Cookies op Tweakers

Tweakers is onderdeel van DPG Media en maakt gebruik van cookies, JavaScript en vergelijkbare technologie om je onder andere een optimale gebruikerservaring te bieden. Ook kan Tweakers hierdoor het gedrag van bezoekers vastleggen en analyseren. Door gebruik te maken van deze website, of door op 'Cookies accepteren' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt? Bekijk dan ons cookiebeleid.

Meer informatie

'Steamclient kwetsbaar door bugs die Valve al twee jaar lang niet wil fiksen'

Drie actieve bugs in Steam maken de gameclient kwetsbaar voor remote code execution via invites en servers van derden. Twee van de bugs zijn al twee jaar niet gerepareerd, ook al zijn deze twee jaar geleden al gemeld via HackerOne. De melders mogen de kwetsbaarheid niet delen.

De groep hackers, onder de naam The Secret Club, heeft drie de kwetsbaarheden via het bugbountyprogramma op HackerOne gemeld, zonder dat de bugs gefikst zijn. Ook krijgen zij geen bericht van Valve na herhaaldelijk contact zoeken. Het gaat om een kwetsbaarheid die remote code execution mogelijk maakt in alle Source-engine games via een Steam invite, een kwetsbaarheid die remote code execution mogelijk maakt in Team Fortress 2 via community servers en een zeroday die remote code execution mogelijk maakt in CS:GO. Geen van de drie kwetsbaarheden zijn tot op heden door Valve gepatcht.

De kwetsbaarheden maken het mogelijk om via Steam een extern programma te openen in het OS, zoals in het voorbeeld van de makers de rekenmachine, om zo in potentie een computer over te nemen of software te draaien om persoonlijke informatie te stelen van gebruikers. Voor Steam-gebruikers betekent het dat zij geen vriendenverzoeken meer kunnen accepteren of communityservers kunnen joinen, zonder te riskeren dat hun systeem overgenomen wordt.

De oudste bug twee jaar geleden werd ontdekt door de Duitse hacker Florian, op Twitter @floesen. De bug werd erkend op het platform na een aantal maanden en een half jaar geleden kreeg de hacker, na herhaaldelijk contact opnemen met Valve en HackerOne, een vergoeding voor zijn melding. Maar twee jaar na het melden van de bug is deze niet gefikst, en hij mag zijn bevindingen niet openbaar delen.

De groep zegt actief tegengewerkt te worden in het melden van de bugs, omdat zij volgens de regels van HackerOne niet mogen publiceren over de bugs, tenzij Valve hier toestemming voor geeft of de bug gefikst is. Zolang Valve niet reageert, kunnen zij de kwetsbaarheden niet openbaren zonder het risico te lopen dat zij van het HackerOne-platform afgegooid worden.

Het is niet de eerste bug in Steam. In december patchte Valve de Steam-client na melding van beveiligingsonderzoekers in september van vier verschillende bugs die het mogelijk maakten om via Steam een computer over te nemen via third-partygameservers. En ook in 2019 werden kritieke bugs ontdekt door beveiligingsonderzoeker Vasily Kravets, schrijft Zdnet. De hacker stuitte op hetzelfde probleem als de onderzoekers van The Secret Club. Na het melden van de kwetsbaarheid deed Valve het af als niet geschikt en vond het niet relevant om de bug te fiksen.

Kravets kreeg van HackerOne te horen dat het de kwetsbaarheid niet mocht openbaren, ongeacht of Valve het geschikt vond of niet. Hij besloot alsnog de kwetsbaarheid te melden. Een andere onderzoeker ontdekte dezelfde kwetsbaarheid en in augustus 2019 volgde een patch, maar die is volgens Kravets makkelijk te omzeilen.

En Kravets en The Secret Club zijn niet de enigen die te horen hebben gekregen dat zij de kwetsbaarheden niet mogen openbaren, vanwege de regels van HackerOne. Zo zegt Twittergebruiker @killa dat hij meerdere keren tegen problemen aangelopen is het met melden van bugs bij Valve, omdat Valve het in tegenstelling tot andere bedrijven niet toestaat om kwetsbaarheden te openbaren als het bedrijf niet tijdig reageert op een bug report op HackerOne. Hij zegt dat publicatie betekent dat je van het platform wordt geweerd. Een ander zegt pas na elf maanden te zijn betaald voor een kwetsbaarheid in Valve. Beveiligingsonderzoeker Jake Gaeler wijdde zelfs een hele blog aan zijn ervaring met het melden van een kwetsbaarheid bij Valve op HackerOne.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Stephan Vegelien

Redacteur

12-04-2021 • 15:29

74 Linkedin

Submitter: Xorgye

Reacties (74)

Wijzig sortering
Erm...

