrig geschlossen werden kann liegt ganz daran wie deren Webanwendungaufebaut ist:
- Gibt es verläufe für das erhalten der Coins
- Werden alle Aktionen historisiert
Das sind nur ein paar Faktoren, allerdings wirst du da wohl eher im dunkeln tappen.
Fazit: Melde die Lücke und hoffe das du freiwillig ein paar Coins als Danke bekommst ;) fühlt sich doch such viel besseran.
Ich bin Informatiker, kein Anwalt. Die Änderung passiert sber durchaus auf dem Server nicht Clientseitig. Denke mal zur genauen Rechtslage wird dir nur ein Anwalt mit dem Fachgebiet weiterhelfen können. Over and Out ;)
Aber rein Rechtlich, kann überhaupt was passieren? Kann man einer Person anhängen das die etwas geändert hat? Und selbst wenn, dann war es ja "nur" Lokal bei ihm oder nicht? Wer soll dann nachweisen das es kein Bug war oder sowas... in Logs steht vielleicht er hat X Coins erhalten aber ja nicht das er den Code geändert hat
Du verstehst scheinbar nicht was ich meine. Mir ist durchsus bewusst das zuerst nur Local veränderungen vorgenommen werden allerdings kann es je nach weiterer verarbeitung der Daten auch zu einer Sicherheitslücke werden. Zur veranschaulichung folgendes Fallbeispiel:
Ein Onlineshop verkauft Produkte und holt sich, verständlicherweise, die Daten aus einer Datenbank. Der Programmierer hat sich dazu entscheiden auf der Produkt-Detailseite(auf der auch gekauft wird) ein kauf-formular darzustellen das alle Rechnungsdetails und Produktdaten in die Bestellungstabelle aufnimmt. Sollte nun in diesem Formular ein Hidden-Field vorhanden sein oder ein disabled feld das später mit dem Formular übergeben wird kann aus der zunächst nur Locaöen veränderung eine Sicherheitslücke werden. Wenn beidpielsweise das Hidden-Field Preis bearbeitet wird und so ein verfälschter Wert über das Formular weitergegeben wird.
Danke dir für die Info!
Um so etwas in der Art handelt es sich nämlich und darauf wollte ich hinaus. Alle unter mir sagen geht nicht, ging aber wohl!
Aber was wäre denn, wenn rein Theoretisch in den Logs gesehen werden könnte, die Person XY hat durch etwas X Coins erhalten.
Darüber erhält man so oder so auch Coins, nur eben geringere Mengen z.B. und durchs anpassen größere.
(Geht hier um eine eigene Seite von mir...)
Klar kann man, wenn man nicht blöd ist herausfinden wie eine Person so etwas gemacht haben kann, aber nachweisbar ist es doch dennoch nicht... oder? Außer das man sieht das er viele Coins gemacht hat z.B... aber wie soll man der Person dann nachweisen das er was geändert hat. "Könnte" ja auch ein Bug sein?
Hi,
das wird so nicht möglich sein. Wenn jemand sowas mit Coins anbietet, wird der schon sicherstellen, dass du den Wert manuell nicht verändern kannst.
Der Coinswert wird irgendwo auf einem Server gespeichert sein, der von außen ansprechbar ist.
Sollte jemand natürlich die Werte immer mit dem Lokalen abgleichen, wäre sowas in der Theorie möglich. Sprich du erntest deine Coins und bevor du das Spiel verlässt werden diese mit dem Server abgeglichen. Dann würde deine Methode funktionieren.
Wäre natürlich ziemlich blöd, wenn man Coins verkauft oder die mal das Spiel abstürzt. So wären dann ja auch die neuen Coins weg und du hättest den alten Stand, vor dem Absturz.
Also sowas wird man heutzutage nicht mehr haben. Der Wert wird irgendwo auf dem Server gespeichert.
