Passwörter

Passwörter im HuBBa Hotel werden per Blowfish Algorithmus verschlüsselt und sind daher auch mit vollem Datenbank Zugriff nicht einsehbar. Anders als bei MD5 und SHA1 gibt es zu Blowfish derzeit keine Rainbow Tables, wodurch die Hashes derzeit nicht geknackt werden können. Außerdem nutzen wir kryptografisch sichere Salts zur Erstellung der Hashes, wodurch selbst bei Verwendung des selben Passworts niemals der selbe Hash generiert wird. Der Salt wird zur Verifizierung mit dem Hash in der Datenbank gespeichert, das ist das derzeit empfohlene Verfahren.
Ein gespeichertes Passwort sieht also z.B. wie folgt aus “$2y$10$.vGA1O9wmRjrwAVXD98HNO gsNpDczlqm3Jq7KnEd1rVAGv3Fykk1a”. Wir akzeptieren für Passwörter ohne Einschränkung alle Zeichen und eine maximale Länge von 72 Zeichen. Falls in Zukunft neuere Techniken für die sichere Speicherung von Passwörtern nötig sind, wird dein Passwort automatisch beim nächsten Login auf die neue Technik umgestellt. Das haben wir in der Vergangenheits bereits 4x gemacht, völlig automatisch um deine Sicherheit zu garantieren.
 

Datenbankzugriff

Nur eine sehr geringe Anzahl an Mitarbeitern bekommen das Recht, auf die Datenbank zuzugreifen. Es wird niemals ein Zugriff auf die gesamte Datenbank gewährt. Mitarbeiter bekommen nur die für ihre Tätigkeiten, nötigen Tabellen wie z.B. Zugriff auf den Katalog, Möbel Einstellungen, Itemshop, Eventkisten usw.

Der einzige Mitarbeiter der Zugriff auf persönliche Daten hat, ist der Manager, welcher E-Mail Adressen einsehen und bearbeiten kann. Dies dient dazu Besuchern zu helfen, die den Zugriff auf ihre E-Mail und das Passwort ihres Accounts verloren haben. In dem Fall kann der Manager, falls Identität des Besuchers bestätigt werden kann, die E-Mail Adresse ändern um eine Passwort Wiederherstellung zu ermöglichen. Der Manager hat keine Möglichkeit dein Passwort direkt zu ändern, oder sich in deinen Account einzuloggen. Ein neues Passwort muss über die offizielle “Passwort vergessen?”-Funktion auf der Startseite angefordert werden.
 

Gesprächsmitschnitte (auch genannt “Chatlog, Chatverläufe”)

Um Besucher, die sich nicht angemessen verhalten unter Kontrolle zu halten, ist es nötig, dass Mitarbeiter des Support Bereichs ein Blick auf die aktuellen Gespräche werfen können. Diese Möglichkeit wird geboten, wenn der Mitarbeiter einen Hilferuf erhält, einen Besucher in einem Raum anklickt, oder den gesamten Gesprächsverlauf eines Raumes anschaut. Wenn ein Mitarbeiter diese Aktion durchführt, wird dies permanent aufgezeichnet. Mitarbeiter, die dieses Recht missbrauchen, werden aus dem Team entlassen. Falls der Verlauf aufgerufen wird, kann der Mitarbeiter die aktuellen Nachrichten sehen um Konflikte zu lösen. Ein globaler Zugriff auf Gespräche ist nicht möglich. Gespräche die über den privaten Messenger geführt werden, können nicht eingesehen werden.
 

Serversicherheit

Nur der Server Techniker hat Zugriff auf den Server. Team Mitglieder hatten noch nie und werden auch nie Zugriff auf den Server haben. Fremde Techniker haben ebenfalls niemals Zugriff auf den Server. Fremde PHP oder JS Scripte von unbekannten Personen werden niemals verwendet. Unsere gesamte Seite ist selbst geschrieben um höchste Sicherheit zu gewährleisten.
 

Cookies

Cookies werden verwendet um deinen aktuell einloggten Account zu identifizieren. Cookies auf unserer Seite sind an zahlreiche Parameter gebunden. Es ist daher nicht möglich deinen Cookie in einem anderem Browser zu nutzen, außer der Angreifer hat bereits vollen Zugriff auf dein Gerät. Das liegt dann offensichtlich außerhalb unserer Möglichkeiten. Die Gültigkeit eines Cookies verfällt nach maximal einer Woche.
 

XSS & SQLi

Alle SQL Befehle werden vom Interpreter automatisch gefiltert, keine fragwürdigen selbstgebastelten Scripte.
HTML auf der Seite wird in allen von Besuchern veränderbaren Daten gefiltert.
Script Tags werden auch in News Artikeln automatisch entfernt, selbst Mitarbeiter können kein XSS ausführen.
 

Einkäufe im Itemshop

Um Einkäufe im Premium Itemshop zu verarbeiten, verwenden wir einen externen Partner.
Dieser Partner bekommt von uns folgende Daten: Deine interne UserId, E-Mail Adresse und ggf. deinen Nutzernamen.
- Falls du per Kreditkarte bezahlst, werden alle Daten von unserem reputablen Zahlungspartner, der Partner deines Kreditkartenanbieters ist, verarbeitet. Wir haben niemals Zugriff auf deine Zahlungsdaten.
- Falls du per PayPal bezahlst, erfolgt die gesamte Abwicklung direkt über PayPal. Wir speichern keinerlei Daten über deinen Zahlungsvorgang in unserer Datenbank.
- Falls du per direkter Überweisung z.B. mit Sofort Überweisung oder GiroPay bezahlst, wird deine Zahlung direkt über diese Anbieter abgewickelt. Wir haben keinerlei Möglichkeit deine Bankdaten zu sehen.
- Zahlungen über PaySafeCard werden von uns direkt abgewickelt. Die PSC-Codes werden ggf. zwischengespeichert.
 

Kommunikation mit dem Webserver

Deine Verbindung zu unserem Webserver wird von Cloudflare mittels SSL verschlüsselt.
Die Kommunikation zwischen Cloudflare und unseren Servern wird ebenfalls über SSL mit einem gültigen LetsEncrypt Zertifikat verschlüsselt.