De genoemde bugs zitten in Source engine games en andere Valve games. Dat toevallig deze kan worden getriggerd door een Steam invite betekend niet dat de Steamclient kwetsbaar is, de source engine games zijn kwetsbaar. Of is het Internet opeens kwetsbaar als er een bug in Windows/Linux/MacOS zit? De genoemde bugs moeten gepatched worden in de Valve games en voor zover ik kan zien niet in Steam.

Wellicht wordt het door velen gezien als 'slechts' een issue van benaming, de gemaakte reacties laten echter zien dat velen niet verder lezen dan de titel en/of niet begrijpen wat er wordt gezegd.
Technisch gezien heb je natuurlijk helemaal gelijk; de kwetsbaarheid zit in een ander stuk software dan kranten (en zelfs ook Tweakers) rapporteren.

Hoe dan ook is Valve degene die het probleem moet oplossen. Ze kunnen de kwetsbaarheid oplossen door dit aan de kant van hun invite-server te mitigeren, en daarmee iedere game in een keer per direct niet meer kwetsbaar maken, of ze kunnen de source engine patchen, maar Valve moet dit toch echt gaan doen.

Onder de streep is dit nog steeds een one-click RCE in Valve's software die na twee jaar nog niet opgelost is. Als ik de melders was, had ik na 90 dagen niks doen al besloten om publiekelijk te gaan met de proof of concept.
Hoe dan ook is Valve degene die het probleem moet oplossen.
Absoluut mee eens!
Ze kunnen de kwetsbaarheid oplossen door dit aan de kant van hun invite-server te mitigeren, en daarmee iedere game in een keer per direct niet meer kwetsbaar maken, of ze kunnen de source engine patchen, maar Valve moet dit toch echt gaan doen.
Dit voelt aan als je huis vuurvast te maken terwijl er in huis een goedkope Chinese scooter staat die elk moment flink vlam kan vatten. Je lost een bug toch op bij de bron en niet blokkeren via een communicatie kanaal.
Onder de streep is dit nog steeds een one-click RCE in Valve's software die na twee jaar nog niet opgelost is.
En dit is dan ook absoluut iets waar Valve op aangesproken moet worden. Net als dat Tweakers.net en tweakers aangesproken moeten worden op het correct rapporteren van het nieuws. ;-)

Het grootste issue hier is dat dit zaken zijn die alleen spelen bij gebruikers die dergelijke Valve games spelen onder die specifieke omstandigheden, het gros van de Steam gebruikers doet dat niet. Om op het eerdere voorbeeld terug te komen, dit is van de daken schreeuwen dat iedereen zijn huis vuurvast moet maken, terwijl het gros van het publiek niet eens zo een goedkope Chinese scooter heeft...
Onder de streep is dit nog steeds een one-click RCE in Valve's software die na twee jaar nog niet opgelost is.
Technisch gezien heb je misschien gelijk ( ;) ) maar voor alle steam-gebruikers die geen valve-spellen spelen (en dat zullen er nogal wat zijn) maakt dat wel het verschil tussen hier last van hebben of niet.
Is dat wel helemaal waar wat je zegt? De invites worden toch helemaal niet puur ingame gedaan voor de source games, maar lopen toch via de Steam client?

Afgezien van het technische gedeelte is het natuurlijk ronduit belachelijk dat deze problemen na al die tijd niet opgelost zijn. Misschien is er wel een reden dat Valve helemaal niet wil dat deze problemen opgelost worden, al kan ik mijn niet voorstellen waarom niet.

Als het nu ook games zijn die bijna niet gespeeld worden, maar miljoenen mensen spelen deze games en kopen voor honderden miljoenen aan ingame spul. Dan mag men toch verwachten dat de ondersteuning nog steeds goed is en dat dit soort problemen zo snel mogelijk opgelost worden.
Afgezien van het technische gedeelte is het natuurlijk ronduit belachelijk dat deze problemen na al die tijd niet opgelost zijn. Misschien is er wel een reden dat Valve helemaal niet wil dat deze problemen opgelost worden, al kan ik mijn niet voorstellen waarom niet.
Ik ook niet en alleen maar herhalen wat andere roepen zonder zelf te checken (bij Valve) waarom dit niet wordt gefixt. Je weet wel, informatie die journalisten meestal bovenwater krijgen...

Eind vorig jaar kwam men andere issues tegen die ook vergaande gevolgen hadden, dat is toen wel heel vlot opgepakt, waarom hier dan niet?

