top of page

Passwörter, Rate-Limits und Konten ohne E-Mail

  • Autorenbild: Marcel Dütscher
    Marcel Dütscher
  • 6. Juli
  • 1 Min. Lesezeit

Aktualisiert: vor 5 Tagen

Blocks Beyond The Stars wird auch von Kindern gespielt. Das prägt nicht nur das Spieldesign, sondern auch die Sicherheitstechnik dahinter. Drei Beispiele.


Konten ohne E-Mail — mit Absicht. Für ein Spielerkonto bei uns braucht es keine E-Mail-Adresse. Das ist kein fehlendes Feature, sondern eine Entscheidung: Wir wollen so wenig persönliche Daten wie möglich, gerade von jungen Spielern. Was wir nicht speichern, kann auch nicht verloren gehen. (Die ehrliche Kehrseite: „Passwort vergessen" per Mail gibt es dadurch nicht — das kommunizieren wir offen.)


Welt-Passwörter, richtig gemacht. Wer seine Welt schützt, dessen Passwort wird niemals im Klartext gespeichert, sondern als PBKDF2-Hash — selbst wir können es nicht auslesen. Geprüft wird das Passwort, bevor die Welt aufgeweckt wird, damit Fremde nicht durch bloße Join-Versuche fremde Welten hochfahren. Und nach zehn Fehlversuchen in 15 Minuten gibt es eine Abkühlpause gegen Durchprobieren.


Automatische Wächter. Unser Code läuft durch CodeQL, GitHubs statische Sicherheitsanalyse. Die hat uns tatsächlich schon erwischt: Ein Sprach-Cookie war anfangs ohne die Flags Secure und HttpOnly gesetzt — harmlos klingend, aber unnötig angreifbar. Gefixt, und seitdem schauen wir auf jeden neuen Alert.


Der rote Faden: Sicherheit ist bei uns keine Abteilung, sondern eine Reihe kleiner, konsequenter Entscheidungen. Für ein Spiel, das man dem eigenen Kind gibt, ist das die einzige Art, die sich richtig anfühlt.

Aktuelle Beiträge

Alle ansehen

Kommentare


bottom of page