Ich halte das aktuelle System von uncodierten Downloads für sehr ungünstig. Grundsätzlich gilt ja der Hinweis: Um Phishing zu vermeiden nur dort seine Zugangsdaten einzugeben wo auch in der Adressleiste die richtige Domain steht. Genau das ist hier nicht gegeben! Die Login Maske daher aus dem iFrame raus und in ein eigenes Popup / Fenster mit Adressleiste!
Für einen unbedarften User ist ein Phishing-Versuch daher nicht zu erkennen, und ich werde auch bestimmt nicht jedes mal im Quellcode nachschauen ob der Frame wirklich auf OTR verweist. Da man die GWP über eine Werbekampagne recht schnell versilbern kann sehe ich bei OTR durchaus ein Phishing-Risiko, solange das System uncodierter Downloads so ungünstig ist werde ich es daher nicht verwenden.

man kann ganz einfach feststellen , woher der iframe kommt. Hinweise dazu gibt es im iframe auch. z.B. rechte maustaste->diesen iframe im eigenen tab öffnen, dannsteht auch die Adresse im Adressfeld.

oder mach es ganz anders: log dich erst auf otr ein und geh dann zum mirror (so machen es ja viele). dann bist du bereits eingeloggt und must gar keine Daten mehr eingeben.

GWPs bekomm der Mirror ja nur, wenn er auch liefert. Der einzige Phishinganreiz wäre an die Userdaen zu kommen. Das würde sehr schnell auffliegen und der Mirror wäre gesperrt. Soviel Risiko um an die Accountdaten zu kommen? Was hat er von einem OTR-Account? die darauf gespeicherten GWPs kann er nur für Downloads verwenden. bei einer Werbekampagne wüßten wir, wofür er wirbt und kämen an ihn ran. Sowas macht doch kein Mirror, der viel Zeit in seinen Mirror investiert hat. Halte ich für extrem unwahrscheinlich das Szenario.

Aber gut, man muß es nicht benutzen. Es gibt ja weiterhin die bisherigen Downloadmöglichkeiten, nur beim Streamen via Mirror geht es nicht anders. Da gibt es aber weiterhin Streamen über OTR.

Mal ne andere Frage hierzu ...

log dich erst auf otr ein und geh dann zum mirror (so machen es ja viele). dann bist du bereits eingeloggt und must gar keine Daten mehr eingeben.

Gibts eine Möglichkeit das in den Einstellungen zu unterbinden bzw. kann diese geschaffen werden?
Ich bin auf OTR dauereingeloggt und wenn ich mal bei nem Mirror falsch klicke sind die Punkte weg. Ich hab nicht vor über Mirror Server zu streamen oder unkodierte Dateien zu laden.

Früher gabs doch da mal was, glaub ein extra Mirror Passwort oder so ?

Bei einer Werbekampagne wüßten wir, wofür er wirbt und kämen an ihn ran.

Du nimmst also an, dass der Hacker und Werbedienstleister aus einem Land mit funktionierender Justiz kommen? Sehr gewagte These...

Warum nicht so lösen wie andere Bezahldienste. Mirror leitet auf die Loginmaske weiter, übergeben wird unter anderem ein Link an den nach Abschluss des Logins weitergeleitet wird. Ansonsten dürfte das bisherige System unbeeinflusst sein.