Info-Box: Letzter Beitrag - Gäste können Profil einsehen! Daten-Sicherheitslücke!
Info-Box: Letzter Beitrag - Gäste können Profil einsehen! Daten-Sicherheitslücke!
Ich glaube, ich habe tatsächlich eine Daten-Sicherheitslücke entdeckt.
Ich habe schon umfangreich im Support-Forum gestöbert und viel zur Info-Box gefunden, aber noch nichts konkret zu diesem Thema:
Problemschilderung: ich habe alle Sichtbarkeitseinstellungen und sonstiges auf "Nur für Mitglieder" gesetzt.
Jetzt schrieb mir eine Forums-Teilnehmerin (Zitat): ... Außerdem ist mir aufgefallen, daß jeder der auf die Seite des Forums auch nur zufällig kommt, die Namen derjenigen, die zuletzt geantwortet haben, lesen kann, auch wenn er gar nicht eingeloggt ist. Kann man das nicht im Sinne der Sicherheit persönlicher Daten ändern? Daß nur noch, wer im Forum eingeloggt ist, diese Namen lesen kann. ... (Zitat Ende)
Damit waren die 3 Einträge in der Info-Box gemeint, die da sind: Letzter Beitrag Neustes Mitglied Im Moment ... online
Bei allen dreien steht ein Namens-Link zum jeweiligen Mitglied-Profil. Und das Profil kann man als Gast tatsächlich ansehen!!! Das ist so wohl nicht gedacht.
Wenn man bei "Letzter Beitrag" den Beitrag anklickt, wird man auf eine Login-Seite geleitet. Ich denke, so sollte es mit dem Profil auch funktionieren.
Das widersprüchliche ist: wenn man Mitglied ist, aber nicht in der Gruppe ist, die Zugriff auf das Sub-Forum hat, in dem dieser "Letzte Beitrag" steht, so verschwindet dieser Beitrag in der Infobox und es wird der Beitrag als "Letzter Beitrag" angezeigt, der in einer der anderen Subforen, auf das das Mitglied Zugriff hat, der letzte Beitrag war.
Der Effekt ist: wenn man als GAST auf die Forenseite kommt, sieht man mehr, als wenn man sich als MITGLIED einlogt. Der Gast hat mehr Rechte als ein angemeldetes Mitglied.
So, jetzt meine Frage: ist das so gewollt, ist das ein Bug oder habe ich in den Einstellungen irgendwie anders die Möglichkeit, den Einblick von Gästen auf die Profile von Mitgliedern zu unterbinden?
Viele Grüße, Till
PS: Ich will aber nicht das Forum insgesamt auf "Komplett unsichtbar" schalten. Ich will auch nicht eine Gruppe erstellen, alle Mitglieder dieser Gruppe zuordnen und alle Subforen nur für diese Gruppe freigeben. Das scheint mir nicht Sinn der Sache zu sein.
Moderator von bergmann.carookee.com
Re: Info-Box: Letzter Beitrag - Gäste können Profil einsehen! Daten-Sicherheitslücke!
Hallo Till
diese Hintertür, um über die letzten Beiträge an die Profile der Mitglieder zu kommen, ist wohl beim Programmieren schlicht übersehen worden, du selbst kannst da nichts tun. Aber Mat (Cheffe vons Ganze) weiss schon Bescheid und wird sich wohl demnächst darum kümmern. Gibts wohl auch schon ein paar andere Beiträge drüber hier im Forum.
Re: Info-Box: Letzter Beitrag - Gäste können Profil einsehen! Daten-Sicherheitslücke!
Hallo Til, das mit dem einsehen des Profils ist bekannt und steht schon auf der Bugliste und Wunschliste.
