carookee Support-Forum

Till Bergmann · Beiträge: 32 Ort: Freiburg im Breisgau

Ich glaube, ich habe tatsächlich eine Daten-Sicherheitslücke entdeckt.

Ich habe schon umfangreich im Support-Forum gestöbert und viel zur
Info-Box gefunden, aber noch nichts konkret zu diesem Thema:

Problemschilderung:
ich habe alle Sichtbarkeitseinstellungen und sonstiges auf
"Nur für Mitglieder" gesetzt.

Jetzt schrieb mir eine Forums-Teilnehmerin (Zitat):
...
Außerdem ist mir aufgefallen, daß jeder der auf die Seite des Forums auch nur zufällig kommt, die Namen derjenigen, die zuletzt geantwortet haben, lesen kann, auch wenn er gar nicht eingeloggt ist. Kann man das nicht im Sinne der Sicherheit persönlicher Daten ändern? Daß nur noch, wer im Forum eingeloggt ist, diese Namen lesen kann.
... (Zitat Ende)

Damit waren die 3 Einträge in der Info-Box gemeint, die da sind:
Letzter Beitrag
Neustes Mitglied
Im Moment ... online

Bei allen dreien steht ein Namens-Link zum jeweiligen Mitglied-Profil.
Und das Profil kann man als Gast tatsächlich ansehen!!!
Das ist so wohl nicht gedacht.

Wenn man bei "Letzter Beitrag" den Beitrag anklickt, wird man
auf eine Login-Seite geleitet. Ich denke, so sollte es mit dem
Profil auch funktionieren.

Das widersprüchliche ist: wenn man Mitglied ist, aber nicht in der
Gruppe ist, die Zugriff auf das Sub-Forum hat, in dem dieser
"Letzte Beitrag" steht, so verschwindet dieser Beitrag in der Infobox
und es wird der Beitrag als "Letzter Beitrag" angezeigt, der in
einer der anderen Subforen, auf das das Mitglied Zugriff hat,
der letzte Beitrag war.

Der Effekt ist:
wenn man als GAST auf die Forenseite kommt, sieht man mehr, als
wenn man sich als MITGLIED einlogt. Der Gast hat mehr Rechte
als ein angemeldetes Mitglied.

So, jetzt meine Frage:
ist das so gewollt,
ist das ein Bug oder
habe ich in den Einstellungen
irgendwie anders die Möglichkeit, den Einblick von Gästen auf
die Profile von Mitgliedern zu unterbinden?

Viele Grüße, Till

PS: Ich will aber nicht das Forum insgesamt auf "Komplett unsichtbar"
schalten. Ich will auch nicht eine Gruppe erstellen, alle Mitglieder
dieser Gruppe zuordnen und alle Subforen nur für diese Gruppe freigeben. Das scheint mir nicht Sinn der Sache zu sein.

Moderator von bergmann.carookee.com

____________________
Viele Grüße, Till

dieappenzeller · Beiträge: 440

Hallo Till

diese Hintertür, um über die letzten Beiträge an die Profile der Mitglieder zu kommen, ist wohl beim Programmieren schlicht übersehen worden, du selbst kannst da nichts tun. Aber Mat (Cheffe vons Ganze) weiss schon Bescheid und wird sich wohl demnächst darum kümmern. Gibts wohl auch schon ein paar andere Beiträge drüber hier im Forum.

Liebe Grüße aus NWM
Torsten, Petra und die Appenzeller
Topliste | Tierseiten | Domainbewertung

Keres · **Team carookee** Beiträge: 4244

Hallo Til,
das mit dem einsehen des Profils ist bekannt und steht schon auf der Bugliste und Wunschliste.