Ob so etwas strafbar ist? Glaube ich nicht. Es wäre sicherlich ein Verstoß gegen die AGBs, die mit einem sofortigen Ausschlusses vom Spiel bestraft werden würden. Rechtlich sollte dir da eigentlich nichts passieren.
Nachweisen wird man es sicherlich auch können. Da man ja den alten und neuen stand hätte und sicherlich den Zugriff über deine IP geloggt hätte.
Aber da es eh nicht gehen wird, musst du dir da keine Sorgen machen.
Gruß
Ich rede aber von etwas, wo es ging.
Aber selbst wenn man die IP hat, muss man der Person erstmal nachweisen können, das Sie irgendwas gemacht hat...
Nur was ist, wenn man es nicht nachweisen kann, eben weils in der Konsole geändert wurde. Das wird ja nicht geloggt oder ähnliches, was eine Person in ihrem Browser ändert...
Probier es aus, das wird hundertprozentig nicht funktionieren, weil Du den Wert nur optisch änderst, aber nicht den wahren Wert, der auf den Servern gespeichert ist.
Und selbst wenn es funktionieren würde, was wäre dann? Wäre das Strafbar? Überhaupt Nachweisbar?
Wenn es funktionieren soll, dann müsstest Du dich schon auf den Servern des Betreibers einklinken und das wäre natürlich strafbar und sicher auch nachweisbar, wenn man nicht viel Ahnung hat, wie man seine Identität verschleiert.
Ich rede aber von lediglich HTML Code in Entwicklerkonsole ändern... das hat ja nichts mit einklinken zutun
Ich weiß, aber es wird wie bereits gesagt nicht funktionieren, also ist da auch nichts nachweisbar, weil Du lediglich den optischen Wert änderst. Wie es funktionieren würde, habe ich Dir ja geschrieben und das dies dann anschließend auch strafbar und evtl. nachweisbar wäre.
Es hat aber funktioniert. Daher frage ich...
Frage mich nur, wie man nachweisen könnte das jemand in seiner Konsole was geändert hat
Eigenentwicklung? Willst Du dich selbst anzeigen, wenn es funktioniert?
Ich glaube du verstehst es nicht so ganz. Ich will wissen wie man sowas Nachweisen könnte oder sonst was, wenn jemand Lokal etwas ändert.
Doch, ich verstehe Dich. Du verstehst mich nicht. Ich habe Dir schon mehrfach gesagt, dass man das nicht nachweisen kann, wenn man es lokal/optisch ändert.
Wenn ich Dich dann anschließend noch frage, um was für eine Seite sich handelt und Du mir "Eigenentwicklung" sagst, was ergibst das dann bitte für einen Sinn? Wieso fragst Du nach irgendwelche Folgen, wenn Du auf deiner eigenen Seite etwas ändern willst?
Natürlich kannst du das machen. Ich kann mich erinnern, dass es einige online Shops gegeben hat, die ohne vorherige Überprüfung den Preis von den Input-Feld ausgelesen haben und man konnte einfach so den Preis ändern.
Solange du dann nicht eine unrealistische Zahl hineinschreibst( so wie eine - Zahl, dass dir der Online Shop sogar Geld zahlen müsste), dürfte es nicht auffallen.
sollte das funktionieren und die werte über ein hiddenfield gelesen werden welche dann ungeprüft weiterverarbeitet werden und so den kontostand erhöhen
dann hat der entwickler nicht nur mist gebaut sonder ist seines namens nicht wert.
ob es rechtlich relevant ist denke ich schon.
nur weil ein pormonai auf dem tresen liegt darf man nicht einfach geld rauanhemen
Naja, aber wer bzw wie kann man nachweisen, das eine Person es geändert hat? Da es ja eigentlich nur Lokal bei ihm geändert war...
Also ganz allgemein kann man wohl sagen das die Wahrscheinlichkeit erwischt zu werden wohl verschwindent gering ist. Kommt natürlich auf fie größe der Webseite und den Gegenwert der Coins an. Ich würde dir schlicht davon abraten, aber jeder ist sich selbst der Mann.