Bron:
https://blog.checkpoint.c...thousands-gamers-at-risk/

Sidenote: Ook hier komt de naam Steam weer naar boven, maar ook hier is het weer niet Steam zelf die het issue heeft, maar componenten die Steam in de naam hebben en gebruikt worden door verschillende games.
Ik ben het niet helemaal met je eens. De probleem ligt misschien aan de source engine maar dat houd niet in dat het probleem ook niet ergens anders verholpen kan worden. Nu zeg ik eerlijk dat ik even snel door de artikel gescrolld heb. Maar het leek me dat als de invite er niet zou zijn dat de bugs in de engine misschien niet (zo makkelijk) getriggerd kan worden. Zelfde als je internet voorbeeld. De internet zelf is dan niet kwetsbaar maar zou de Windows computer geen internet hebben zouden de meeste kwetsbaarheden niet zo belangrijk zijn. Of te wel beide zijn toch noodzakelijk om de ene kwetsbaar te maken. Al zou de meeste kwetsbaarheden misschien ook wel door een usb stick met verkeerde software misbruikt kunnen worden maar dat is toch wel een veel kleinere kans dat je zoveel mensen als nu besmet.
Zie het als malware binnenkrijgen via email die vervolgens een bug misbruikt in Windows. Is dat een issue met de email server, de email client, het email protocol? Natuurlijk niet, dat is een Windows issue!

Het issue moet worden opgelost. Zelfs de melders via Twitter geven niet aan dat dit een issue is in Steam, maar in de Source Engine. Tweakers.net maakt dit er zelf van of heeft dit artikel geschreven op basis van andere bronnen.
Zie het als malware binnenkrijgen via email die vervolgens een bug misbruikt in Windows. Is dat een issue met de email server, de email client, het email protocol? Natuurlijk niet, dat is een Windows issue!

Het issue moet worden opgelost. Zelfs de melders via Twitter geven niet aan dat dit een issue is in Steam, maar in de Source Engine. Tweakers.net maakt dit er zelf van of heeft dit artikel geschreven op basis van andere bronnen.
"Zie het als malware binnenkrijgen via SMS die vervolgens een bug misbruikt in iOS om je hele telefoon te laten crashen. Is dat een issue met het SMS backend; de SMS client op de telefoon; of het SMS protocol? Natuurlijk niet, dat is een iOS issue."

Maaruh... toch waren alle telco's er heel snel bij om (bij herhaling - want dit geintje heeft meermalen plaatsgevonden) aan hun zijde extra filtering neer te zetten om dat soort bewust gemanipuleerde SMSjes tegen te houden.

Hetzelfde geldt hier:
Het issue ligt aan beide kanten. De Source engine is natuurlijk primair het probleem. Maar secundair blijkt hieruit dat Valve binnen de Steam client in geen enkele wijze of vorm sanity checks of sanitization draait op de payload van een invite.

En juist op niveau van de Steam client dit afvangen is - zeker als mitigatie - een heel goed idee. Dan is met één patch 99.99% van de gebruikers beschermd, ipv dat alle games hun individuele build van de Source engine moeten gaan patchen en allemaal individueel een patched versie van hun product opnieuw bij Steam moeten indienen. Dan kun je bij sommige oude titels, zeker in het geval van third-parties die ook van Source gebruik maken, waarschijnlijk gaan wachten tot je een ons weegt: die patch gaat echt niet meer komen.
Je hebt gelijk, slechte verwoording, maar maakt het niet minder belangrijk. Je kunt op deze manier alles al kwijt raken door op een geïnfecteerde gameserver te spelen.
Daarnaast ook erg opletten met malafide sites waarbij je in moet loggen met je Steam, sommige willen namelijk wel eens een call richting Steam maken zodat je 2FA wordt uitgeschakeld (je geeft een soort van toestemming wat lijkt op inloggen) en je dus al je items kwijt kan raken..
Het klopt dat source engine en steam twee verschillende producten zijn.

The source engine wordt gebruikt in de orange box games, left 4 dead 1-2, portal 2 -maby 2.

Er wordt in het artikel specifiek naar bepaalde games verwezen, echter de source engine lib onderwater zijn het zelfde. Dus of ook die zijn kwetsbaar of de bug heeft betrekking tot de games specifieke libaries.
Howla, dit schept toch een heel ander beeld van Valve dan ik in mijn gedachten had. Toch misschien maar even nadenken over andere launchers en de connectieverzoeken via steam een halt toe te roepen. Dit zijn al geen kleine bugs meer, eerder intrusieve nalatigheden.

[Reactie gewijzigd door junkchaser op 12 april 2021 15:38]

Niemand weet hoe de code is geschreven, buiten de developers en voor een klein deeltje de onderzoekers. Exploits zoals deze zijn er niet altijd door nalatigheid dus dat kun je niet claimen. Het niet repareren van de bugs is dan weer wel nalatigheid.
Niemand weet hoe de code is geschreven, buiten de developers en voor een klein deeltje de onderzoekers. Exploits zoals deze zijn er niet altijd door nalatigheid dus dat kun je niet claimen.
Als je even nazoekt hoe het precies zat met het enorme gat wat de Steam Client sloeg in de beveiligingslaag van Windows zelf tussen normale gebruiker en administrator, dan ben je daarna misschien een andere mening toebedaan. Daar blijkt namelijk uit dat de algehele insteek is om beveiliging gewoon niet serieus te nemen.

