nicht angemeldet
AugeHallo
Wenn ich von zwei Browsern aus mit dem gleichen User angemeldet bin und im Browser A mein Passwort ändere, bleibe ich im Browser B angemeldet. Jo. Ist so. Bugs Bounty meint, man müsse korrekterweise bei einer Passwortänderung alle Fremdsessions invalidieren. Kann man sicherlich machen. In einer High Security Site.
Das Problem besteht solange, bis ich den Browser schließe, danach ist der Session-Keks weg. Ein "angemeldet bleiben" greift nach Passwortänderung nicht mehr.
… unabhängig von Spam oder Scam - wie seht ihr diese Lücke? Ist sie ernst zu nehmen? Wie gravierend muss man das für eine Seite wie das Self-Wiki einschätzen?
Prinzipiell ist es für einen Angreifer, mit vorheriger Kenntnis der (bisherigen) Zugangsdaten, auf diese Weise möglich, das Passwort zu ändern und sich damit exklusiven Zugang zum Account zu verschaffen, ohne, dass der eigentliche Besitzer des Accounts das zeitnah mitbekommt, weil dieser ja mit seiner bestehenden Anmeldung/Session (vorerst) weiterhin Zugriff auf seinen Account hat. Dass jemand anderes Zugriff auf den Account hat, fällt erst auf, wenn die bisherigen Zugangsdaten nicht mehr für eine Anmeldung genutzt werden können oder, wenn der Angreifer auffällige Dinge mit dem Account veranstaltet.
Habe ich das so richtig verstanden?
Man könnte jetzt argumentieren, dass im Wiki jede Änderung zurückgerollt werden kann, dass das also „nur“ Arbeit verursacht. Man könnte aber auch argumemtieren, dass das potentiell zu viel Arbeit verursacht. Spam-Wellen mit komplett veränderten Wiki-Seiten hatten wir ja schon, wenn ich mich recht erinnere. Auch mit Klagen über den Aufwand bei der Bereinigung des Spams.
Ob die Wahrscheinlichkeit eines solchen Angriffs[1] hoch genug ist, um den Aufwand der Fehlerbehebung allein für das SelfWiki mit wiederkehrenden Anpassungen bei möglichen Upgrades der MediaWiki-Installation zu rechtfertigen, kann ich nicht beurteilen.
… selbst die "große Wikipedia" hat diesen Fehler, d.h. er ist in den letzten Mediawiki-Versionen nicht behoben worden.
Naja, das macht es nicht besser. Eine Behebung auf der Seite von Mediawiki wäre natürlich zu bevorzugen. Dann wäre das in der Software drin und man müsste sich nicht bei jedem Update um das Einpflegen der eigenen Code-Zusätze kümmern.
Tschö, Auge
„Habe ich mir das nur eingebildet, oder kann der kleine Hund wirklich sprechen?“ fragte Schnapper. „Er behauptet, nicht dazu imstande zu sein“ erwiderte Victor. Schnapper zögerte (…) „Nun …“ sagte er schließlich, „ich schätze, er muss es am besten wissen.“ Terry Prattchett, Voll im Bilde
Ich gehe hier von der Passwortänderung durch jemanden, der nicht der Accountinhaber ist, aus. Wenn hingegen der Account-Inhaber selbst das Passwort in Browser A ändert und bei ihm selbst in Browser B die mit dem alten Passwort gestartete Session weiterläuft, würde ich nicht von einem Angriff sprechen wollen. ↩︎
Rolf B
JürgenB
MudGuard