AW: Steam: Erweiterungen für Google Chrome leeren Steam-Inventar
Würden diese nämlich über Steam OpenID gehen dann müsste man auf die Steam OpenID Seiten kommen und den folgenden Text sehen
nur mal so ne info am rande:
erweiterungen müssen sich prinzipiell an garnichts halten.
erweiterungen können CSP aushebeln, requests mit falschem referrer machen, request body's und header verfälschen etc. etc.
ne ebene tiefer können sich erweiterungen auch noch bewegen.
diverse ad blockende erweiterungen können auf diese weise ressourcenschonend ads blockieren oder beispielsweise wirklich nützliche debugging features dem browser hinzu fügen.
es ist mit erweiterungen kein problem internetseiten in jeglicher form zu spoofen.
dass der hier genannte fall eintritt war nur eine frage der zeit.
der account inhaber lacht sich schlapp da die items mit sicherheit schon lange auf irgendwelchen gambling seiten gewaschen wurden oder ggf sehr viele hops hinter sich haben.
Technisch wäre es für Valve absolut kein Problem, diese Spiele (Geschenke) zurückzugeben... Anders als bei handelbaren Gegenständen, denn diese werden nur dupliziert, und verlieren dabei Wert. Ob sie jedoch so kulant sind?
technisch gesehen hat jedes item ne unique id. rechtlich gesehen kann valve dublikate aushändigen da nicht mehr nachvollziehbar ist ob am ende jemand auf legale weise eines dieser items erworben hat. (wie auch immer)
noch ein kleiner nachtrag (rant):
technisch gesehen kann valve NICHTS gegen chrome erweiterungen machen da sie sich wie "normale benutzer" verhalten können.
valve könnte nur verbieten dass der handel über chrome / firefox etc. überhaupt möglich ist.. oh wait.. man kann ja die browser id spoofen und da der steam client webkit benutzt ist "chrome" garnicht so abwegig um so zu tun als ob es sich tatsächlich um den eigentlichen steam client handelt.. dank diverser reverse engineering erfolge ist es sogar möglich die eigentlichen steam client funktionen ohne steam client zu nutzen.
valve ist einfach machtlos.
die abschaltung solcher funktionen hat nur zur folge dass leute wie seishun, DoctorMcKay, viele andere leute und sogar meine wenigkeit alternativen suchen damit die gambling seiten etc. weiterhin am leben bleiben.
es wird immer leute geben die das zeug für böse zwecke einsetzen. wenigstens mein zeug is closed source aber was bringts.. es ist einfach allgemein bekannt wie steam und sogar die source engine im inneren arbeiten und so lange gambling seiten etc. den betreibern / codern / mods geld in die taschen schieben wird es auch so schnell keiner aufgeben lösungen zu finden. selbst valve profitiert in kleinen teilen von gambling seiten da diese den key verkauf ankurbeln und gewonnene items sehr oft im steam market landen und dort ebenfalls gekauft werden.
man bedenke dass die two way authentication kurz nach bekanntgabe durch valve's trade einschränkungen von der community automatisiert wurde. es ist mittlerweile ein leichtes bots zu betreiben die sich wie normale nutzer verhalten. valve kann nur honeypots platzieren die auf fehler in diesen frameworks anspielen. sowas würde allerdings nur für wenige stunden helfen. valve ist sich dessen bewusst.
so. folgendes auf eigene gefahr. generell sollte niemand erweiterungen nutzen sofern er nicht selbst dazu in der lage ist den code der erweiterungen zu untersuchen:
da ich nicht der author der folgenden erweiterungen bin kann ich nicht versichern dass diese auch in zukunft sauber sind. aktuell ist es jedoch der fall.
ich empfehle:
https://chrome.google.com/webstore/detail/enhanced-steam/okadibdjfemgnhjiembecghcbfknbfhg
und
https://chrome.google.com/webstore/detail/steam-inventory-helper/cmeakgjggjdlcpncigglobpjbkabhmjl