Voor de goede orde hier het scenario:
De Steam Client gebruikte lange tijd de Steam Client Service om, terwijl Steam aan het draaien was, de security descriptors van de registry nodes die Steam in het windows registry wegschrijft onder de HKLM (local machine) categorie, met Full Control toegankelijk te maken voor normale niet-admin gebruikers. Lekker handig om vanuit de huidige gebruikersaccount bepaalde soorten acties (zoals bijv. firewall aanpassingen) te kunnen draaien zonder UAC prompts, toch?

Maar tegelijkertijd kan dus iedereen die register sleutels aanpassen. En daar bijv. een symbolische link in plaatsen naar een andere registersleutel, ook binnen het beveiligde HKLM segment. En wat bleek nou: de Steam Client Service volgde symlinks. Dus als je Steam afsloot en opnieuw startte, volgde de service de symlink en gaf deze ook Full Control aan de key aan het andere eind.

Leuk om bijv. het ImagePath van de Windows Installer service aan te kunnen passen naar je eigen malafide executable; vervolgens iets te doen wat het Windows Update proces triggert; en: hoppa. Fijn je rootkit onder de SYSTEM user hebben draaien.

Erger nog: de Steam Client Service is met een gewone user account te starten en stoppen. Dat is normaal gesproken wat de Steam Client ook moet kunnen doen zonder een UAC prompt te triggeren, aangezien Valve's developers kennelijk te dom zijn om uit te vinden hoe je dit op kunt zetten via een meer secure mechanisme waarbij enkel de Steam Client de achterliggende service een wake-up call kan geven.

Dus Steam hoefde feitelijk niet aan het draaien te zijn om dit te exploiteren. Het hoefde alleen maar geinstalleerd te staan. Een malafide actor kon zelf de service starten; de keys laten escaleren; de symlink aanmaken; de service stoppen en opnieuw starten; de doelsleutel achter de symlink aanpassen - bijv. van de Windows Installer; en als SYSTEM user binnen zijn.

Allemaal direct vanuit user land, omdat Valve simpelweg te lui; incompetent of nonchalant (pick your poison) was om UAC op de juiste manier te implementeren. En vervolgens geeft Valve als deze bug via HackerOne gerapporteerd is, ook nog eens terug aan HackerOne dat het als een non-issue geclassificeerd wordt.

[Reactie gewijzigd door R4gnax op 12 april 2021 19:49]

Hmm wanneer was dat? Is dit inmiddels wel gefikst?
Hmm wanneer was dat? Is dit inmiddels wel gefikst?
Valve heeft er 'iets' aan gedaan met mitigaties om het moeilijker exploiteerbaar te maken, maar heeft ook daar er nog meerdere keren op aan moeten leggen. Na hun eerste poging was er nl. nog 2 of 3 keer een bypass gevonden omdat ze bijv. bepaalde wel gemelde scenario's gewoon niet meegenomen hadden in hun mitigatie.

Echt fixen -- in de zin van dat achterlijke systeem niet meer gebruiken -- weet ik niet. Geen idee of ze dat ooit nog echt rechtgetrokken hebben. Maar mijn onderbuik zegt: waarschijnlijk niet.

[Reactie gewijzigd door R4gnax op 12 april 2021 23:42]

Hmm dat klinkt heel slecht.
Hmm dat klinkt heel slecht.
Slechtste is dat bovenstaand scenario schijnbaar ergens in 2012-2013 al voor het eerst herkend was door een beveiligingsonderzoeker en er toen niets mee gedaan werd; dat het in 2014-2105 nog eens op kwam en er weer niets mee gedaan werd; en toen het in 2019 via HackerOne bij Valve terechtkwam - Valve er wederom niets aan ging doen.

Erger nog: Valve heeft hun HackerOne registratie zo ingericht dat er geen deadline voor public disclosure is. Ze kunnen daarmee het HackerOne programma misbruiken en onderzoekers tot zwijgen dwingen. Men laat gewoon een gemeld probleem voor wat het is, en een onderzoeker mag dan volgens de voorwaarden nooit er over publiceren. In het 2019 geval hebben ze dat ook daadwerkelijk gedaan. En toen de desbetreffende onderzoeker het zwijgen doorbrak en toch met een publicatie kwam overtroffen ze dat nog eens door zelfs met een rechtszaak achter hem heen te willen gaan. Daar zijn ze uiteindelijk vanaf gestapt, met grote waarschijnlijkheid omdat het zaakje media-aandacht had verworven en de media - terecht - sympathiseerde met de onderzoeker.


Dan kun je lacherig gaan doen over "Valve Time" en het proberen te verbloemen - en dat doen sommigen die hun hart aan Valve en Steam verpand hebben dan ook nog wel eens - maar kom op zich: dit is gewoon op de grens crimineel nalaatbaar.

