Einer meiner Arbeitskollegen schwärmt seit einigen Tagen vom neuen Monopoly City Streets dabei handelt es sich wohl um eine neue, moderne google-map fähige Version von Monopoly.

Der Run auf das neue Onlinespiel ist gigantisch, offenbar gibt es noch immer zuviele Leute da draußen die einfach zuviel Tagesfreizeit haben.

Leider stellte sich gestern heraus, dass Hersteller von Brettspielen gefälligst auch Brettspiele herstellen sollten und sich nicht an modernen Techniken verusuchen sollten.

1. Das Ding läuft wie ein Sack Nüsse

Seit dem Launch ist die Seite so gut wie gar nicht erreichbar – nach Angaben des Betreibers wurde bereits ein großer Server-Cluster aufgebaut, also möchte ich diese Performanceprobleme doch auf die Software schieben.

2. Das System hat einen riesigen Bug, welcher Account Highjacking möglich macht:

Nehmen wir an es gibt einen Nutzer netjungle welcher die wichtigsten Straßen der Welt besitzt und sich in diesem Spiel dumm und duselig verdient.

Jetzt kommt ein anderer Nutzer auf die Idee sich mit dem Namen NETJUNGLE anzumelden – man sollte davon ausgehen, dass das nicht funktioniert. Aber das tut es. Man kann sich also mit seinem neuen Account mit praktisch gleichem Namen einloggen, man erhält wieder 3 Millionen Startgeld und merkt auch erstmal nicht, dass man noch Zugriff auf die Straßen des Accounts “netjungle” hat. Erst wenn man mal zufällig (oder absichtlich) auf einer Straße von “netjungle” landet kann man sehen, dass man dort auch bauen kann.

Die Entwickler ordnen die Straßen also nicht über eine Account-ID zu sondern offensichtlich über den Accountnamen, dabei scheint die Zuordnung der Straßen case unsensitive, die Überprüfung der freien Usernamen hingegen case-sensitive.

Dazu kann ich eigentlich nur noch eins sagen: HAHA, HAHA, HAHA und nochmal HAHA!