Warhammer 40,000: Sanctus Reach

Review zu Warhammer 40,000: Sanctus Reach von Slitherine Ltd.


Author: A.S. | Verfasst am: 01.03.2018 | Aktualisiert am: 22.04.2018

Warhammer 40,000: Sanctus Reach
Veröffentlicht: 2017
Plattform: Steam
Genre: Warhammer 40k
Beinhaltet: Werbung, Google Analytics
hosts: Details

Während der Laufzeit von Warhammer 40,000: Sanctus Reach sind diverse Dienste im Hintergrund aktiv. Einige werden benötigt um den vollen Funktionsumfang des Spiels zu garantieren, andere Dienste betreffen Game-Analytics die Infos zu Hard und Softwaredaten der Nutzer weitergeben. Ebenso werden aufgenommene Registrierungs/Logindaten im Klartext übermittelt. Anhand vom Ablauf nun im Detail erklärt.

Auf gehts


Als neuer Besitzer eines frisch installierten Spiels aus dem Warhammer-Universum habe ich mit voller Vorfreude auf "Spielen" gedrückt. Es öffnet sich als erstes ein Launcher, der vollgepackt ist mit externen Links (Werbung) und im Hintergrund schon fleißig Daten vom Nutzer aufnimmt.

Die dafür zuständigen Adressen im Launcher lauten:




  1. www.google-analytics.com
  2. www.matrixgames.com


Google Analytics nimmt vom Spieler folgende Daten auf:


Der Reihe nach SDK Version, Zufallszahl um Google Analytics mit Adsense zu verbinden, Deklaration des Usertrackings... in dem Fall Pageview, Treffersequenz, Zugehörigkeit "Webseite/Launcher/Steam/SpielID", Spracheinstellungen, verwendetes Betriebssystem, Name der Applikation, Tiefe der Auflösung, verwendete Auflösung, Viewportgröße (sichtbarer Bereich), Java an/aus, Flashversion, Google Analytics-Verifikationscode und damit verbundene ID um Analytics an Doubleclick zu binden, eine generierte NutzerID und ein paar andere Dinge.

Es handelt sich hier größtenteils um technische Details aber auch Nutzereinstellungen/Systemdaten...

Die dazugehörige Google AnalyticsID lautet: UA-44212718-3 und wird ageod.co.uk, ageod.com und ageod-forum.com zugeordnet

Matrixgames im Einzelnen:


Die zweite kontaktierte Adresse nimmt die GameID, Seriennummer auf und beinhaltet zudem Daten für die CSS Formatierung des Launchers. Inklusiv Grafiken

---

Aber genug vom Launcher, wollen ja auch etwas vom Spiel sehen ;] Deswegen wurde der Titel schließlich ursprünglich gekauft... Also denn, fix der Playbutton gedrückt.

Kurze Wartezeit. Nach dem Intro werden im Hauptmenü weitere Adressen aufgerufen. Je nach Art der Zuständigkeit ändern sich die Pfade logischerweise. Hier sind nur ein paar Beispiele genannt.

pbem2.slitherine.com
Überträgt Clientversion, Zeitstempel, EnableKickPlayerSeconds, Errorcode usw, Muiltiplayerlogin...
http://pbem2.slitherine.com/PBEM2/sanctus/info.php

usercontent.slitherine.com
Beinhaltet Beschreibungen der Usergenerierten Inhalte
Vollständige URL: http://usercontent.slitherine.com/sanctus/list.txt

www.slitherine.com
Metrics mit Seriennummer und diversen Spielangaben, Serverliste
Vollständige URL: http://www.slitherine.com/games_exchange/sanctus/metrics.php?
gefolgtvonParametern

Außer der Metrics in diesem Abschnitt soweit im Großen und Ganzen ok da diese Abfragen diverse (optionale) Funktionen unterstützen...

---

Multiplayer | Klartextdaten


Vom Hauptmenü ab in den Multiplayer. Hier wird es interessanter. Dort erwartet einen erstmal ein Loginfeld, bzw. ein Feld zur Registrierung. Im Test habe ich irgendeinen Namen und Passwort für den Login eingegeben und geschaut, was passiert. Heraus kam Folgendes:

HTTP/1.1 200 OK
Server: nginx/1.10.2
Date: Thu, 01 Mar 2018 01:16:45 GMT
Content-Type: text/plain;; charset=UTF-8
Content-Length: 104
Connection: keep-alive
X-Powered-By: PHP/5.3.3

GET http://pbem2.slitherine.com/PBEM2/sanctus/auth_steam.php?login=Pengin&password=ganztollespw11&serialNum=new HTTP/1.1
User-Agent: SlithMPOpen
Host: pbem2.slitherine.com

{"ErrorCode":"8","ScriptLine":334,"ScriptName":"auth_steam.php","ErrorComment":"Login isn't correct"}

Geforderte Logindaten wie es an den Übergabeparameter zu sehen ist, sind unverschlüsselt ^^ Der Login war natürlich nicht korrekt. Fragt sich da nur, warum ingame Passwörter mit Asterisks unkenntlich gemacht werden, wenn die sowieso lesbar sind.

Auch die Registrierung läuft im Klartext ab



HTTP/1.1 200 OK
Server: nginx/1.10.2
Date: Thu, 01 Mar 2018 01:23:28 GMT
Content-Type: text/plain;; charset=UTF-8
Content-Length: 3
Connection: keep-alive

GET http://pbem2.slitherine.com/PBEM2/sanctus/register_steam.php?login=xxxxxx&password=xxxxxx&email=xxxxxx@xxxxxx.de HTTP/1.1
User-Agent: SlithMPOpen
Host: pbem2.slitherine.com

Auch hier sind Nutzername, Passwort und E-Mail in der Übergabe ohne weiteres lesbar. Diesmal im Beispiel natürlich ausgext von mir weil ich nicht möchte, dass selbst Testdaten öffentlich sind ;]

---

Nach diesem Spielerlebnis nun Abstand vom Multiplayer genommen und als nächstes die Kampange gestartet. Dort erwartet einen wieder die Metrics, die von der genannten slitherine Adresse aufgerufen wird.

Ergo schon gar keine Lust mehr, mich mit diesem Titel weiter zu beschäftigen

---

[Update vom 04.03.2018]


Wie vermutet wurde bei anderen überprüften Spielen dieser Firma z.b. "Warhammer 40,000: Armageddon" genau dasselbe Verhalten bezüglich Logindaten beobachtet
[Update 22.03.2019, 15:56:52]
Gameindustry.de und sämtliche Inhalte sofern nicht anders angegeben
© 2004-2019 by „ペンギン“, - PT Designs - Hier veröffentlichte Hosts stehen unter Creative Commons License

Zurück zum Seitenanfang