[Reactie gewijzigd door R4gnax op 13 april 2021 08:47]

Vreselijk inderdaad. Amerikaanse multinationals zijn vaak de ergste, met hun juridische afdelingen en managers.
Off-topic, nu ben ik toch benieuwd wat voor beeld jij hebt van Valve.
Ik nam (foutief) aan dat iedereen al lang weet dat Valve geldwolven zijn?

Ten opzichte van het aantal werknemers is het 1 van de best verdienende bedrijven in de wereld...
Waarom denk je dat andere bedrijven ook starten met een "winkel" en Apple/Google hun winkel op iOS/Android zo afschermen?
1 woord: melkkoe (gans met gouden eieren is wellicht de betere uitdrukking)
Valve die zich pas aan onze Nederlandse en Europese wetgeving ging houden toen de Duitse consumentenbond ging dreigen met boetes en sancties.

Valve die er eigenhandig voor gezorgd heeft dat duizenden internet communities hun virtuele deuren konden sluiten. Opzich op de juiste manier, door een goed product neer te zetten. Maar wat mis ik de oude mod-communities en random hulp bij errrors of problemen van de gamersites die gehost en gerunt werden door gamers met liefde voor de game waar je mods of oplossingen voor zoekt. Die community in Steam is een hork, waar te vaak eigenlijk helemaal niemand actief is of je zinloze kutdiscussies hebt over niets, want de uitgever kijkt er niet naar om. De workshop is leuk en maakt het wel makkelijker om wat mods bij elkaar te sprokkelen. Maar koop je games zoals Civilization niet via steam, ben je de sjaak en kan je geen gebruik maken van vele mods die niet op civfanatics te vinden zijn. (Hierom doet Factorio bv ook lekker zelf hun mod community hosten). Valve heeft hiermee een ontzettend stevige stok om andere stores buiten de deur te houden.

Valve die 10 jaar nodig heeft gehad om simpele features te implementeren zoals een 'unsubscribe all' in de workshop. Ik snap de ophef niet zo dat EPIC tijd nodig heeft om features te ontwikkelen.

Valve die er eigenhandig voor gezorgd heeft dat die achterlijke onzin met lootboxes gigantisch populair zijn geworden. Het was Counterstrike die lootboxes normaal gemaakt hebben! Geen EA of whatever.

Valve heeft wel een puik platform neergezet en veel lof voor hun enorme investeringen in het gamen op Linux. Maar dat platform misbruiken ze al vele jaren voor niets anders dan winst maximalisatie en hun investering op Linux is enkel uit eigenbelang, door niet afhankelijk te willen zijn van andermans platform.

Ze slaan mij te vaak de plank mis om gezien te worden als 1 of andere messiah voor gamers. Het is gewoon een bedrijf. In mijn ogen is het geen speciaal bedrijf dat zich daadwerkelijk ergens voor in zet dat niet uit eigenbelang is. De status waar Valve van geniet, is onterecht.
Die dingen kloppen allemaal. Maar je moet wel beseffen dan Valve niet bepaald een traditioneel bedrijf is. De werknemers binnen Valve die gaan een staan waar ze zelf willen, er word weinig gecommandeerd door bedrijfsleiders.

Het voorbeeld van de pas recent geïmplementeerde cookie-wall komt waarschijnlijk omdat simpelweg niemand zin had deze functionaliteit te bouwen.

Deze vrijheid dit zorgt er dus wel voor dat we geweldige nieuwe producten en diensten krijgen zoals Steam, Steam for Linux, SteamOS, Proton, Dota 2, Half Life Alyx, SteamLink, Valve Index. Dit soort producten hadden nooit bestaan als er binnen Valve bemoeizuchtige bedrijfsleiders zaten, dan was Valve nu gewoon een andere game company geweest die om de 2 jaar een generieke game released.
Ze weten keer op keer pracht software en hardware af te leveren. Ik verkoop mijn HP Reverb G2 wegens de gebrekkige WMR software.. gemaakt door Microsoft.. SteamVR werkt 10x beter en is waarschijnlijk met 10x minder budget ontwikkeld.
Valve die [...]
Je vergeet er nog een paar.

Valve die onder het mom van EU-belastingwetgeving van iedereen volledige NAW gegevens eist, ondanks het feit dat de wetsartikelen waar ze aan refereren specifiek stellen dat NAW gegevens enkel één mogelijkheid van velen zijn om te bewijzen aan welke lidstaat Valve's de BTW schuldig is. Kers op de taart: dankzij fel en wekenlang aanhoudend protest zijn ze terug moet komen op hun initiële beslissing om ook verplicht een contact-telefoonnummer te verstrekken. Want ja: dat werd origineel dus ook gewoon geeist.

Valve die het activeren van sleutels gekocht in andere EU lidstaten blokkeert en vervolgens tegen toezichthouders en rechtsprekende macht met een glanzend uitgestreken gezicht durft te claimen dat ze volgens hen niets fout gedaan hebben.

