| "Autor" |
Sicherheit der Postbox |
|
|
|
geschrieben am: 07.09.2006 um 23:59 Uhr
|
|
Hallo Chatworld-Forum!
Ich habe jetzt festgestellt, dass ich, auch wenn ich nicht im Chat angemeldet bin, meine Postbox öffnen kann.
Woran liegt das? Könnte das jetzt auch jemand der sich an meinen Rechner setzt und z.B. die Web-Adresse der Postbox in der History oder z.B. in einem Firewall-Log (als erlaubte Verbindung) findet. (Ich hab das so nicht konfiguriert, aber wenn jemand anderes das so konfiguriert hat, wäre das für denjenigen ein kleines Risiko, vermute ich).
Ich wüsste daher gerne, ob der Aufruf der Postbox nur mit der Web-Adresse zusammenhängt oder auch mit einem Cookie.
Weiterhin fände ich es gut, wenn der Chat bei Zugriff auf die Postbox prüfen würde, ob derjenige Benutzer zur Zugriffszeit eingeloggt ist.
Was meint ihr?
Viele Grüße,
Latexkater |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 08.09.2006 um 02:45 Uhr
|
|
Der Postaufruf hängt mit einer Session-ID zusammen, die für eine gewisse Zeit auf dem CW-Server gespeichert wird. Wie lange, keinen Plan, aber wahrscheinlich auch nicht länger als die automatische Rausschmissdauer von 20min. Sicher ist, dass diese ID, die in deiner Webadresse drin ist, bei jedem Neueinloggen in CW anders ist. Bei der Länge der ID ist es also (fast) unmöglich, die Postbox von einem bestimmten User zu "knacken".
Eine Sicherheitslücke kann man dies also nicht unbedingt nennen, da die URLs der Postbox in der Regel nirgends gespeichert sind. Und wer solche Spielereien macht, wie du sie beschrieben hast, wird niemanden anderes an seinen PC lassen wollen. Wie gesagt, ist nicht intelligent programmiert, aber da die Post von CW nun wirklich nicht gerade Staatsgehemnisse enthalten wird, wird sich CW auch nicht dazu bequemen, das so zu ändern, wie du es erwartest, auch, wenn man nur geringe Änderungen machen müsste, die sogar ich zusammenbringen würde. |
| Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin. |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 08.09.2006 um 10:08 Uhr
|
|
Hallo Steven!
Ist ja beruhigend, dass es nicht ganz so einfach geht. Ich hoffe mal, die Zugriffsmöglichkeiten sind innerhalb der Session wenigstens an die IP gekoppelt mit der man sich einloggt.
Ich fände das wirklich keinen allzu großen Aufwand. Den Schutz könnte sogar eventuell (kommt drauf an, welche Sprache) sogar ich programmieren.
Dazu dass es nicht intelligent progammiert ist, würde ich Dir recht geben. Aber oftmals fängt man klein mit einem Projekt an und später merkt man erst, dass es anders besser gewesen wäre, dass man dazu dann aber das ganze System nochmal "umstricken" müsste. Ich habe keinen Einblick in die Chatsoftware, aber ich habe Verständnis dafür wenn der Provider sagt, dass es nicht jetzt sofort nötig ist. Für eine Äusserung in die Richtung "Niemals!" hätte ich allerdings dann schon weniger Verständnis.
Gruß,
Latexkater |
|
|
|
|
|
|
Top
|
| "Autor" |
|
|
|
|
geschrieben am: 08.09.2006 um 17:25 Uhr
|
|
Zitat von: Latexkater Ich hoffe mal, die Zugriffsmöglichkeiten sind innerhalb der Session wenigstens an die IP gekoppelt mit der man sich einloggt. |
| Das bezweifel ich mal ganz stark. Solch einen "Aufwand" macht man in der Regel nur bei wirklich wichtigen Logins. Ich bezweifel, dass das selbst die Banken machen. Normaler Weise reicht ja auch die Session-ID der jeweiligen Sprache + evtler Verschlüsselung. |
| Reden ist Silber, Schweigen ist Gold, meine Ausführungen sind Platin. |
|
|
|
|
|
|
Top
|