Wenn ich den Rest jetzt richtig verstanden habe ;) Das bei dir den Gaesten angezeigt wird, wer in einem geschuetzten Bereich schreibt ist allerdings nicht richtig, da muss etwas mit deinen Einstellungen schief gelaufen sein. Wenn ein Bereich nur fuer bestimmte Mitglieder eingestellt ist, sehen weder die Gaeste, noch die nicht befugten Mitglieder wer und was dort zuletzt gepostet wurde. Zitat: Außerdem ist mir aufgefallen, daß jeder der auf die Seite des Forums auch nur zufällig kommt, die Namen derjenigen, die zuletzt geantwortet haben, lesen kann, auch wenn er gar nicht eingeloggt ist. Kann man das nicht im Sinne der Sicherheit persönlicher Daten ändern? Daß nur noch, wer im Forum eingeloggt ist, diese Namen lesen kann. Zitat Ende Das ist richtig, aber nicht in dem Fall das in einem Sub-Forum, Beitrag oder Threads des Sub-Forums gepostet wurde, welches fuer Gaeste oder andere Mitglieder zum lesen und schreiben gesperrt ist. Falls das bei dir doch der Fall ist, dann ueberpruefe bitte nocheinmal deine Einstellungen der entsprechenden Sub-Foren.
Gruß Keres
Schaut in die FAQ's
Re: Info-Box: Letzter Beitrag - Gäste können Profil einsehen! Daten-Sicherheitslücke!
Hallo Keres,
ich wurde auch schon öfters angesprochen, wo der Beitrag von XY sei, der ja als letztes etwas geschrieben haben müsse laut Anzeige.
Dass XY geschrieben hat, hätte nicht zu sein dürfen, es handelte sich entweder um einen unsichtbaren Austausch vom Forenteam im unsichtbaren Bereich oder ein Beitrag wurde nicht gelöscht, sondern in einem unsichtbaren Bereich abgelagert.
Kann mir nicht vorstellen, dass die Einstellungen bei uns falsch sind.
Gruß
Ingrid
Re: Info-Box: Letzter Beitrag - Gäste können Profil einsehen! Daten-Sicherheitslücke!
Hallo Ingrid,
das ist dann natuerlich nicht richtig. In meinem Foren und denen bei denen ich Mitglid bin, kann ich als Gast nicht sehen wenn jemand in einem gesperrten oder geschuetzten Bereich schreibt, auch nicht als nicht befugtes Mitglied. Dort wird dann immer nur das Mitglied was vorher in einem offenen Bereich gepostet hat also letztes Mitglied angezeigt
Gruß Keres
Schaut in die FAQ's
Re: Info-Box: Letzter Beitrag - Gäste können Profil einsehen! Daten-Sicherheitslücke!
Zitat: Keres Hallo Til, das mit dem einsehen des Profils ist bekannt und steht schon auf der Bugliste und Wunschliste.
Wenn ich den Rest jetzt richtig verstanden habe ;) Das bei dir den Gaesten angezeigt wird, wer in einem geschuetzten Bereich schreibt ist allerdings nicht richtig, da muss etwas mit deinen Einstellungen schief gelaufen sein. Wenn ein Bereich nur fuer bestimmte Mitglieder eingestellt ist, sehen weder die Gaeste, noch die nicht befugten Mitglieder wer und was dort zuletzt gepostet wurde. Zitat: Außerdem ist mir aufgefallen, daß jeder der auf die Seite des Forums auch nur zufällig kommt, die Namen derjenigen, die zuletzt geantwortet haben, lesen kann, auch wenn er gar nicht eingeloggt ist. Kann man das nicht im Sinne der Sicherheit persönlicher Daten ändern? Daß nur noch, wer im Forum eingeloggt ist, diese Namen lesen kann. Zitat Ende Das ist richtig, aber nicht in dem Fall das in einem Sub-Forum, Beitrag oder Threads des Sub-Forums gepostet wurde, welches fuer Gaeste oder andere Mitglieder zum lesen und schreiben gesperrt ist. Falls das bei dir doch der Fall ist, dann ueberpruefe bitte nocheinmal deine Einstellungen der entsprechenden Sub-Foren.