Valve die al 2 jaar lang weigert aanpassingen aan de nieuwe Steam Client Library interface te doen om tegemoet te komen aan mensen met epilepsie of soortgelijke aandoeningen die problemen ervaren bij het (gedwongen) gebruik van de drukke nieuwe interface die op cover-flows gebasseerd is.

Etc. etc.

Nee; Valve is al lang niet meer dat goede oude games bedrijf met de visie dat piraterij een service-probleem is. Ze staan tegenwoordig gewoon in hetzelfde lijstje als de andere bekende partijen in het digitale landschap die anti-consumer praktijken er op nahouden.

[Reactie gewijzigd door R4gnax op 12 april 2021 20:10]

En terwijl ze druk bezig zijn om andermans games ongevraagd naar Linux te porten, zijn de Mac versies van hun eigen games al meer dan een jaar onspeelbaar omdat er geen 64-bit update is geweest.

Ter vergelijking: MacOS heeft bijna vier keer zoveel gebruikersaandeel op Steam. Al dat werk word gedaan voor 0.8% van hun userbase, maar ruim 3% kan hun games niet meer spelen want Valve heeft geen zin om ze te updaten.

[Reactie gewijzigd door Wolfos op 12 april 2021 16:57]

Dat is een Apple probleem, geen Steam probleem. Als Apple hun OS gewoon 32-bit capable had gelaten dan had Valve hun games werkend kunnen krijgen via een macOS implementatie van Steam Runtime. Maar nee, Apple ging een stapje verder dan het verwijderen van alle 32-bit binaries, het gehele multi-lib functionaliteit moest uit het OS worden gesloopt.

Kijk bijvoorbeeld naar Linux en *BSD systemen, die draaien alleen maar 64-bit software, maar zijn over het algemeen nog wel multi-lib capable.

Daarnaast moet je uberhaupt blij zijn dat Valve zulke goede support heeft voor 10-20 jaar oude games. Meeste andere macOS games zullen nooit een 64-bit update krijgen.

Al het werk in Linux gebeurt niet omdat Valve dat wil, maar omdat dit is wat hun developers willen doen. Valve developers zijn vrij om hun eigen projecten te beginnen of zich aan te sluiten bij andere.
Apple is bezig met een overstap naar ARM. Die legacy meuk moest eruit.
Al het werk in Linux gebeurt niet omdat Valve dat wil, maar omdat dit is wat hun developers willen doen. Valve developers zijn vrij om hun eigen projecten te beginnen of zich aan te sluiten bij andere.
Dat klinkt als een mooie omschrijving voor "ik heb eigenlijk geen zin om CEO te zijn, dus werknemers doen maar wat". Gabe Newell kan beter met pensioen gaan en het bedrijf aan een professional overlaten die wèl zin heeft om te werken.

Zie dit artikel voor een beschrijving waarom deze structuur niet werkt:
https://www.theguardian.c...-workplace-tech-hollywood

[Reactie gewijzigd door Wolfos op 12 april 2021 17:14]

Legacy meuk eruit = legacy applicaties werken niet meer.
En dan vervolgens wordt er geklaagd dat de Legacy applicaties moeten blijven werken.

Het zou mijn niet verbazen als Valve de stekker uit macOS trekt zodra ARM marktaandeel wint in dit segment. Voor functionaliteit zoals SteamVR is al de stekker voor macOS er uit getrokken.

Voor de Coronacrisis zat Gabe de hele dag op kantoor Dota 2 te spelen. Om een beetje een indruk te geven van hoe het er binnen Valve normaal gesproken aan toe gaat.

[Reactie gewijzigd door Omega op 12 april 2021 18:13]

tijd voor een game launcher vergelijking voor tweakers!!

[Reactie gewijzigd door ImpSlayer op 12 april 2021 17:45]

bij het doden van mod/server-communities moet je bij activision wezen, die hebben naar mijn weten het voortouw genomen door van een van de beste LAN games (MW:1) naar MW:2 te gaan waar zo opeens geen zin meer hadden servers en mods te ondersteunen
Ze doen ook zoveel halfbakken dingen, die meer op hobbyprojecten lijken dan iets van een miljardenbedrijf. Ik heb echt het idee dat ze maar wat doen daar bij Valve.

[Reactie gewijzigd door Wolfos op 12 april 2021 17:09]

ik heb nooit begrepen waarom valve altijd zo geliefd wordt, en dan zeker de afgelopen jaren. Ze doen zelf nog weinig vind ik, en zij zitten gewoon in de harde gaming industrie en dat is alles behalve liefdadig. Niet dat ik andere bedrijven goed praat want ze zijn allemaal op 1 ding uit..
Valve is zeer actief bezig met verschillende projecten. In het openbaar wordt het actiefste gewerkt aan verschillende Linux tools zoals WINE/Proton, DXVK, VKD3D, D9VK en Steam Runtime. Dit doet het in samenwerking met partners bij Collabora en CodeWeavers.

