carookee Support-Forum
Fragen, Antworten & Diskussionen rund um carookee
Infos zum System-Status unter system.carookee.com
Bitte registrieren Sie sich in diesem Forum, bevor Sie einen Betrag verfassen. 		 
Sie sind nicht eingeloggt.
LoginLogin Kostenlos anmeldenKostenlos anmelden
BeiträgeBeiträge SucheSuche HilfeHilfe StatStatistik
ChatChat VotesUmfragen FilesDateien CalendarKalender BookmarksBookmarks

antworten nicht möglich    carookee Support-Forum -> Fehler & Features Anfang   zurück   weiter   Ende
Autor Beitrag
Till Bergmann


Beiträge: 32
New PostErstellt: 20.04.06, 15:40     Betreff: Info-Box: Letzter Beitrag - Gäste können Profil einsehen! Daten-Sicherheitslücke!
Ich glaube, ich habe tatsächlich eine Daten-Sicherheitslücke entdeckt.

Ich habe schon umfangreich im Support-Forum gestöbert und viel zur
Info-Box gefunden, aber noch nichts konkret zu diesem Thema:

Problemschilderung:
ich habe alle Sichtbarkeitseinstellungen und sonstiges auf
"Nur für Mitglieder" gesetzt.

Jetzt schrieb mir eine Forums-Teilnehmerin (Zitat):
...
Außerdem ist mir aufgefallen, daß jeder der auf die Seite des Forums auch nur zufällig kommt, die Namen derjenigen, die zuletzt geantwortet haben, lesen kann, auch wenn er gar nicht eingeloggt ist. Kann man das nicht im Sinne der Sicherheit persönlicher Daten ändern? Daß nur noch, wer im Forum eingeloggt ist, diese Namen lesen kann.
... (Zitat Ende)

Damit waren die 3 Einträge in der Info-Box gemeint, die da sind:
Letzter Beitrag
Neustes Mitglied
Im Moment ... online

Bei allen dreien steht ein Namens-Link zum jeweiligen Mitglied-Profil.
Und das Profil kann man als Gast tatsächlich ansehen!!!
Das ist so wohl nicht gedacht.

Wenn man bei "Letzter Beitrag" den Beitrag anklickt, wird man
auf eine Login-Seite geleitet. Ich denke, so sollte es mit dem
Profil auch funktionieren.

Das widersprüchliche ist: wenn man Mitglied ist, aber nicht in der
Gruppe ist, die Zugriff auf das Sub-Forum hat, in dem dieser
"Letzte Beitrag" steht, so verschwindet dieser Beitrag in der Infobox
und es wird der Beitrag als "Letzter Beitrag" angezeigt, der in
einer der anderen Subforen, auf das das Mitglied Zugriff hat,
der letzte Beitrag war.

Der Effekt ist:
wenn man als GAST auf die Forenseite kommt, sieht man mehr, als
wenn man sich als MITGLIED einlogt. Der Gast hat mehr Rechte
als ein angemeldetes Mitglied.



So, jetzt meine Frage:
ist das so gewollt,
ist das ein Bug oder
habe ich in den Einstellungen
irgendwie anders die Möglichkeit, den Einblick von Gästen auf
die Profile von Mitgliedern zu unterbinden?

Viele Grüße, Till


PS: Ich will aber nicht das Forum insgesamt auf "Komplett unsichtbar"
schalten. Ich will auch nicht eine Gruppe erstellen, alle Mitglieder
dieser Gruppe zuordnen und alle Subforen nur für diese Gruppe freigeben. Das scheint mir nicht Sinn der Sache zu sein.


Moderator von bergmann.carookee.com


____________________
Viele Grüße, Till
nach oben
Benutzerprofil anzeigen Private Nachricht an dieses Mitglied senden ICQ-Nachricht an dieses Mitglied senden Website dieses Mitglieds aufrufen
Sortierung ändern:  
antworten nicht möglich    carookee Support-Forum -> Fehler & Features Mailbox leeren Anfang   zurück   weiter   Ende
Seite 4.921 von 10.050
Gehe zu:   
Search

powered by carookee.com