Wenn ich den Rest jetzt richtig verstanden habe ;)
Das bei dir den Gaesten angezeigt wird, wer in einem geschuetzten Bereich schreibt ist allerdings nicht richtig, da muss etwas mit deinen Einstellungen schief gelaufen sein.
Wenn ein Bereich nur fuer bestimmte Mitglieder eingestellt ist, sehen weder die Gaeste, noch die nicht befugten Mitglieder wer und was dort zuletzt gepostet wurde.
Zitat:
Außerdem ist mir aufgefallen, daß jeder der auf die Seite des Forums auch nur zufällig kommt, die Namen derjenigen, die zuletzt geantwortet haben, lesen kann, auch wenn er gar nicht eingeloggt ist. Kann man das nicht im Sinne der Sicherheit persönlicher Daten ändern? Daß nur noch, wer im Forum eingeloggt ist, diese Namen lesen kann.
Zitat Ende
Das ist richtig, aber nicht in dem Fall das in einem Sub-Forum, Beitrag oder Threads des Sub-Forums gepostet wurde, welches fuer Gaeste oder andere Mitglieder zum lesen und schreiben gesperrt ist.
Falls das bei dir doch der Fall ist, dann ueberpruefe bitte nocheinmal deine Einstellungen der entsprechenden Sub-Foren.

Gruß
Keres

Schaut in die FAQ's

Schumacher · Beiträge: 469 Ort: Vestenbergsgreuth

Hallo Keres,

ich wurde auch schon öfters angesprochen, wo der Beitrag von XY sei, der ja
als letztes etwas geschrieben haben müsse – laut Anzeige.

Dass XY geschrieben hat, hätte nicht zu sein dürfen, es handelte sich
entweder um einen unsichtbaren Austausch vom Forenteam im unsichtbaren
Bereich oder ein Beitrag wurde nicht gelöscht, sondern in einem unsichtbaren
Bereich „abgelagert“.

Kann mir nicht vorstellen, dass die Einstellungen bei uns falsch sind.

Gruß

Ingrid

____________________
Unser Kopf ist rund, damit die Gedanken die Richtung ändern können

Keres · **Team carookee** Beiträge: 4244

Hallo Ingrid,

das ist dann natuerlich nicht richtig.
In meinem Foren und denen bei denen ich Mitglid bin, kann ich als Gast nicht sehen wenn jemand in einem gesperrten oder geschuetzten Bereich schreibt, auch nicht als nicht befugtes Mitglied.
Dort wird dann immer nur das Mitglied was vorher in einem offenen Bereich gepostet hat also letztes Mitglied angezeigt

Gruß
Keres

Schaut in die FAQ's

Till Bergmann · Beiträge: 32 Ort: Freiburg im Breisgau

Zitat: Keres

Hallo Til,
das mit dem einsehen des Profils ist bekannt und steht schon auf der Bugliste und Wunschliste.

Wenn ich den Rest jetzt richtig verstanden habe ;)
Das bei dir den Gaesten angezeigt wird, wer in einem geschuetzten Bereich schreibt ist allerdings nicht richtig, da muss etwas mit deinen Einstellungen schief gelaufen sein.
Wenn ein Bereich nur fuer bestimmte Mitglieder eingestellt ist, sehen weder die Gaeste, noch die nicht befugten Mitglieder wer und was dort zuletzt gepostet wurde.
Zitat:
Außerdem ist mir aufgefallen, daß jeder der auf die Seite des Forums auch nur zufällig kommt, die Namen derjenigen, die zuletzt geantwortet haben, lesen kann, auch wenn er gar nicht eingeloggt ist. Kann man das nicht im Sinne der Sicherheit persönlicher Daten ändern? Daß nur noch, wer im Forum eingeloggt ist, diese Namen lesen kann.
Zitat Ende
Das ist richtig, aber nicht in dem Fall das in einem Sub-Forum, Beitrag oder Threads des Sub-Forums gepostet wurde, welches fuer Gaeste oder andere Mitglieder zum lesen und schreiben gesperrt ist.
Falls das bei dir doch der Fall ist, dann ueberpruefe bitte nocheinmal deine Einstellungen der entsprechenden Sub-Foren.

Gruß Keres Schaut in die <a href="http://www.carookee.com/forum/Foreneinrichtung"target="_blank">FAQ's</a> <a href="http://www.carookee.com/forum/serien"target="_blank"><img src="http://wkhost.webkicks.de/keres/1.gif" border="0"></img></a>

Ich habe es jetzt nochmal getestet, um sicher zu sein, es ist tatsächlich so!