Dat jij er op Windows niks aan het doet er niet toe, Valve doet heel veel dingen met veel impact.

Binnen Valve wordt er momenteel ook aan zowiezo 2 nieuwe games gewerkt.
Ze leveren innovatieve producten en nemen risico's die niemand durft te nemen. Echte innovatie genereert hype, ook al hebben ze serieuze missers. Same story met Tesla en Elon. SteamVR is voor mij de mooiste ontwikkeling van de laatste 15 jaar in de game-industrie. Het is begonnen met Oculus maar Valve heeft het geperfectioneerd. Iemand een Reverb G2 kopen? Ik ga overstappen op de Valve Index. :+
Steam lijkt sowieso zo lek als een mandje. Ik krijg om de zoveel maanden bericht dat iemand heeft geprobeerd in te loggen met een CORRECT wachtwoord. Dankzij 2-step authentication mislukt dit, maar ik ben niet de enige die zich er over beklaagt dat dit gebeurt terwijl ik voor Steam unieke wachtwoorden gebruik die onmogelijk met rainbow tables e.d. te raden zijn. Ook pas ik regelmatig wachtwoorden van gebruikte emailadressen aan. In de 26 jaar dat ik op Internet actief ben is dit me alleen met Steam gebeurd.
Hier precies het zelfde. Komt met regelmaat voor dat er iemand een goed wachtwoord gebruikt om in te loggen. En dat terwijl er unieke gegenereerde wachtwoorden opstaan van 64 tekens.
Ik kwam op Reddit ook dergelijke verhalen tegen. Echt heel slecht.
Ik heb daar nog nooit last van gehad met mijn Steam account maar toch wel laks van Steam dat het zo lang duurt om zo'n kwetsbaarheid te fiksen.
Ik zal 2 FA dan maar eens aanzetten in Steam... Vind het niet nodig, want er is geen geld bij mijn account te halen, maar als het zo is....
Ik heb het idee dat Valve bezig is met een vernieuwde client en ingrijpende fixes aan het afhouden is.
Maar aangezien dit allemaal in Valve Time™ gerekend moet worden, zijn ze nu waarschijnlijk net aangeland bij de eerste krabbeltjes op een servetje en moeten we nog een paar jaar wachten op echte verbeteringen en fixes
Dit dus. Valve heeft een eigen tijdsbeleving of zo. Leuke creatieve club waar zo nu en dan iets geniaals uit komt (is trouwens alweer een tijdje geleden) maar om nou te zeggen dat je er op kunt bouwen... Tja, hun juristen wel overigens.
Wat wil je, de volgende major versie van Steam zou V3.x zijn.
We weten allemaal hoe goed Valve werkt wanneer het op het cijfer 3 aankomt :+
belachelijk - de eerste bug report heirvan is alweer 5jr (!!) oud. zou verwachten dat valve zowel kennis als kosten prima kan voorzien. Misschien druk met HL3 :+
Het is dat ze met die Half VR experience nog wat hebben uitgebracht anders zou je haast gaan denken dat Valve alleen nog maar een verwilderde GabeN is de de steam servers aan de gang houdt.
Toch werken er blijkbaar meer dan 300 mensen. Ik vraag me stiekem wel af hoe de werkcultuur is daar, en ik blijf het een beetje raar vinden dat ze op één spel per 5-10 jaar en Steam de rest draaiende houden.
Als je ziet hoe groot Steam is dan is het toch niet gek dat het blijft draaien allemaal?
Nee dat niet, maar wat doet de rest dan? Een deel werkt aan Steam, een deel werkt aan projecten zoals HL: Alyx, maar heeft de rest dan helemaal geen druk om iets nuttigs te produceren? Lijkt me nogal wat overhead
En hoeveel van die 300 mensen zijn er voor:
- Customer Support (zowel consumenten als publishers)
- Content management van Steam
- Screening van submissions
- Marketing
- HR
- Finance
- Design (voor Steam store content)

Ik denk dat er maar een klein deel van de Steam medewerkers daadwerkelijk een developer is. Alhoewel ik van de bovenstaande functies ook niet weet hoeveel er weer geoutsourced is naar andere bedrijven.
Valve steekt actief geld en manuren in de ontwikkeling van veel dingen waar ze wel gebruik van maken, maar die niet van hen zijn, bijvoorbeeld omdat het open source software is, zoals SDL 2, Wine (via Proton) en DXVK. Ook hebben ze met Vive, de Steam Link en de Steam Controller een tijd lang eigen hardware ontwikkeld en werken ze nog steeds aan het beter en makkelijker maken van het streamen van games via hun platform, onder andere met het uitbrengen van de Steam Link app voor Android, Raspberry Pi en nu ook voor x86.