Gruß<br>Keres<br><br>Schaut in die <a href="http://www.carookee.com/forum/Foreneinrichtung"target="_blank">FAQ's</a><br><br><a href="http://www.carookee.com/forum/serien"target="_blank"><img src="http://wkhost.webkicks.de/keres/1.gif" border="0"></img></a>Ich habe es jetzt nochmal getestet, um sicher zu sein, es ist tatsächlich so!
Ich habe eine Gruppe "Testgruppe" eingerichtet. Die hat 0 Mitglieder, wie ich das verstehe, bin also nur ausschliesslich ich als Moderator dort Mitglied.
Ich habe ein Sub-Forum "Test-Sub-Forum". Dort habe ich bei "Sichtbarkeit", "Beiträge", "Themen verfassen", "Beiträge beantworten" jeweils "Benutzergruppe Testgruppe" ausgewählt.
Ich bin als Moderator eingeloggt und schreibe nun einen Beitrag ins Forum "Test-Sub-Forum" mit dem Betreff "Test 3 - bitte löschen/ignorieren! Till!"
Jetzt gehe ich zu einem anderen Computer (um sicherzustellen, dass ich nicht eingeloggt bin) und gehe auf meine Forenseite "http://bergmann.carookee.de/". Rechts oben steht "Sie sind nicht eingeloggt", wie es sein soll.
Folgendes steht unten in der Infobox: Insgesamt wurden bereits 51 und heute 1 Beiträge geschrieben. Letzter Beitrag: Test 3 - bitte löschen/ignorieren! Till! (vor 10 Minuten von Till Bergmann) 13 Mitglieder sind registriert. Neustes Mitglied: Susanne (Mittwoch, 21:21) Im Moment sind 3 Personen online: Till Bergmann 2 Gäste Heute waren schon 3 User eingeloggt. Letzter Online-User: Till Bergmann (vor 5 Minuten)
Da sieht man also den Betreff des Beitrags im geschützten Bereich! (Der Beitrag lässt sich zwar nicht lesen, aber das Profil des Autors, in dem Falle also meins.)
Jetzt logge ich mich als Mitglied ein (Testaccount, der kein Moderator ist) ((immer noch auf dem zweiten Computer)).
Jetzt steht unten in der Infobox: Insgesamt wurden bereits 51 und heute 1 Beiträge geschrieben. Letzter Beitrag: Re: Ticker (gestern, 23:02 von Eva Bergmann) 13 Mitglieder sind registriert. Neustes Mitglied: Susanne (Mittwoch, 21:21) Im Moment sind 1 Personen online: bergmann Heute waren schon 3 User eingeloggt. Letzter Online-User: Till Bergmann (vor 10 Minuten)
Vor dem Mitglied wurde der Beitrag (bzw. der Betreff des Beitrags) aus dem geschützten Bereich verborgen. Vor dem Gast nicht!
Viele Grüße, Till
(Moderator von bergmann.carookee.com)
Re: Info-Box: Letzter Beitrag - Gäste können Profil einsehen! Daten-Sicherheitslücke!
Hallo Til,
das ist wirklich merkwuerdig. Ich habe auch wegen deinem Problem mal in einigen anderen Foren geschaut und es ist mir aufgefallen das es bei einigen tatsaechlich so ist, allerdings waren das alles Foren in denen nichts fuer Gaeste offen zu lesen war. Bei den Foren wo einiges fuer die Gaeste zum lesen offen war konnte ich die Beitraege und Autoren der geschuetzten Bereiche nicht im Infobereich sehen als Gast. Aber ich hab mir natuerlich nicht alle Foren anschauen koennen ;)
Ich werde das melden und hoffen das man da schnell etwas dran machen kann.
Gruß Keres
Schaut in die FAQ's
Re: Info-Box: Letzter Beitrag - Gäste können Profil einsehen! Daten-Sicherheitslücke!
Der Vollständigkeit: mir ist kürzlich aufgefallen:
wenn man wie oben beschrieben an das Profil gelangt, ist zumindest die Email-Adresse nicht sichtbar.
Spammer können so wenigstens nicht an die Emailadressen kommen - was beruhigend zu wissen ist.