Ich habe eine Gruppe "Testgruppe" eingerichtet. Die hat 0 Mitglieder,
wie ich das verstehe, bin also nur ausschliesslich ich als Moderator dort
Mitglied.

Ich habe ein Sub-Forum "Test-Sub-Forum".
Dort habe ich bei "Sichtbarkeit", "Beiträge", "Themen verfassen",
"Beiträge beantworten" jeweils "Benutzergruppe Testgruppe"
ausgewählt.

Ich bin als Moderator eingeloggt und schreibe nun einen Beitrag
ins Forum "Test-Sub-Forum" mit dem Betreff
"Test 3 - bitte löschen/ignorieren! Till!"

Jetzt gehe ich zu einem anderen Computer (um sicherzustellen,
dass ich nicht eingeloggt bin) und gehe auf meine Forenseite
"http://bergmann.carookee.de/". Rechts oben steht
"Sie sind nicht eingeloggt", wie es sein soll.

Folgendes steht unten in der Infobox:
Insgesamt wurden bereits 51 und heute 1 Beiträge geschrieben. Letzter Beitrag: Test 3 - bitte löschen/ignorieren! Till! (vor 10 Minuten von Till Bergmann)
13 Mitglieder sind registriert. Neustes Mitglied: Susanne (Mittwoch, 21:21)
Im Moment sind 3 Personen online: Till Bergmann 2 Gäste
Heute waren schon 3 User eingeloggt. Letzter Online-User: Till Bergmann (vor 5 Minuten)

Da sieht man also den Betreff des Beitrags im geschützten Bereich!
(Der Beitrag lässt sich zwar nicht lesen, aber das Profil des Autors,
in dem Falle also meins.)

Jetzt logge ich mich als Mitglied ein (Testaccount, der kein Moderator ist) ((immer noch auf dem zweiten Computer)).

Jetzt steht unten in der Infobox:
Insgesamt wurden bereits 51 und heute 1 Beiträge geschrieben. Letzter Beitrag: Re: Ticker (gestern, 23:02 von Eva Bergmann)
13 Mitglieder sind registriert. Neustes Mitglied: Susanne (Mittwoch, 21:21)
Im Moment sind 1 Personen online: bergmann
Heute waren schon 3 User eingeloggt. Letzter Online-User: Till Bergmann (vor 10 Minuten)

Vor dem Mitglied wurde der Beitrag (bzw. der Betreff des Beitrags) aus dem geschützten Bereich verborgen.
Vor dem Gast nicht!

Viele Grüße, Till

(Moderator von bergmann.carookee.com)

____________________
Viele Grüße, Till

Keres · **Team carookee** Beiträge: 4244

Hallo Til,

das ist wirklich merkwuerdig.
Ich habe auch wegen deinem Problem mal in einigen anderen Foren geschaut und es ist mir aufgefallen das es bei einigen tatsaechlich so ist, allerdings waren das alles Foren in denen nichts fuer Gaeste offen zu lesen war.
Bei den Foren wo einiges fuer die Gaeste zum lesen offen war konnte ich die Beitraege und Autoren der geschuetzten Bereiche nicht im Infobereich sehen als Gast.
Aber ich hab mir natuerlich nicht alle Foren anschauen koennen ;)

Ich werde das melden und hoffen das man da schnell etwas dran machen kann.

Gruß
Keres

Schaut in die FAQ's

Till Bergmann · Beiträge: 32 Ort: Freiburg im Breisgau

Der Vollständigkeit: mir ist kürzlich aufgefallen:

wenn man wie oben beschrieben an das Profil gelangt, ist zumindest die Email-Adresse nicht sichtbar.

Spammer können so wenigstens nicht an die Emailadressen kommen - was beruhigend zu wissen ist.

Viele Grüße, Till

(Moderator von bergmann.carookee.com)

____________________
Viele Grüße, Till