Natuurlijk zijn ze bij Valve geen heiligen want dit levert ze allemaal weer geld op in de vorm van positieve publiciteit (o.a. bij gamers die op Linux spelen, zoals ik) en betere tools/middleware in hun Source Engine. Ik ben dus persoonlijk heel erg blij met Valve omdat ze zo'n beetje in hun eentje gaming op Linux naar de mainstream hebben geholpen enkele jaren geleden, terwijl de beloftes van Epic Games in diezelfde richting behoorlijk loos zijn gebleken. Daarnaast zijn er nog API's zoals SteamWorks en SteamVR waaraan gewerkt wordt. Valve doet dus meer dan de meeste mensen denken, namelijk een game-webshop + sociaal platform onderhouden en af en toe (maar niet vaak genoeg) nieuwe games ontwikkelen.

Desalniettemin vind ik het ook behoorlijk kwalijk dat ze geen actie ondernemen op duidelijk aangetoonde bugs in hun platform, waarmee ze tevens de systemen van hun klanten in gevaar brengen. Waarschijnlijk heeft dat te maken met de behoorlijk vrije werkcultuur zoals Valve die kent, waarbij men eigenlijk gewoon mag en kan werken waar men aan wil werken. En bugs fixen is voor een ontwikkelaar nu eenmaal een stuk minder aantrekkelijk dan nieuwe features bouwen.

[Reactie gewijzigd door rbr320 op 12 april 2021 23:57]

Als ze 30 procent per verkochte game pakken, wat schijnbaar de norm is op dit soort platformen, snap ik heel goed hoe daar 't geld eeuwig tegen de plinten op klotst zonder daadwerkelijk iets te doen.
Steam heeft een zeer grote store.
Waarbij Valve volgens mij 30% of meer van de verkoopsprijs van een product afsnoept.
Daarnaast is er ook een (kleine) fee op het gebruik van de ingebouwde marketplace.
Ach, die client van hun is echt niet zo denderend als sommige tweakers willen doen laten geloven. En de afdeling die steam onderhoud staat los van de afdeling die games maken.
HackerOne zou toch echt in gesprek met Valve moeten gaan en een redelijke fix & openbaarheid termijn afdwingen.

Het slaat natuurlijk nergens op dat een bedrijf kan zeggen dat dit type executions niet belangrijk genoeg volgens hun is om te fixen.

[Reactie gewijzigd door Jonathan-458 op 12 april 2021 16:06]

Het slaat natuurlijk nergens op dat een bedrijf kan zeggen dat dit type executions niet belangrijk genoeg volgens hun is om te fixen.
Dat slaat op zich best ergens op want als bedrijf mag je zelf inschatten of je het belangrijk genoeg vindt - ze zijn immers zelf ook verantwoordelijk en aansprakelijk - maar dan zou het lek wel gewoon geopenbaard moeten kunnen worden. Als het lek niet erg is, is het ok niet erg dat de wereld er vanaf weet, toch?
Dit klinkt toch gewoon als nalatigheid?

Zou je hier iets van aangifte van kunnen doen? Of kan dat pas als je slachtoffer bent geweest?
Hier zou eigenlijk gewoon onder het klokkenluidersprincipe werk van moeten worden gemaakt.
Wellicht tijd dat de white-hats die dit ontdekt hebben naar één of meer consumenten-autoriteiten stappen met hun bevindingen.

[Reactie gewijzigd door R4gnax op 12 april 2021 21:10]

Of je gaat toevallig een ijsje eten. Waar toevallig ook een black hat hacker een ijsje aan het eten is! :Y)

En dan is Gary Nevel of hoe die ook heet , net aan het gamen wordt zijn zijn account overgenomen! O-)

Hoe zou dat nu komen.... }>
Het is lastig software geïnstalleerd te laten als het bedrijf erachter zo slecht met security omgaat.
Is het lid zijn van dit HackerOne platform dan zo'n voordeel voor een hacker? Worden daarop zoveel geheimen gedeeld? Je gaat als hacker namelijk zelf akkoord met de voorwaarden. En wie zegt dat hij het zelf was, die de bug daarna openbaar gemaakt heeft, wanneer je die via een forum gedeeld heb met je medehacker? Waarom zou het geen andere hacker op het platform geweest kunnen zijn die de hack openbaar heeft gemaakt?

Als je een fix wil afdwingen, dan had je dat platform beter kunnen omzeilen en valve gewoon een termijn geven om het binnen 90 dagen te patches, voordat je het online gooide.
Ja maar een platform als HackerOne, geeft een bepaalde garantie op geld. Als je aan hun voorwaarden houd.
Achja, je kunt natuurlijk altijd nog via een andere weg het probleem publiceren, dat hoef je natuurlijk niet onder je eigen naam te doen. Het blijkt toch wel weer dat meerdere hackers dezelfde lekken vinden, dus een anonieme hacker zou ook het lek gevonden kunnen hebben.
Treft dit ook Linux gebruikers?

Op dit item kan niet meer gereageerd worden.


Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Microsoft Xbox Series X LG CX Google Pixel 5a 5G Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True