RSS jogosultsági hiba

Anonymous képe

Üdv!

Az RSS használata biztonsági kockázatot rejt magában, mert nem veszi figyelembe a jogosultsági beállításokat.

Ugyanis ha a jogosultságoknál pl. azt állítjuk be, hogy a csatolmányokat nem engedélyezzük megtekinteni bizonyos csoportnak (pl. vendég), akkor az oldalon, a hozzászólásoknál a csatolmány nem is jelenik meg.

Ha azonban az RSS ikonra kattintunk, azonnal megjelenik minden, ami ott található, a csatolmányok is és meg is lehet nézni.

Az ikont az adott arculatból persze ki lehet törölni, de attól még ha valaki beírja, hogy rss.xml az oldal címsorába, akkor ugyanúgy megjelenik. Márpedig ez nem akkora trükk, hogy hackernek kellene lenni hozzá.

Ha pedig teljesen, a kódból is kiszednénk az RSS működést, az azért lenne hülyeség, mert nem arról van szó, hogy ne akarnánk használni, hanem, hogy figyelembe vegye a jogosultsági szinteket. Különben sem elegáns sminkenként kiszedegetni az ikont, vagy a kódot teljesen ha mégis lemondanánk róla.

Szóval az RSS nem veszi figyelembe a jogosultság beállításokat, amit igencsak orvosolni kellene a fejlesztőknek.

Ha esetleg ez így szándékos, ez akkor is hiba.

Mivel nem tudok elég jól angolul, valakinek továbbítania kellene a fejlesztőknek.

A témát lezártam, ha a konkrét RSS/jogosultság problémával kapcsolatban van további kérdés vagy ötlet, akkor kérlek nyissatok neki új témát. Ha bárki úgy gondolja, hogy biztonsági hibát talált a Drupalban, akkor ne itt tegye közzé, hanem jelentse a biztonsági csoportnak. Ha gondjai vannak az angollal, akkor segítséget kaphat a drupal.hu adminisztrátoraitól. Illyés E.

Melyik modulhoz, modulokhoz kapcsolódik a téma?: 
Drupal verzió: 
Illyés Edit képe

Szerintem nem szándékos, csak senkit nem érdekel ez a probléma. Illetve van egy modul, ami teljesen leszedi a csatolmányokat: Remove Upload Enclosures. Gondolom egyszerűen meg lehetne oldani, hogy ne szedjen le mindent, hanem csak ellenőrizze a jogosultságokat. De jelenleg még ennek a fapados verziónak sincs karbantartója, ami alighanem összefügg azzal, hogy összesen 65-en használják.

Az érdektelenségnek pedig nyilván az az oka, hogy itt csak a csatolmányra mutató link megjelenítéséről van szó. Attól, hogy a link nem jelenik meg, a fájl még hozzáférhető marad. Ha szeretnéd a csatolmányaidat védeni az illetéktelenektől, akkor ennél komolyabb hozzáférés-szabályozási megoldásra lesz szükséged.

0
0
Atyla képe

Elég érdekes hozzáállás, hogy van egy létező hiba, de szerinted senkit sem érdekel.

Egyébként nem hiszem, hogy ha valaki olyan oldalt csinál, ahol ez fontos, azt ne érdekelné.

Különben ezzel az erővel nyugodtan elfelejthetnék a jogosultsági beállításokat, mert az is minek, nem igaz?!

0
0
Nagy Gusztáv képe

akkor senki nem akadályoz meg abban, hogy küldj be egy megoldást a fejlesztőknek. Tudod ezernyi funkcionalitást érdemes fejleszteni, és az erőforrások végesek.

0
0

Nagy Gusztáv

alippai képe

Valóban biztonsági hiba, de nem kritikus.

Ha egy mező nem látható a jogosultságok szerint, akkor senkinek sem szabad annak lennie, ez igaz.
A többiek arra próbálták felhívni a figyelmet, hogyha ez javításra kerülne, akkor is kockázatos a dolog, amit csinálni akarsz, mivel a fájl elérhető marad.

Ezt a biztonsági hibát jelezd a security team-nél és ők elmondják mi a teendő, esetleg kijavítják a hibát. Tőlük pontos állásfoglalást fogsz kapni, megindokolva, ebben biztos lehetsz.

0
0

Lippai Ádám
young element

Illyés Edit képe

Egyébként nem hiszem, hogy ha valaki olyan oldalt csinál, ahol ez fontos, azt ne érdekelné.

Ha olyan oldalt csinálsz, ahol ez fontos, akkor ne csak a linket rejtsd el, hanem tedd elérhetetlenné a fájlt. Amit te itt követelsz, az annak a megfelelője, hogy a lakáskulcsot a lábtörlő alá rejthesd. Ha fontos a lakásodban lévő értékek biztonsága (= a fájlok hozzáférésének korlátozása), akkor erre állíts be egy komolyabb megoldást.

Megkockáztatom, hogy lehet, hogy akkor nem is a Drupal a megfelelő megoldás a feladatra. Ez egy webes tartalomkezelő, és lehet, hogy neked inkább egy dokumentumkezelő kellene (van hozzá több integrációs lehetőség).

Egyébként én is jobbnak találnám, ha az rss.xml nem tenné ki automatikusan a linket. Ahogy alább is írták, nyugodtan beszállhatsz a fejlesztésbe (pl. átveheted az elhagyott modul karbantartását, és kedvedre továbbfejlesztheted), vagy akár jelentheted a biztonsági csoportnak is a problémát. Bár szerintem tőlük is ugyanezt a választ fogod kapni: ez igazából nem biztonsági hanem egy megjelenítési probléma. A biztonság ott kezdődik, hogy privát fájlkezelést használsz, és felteszel egy fájl jogosultság kezelési megoldást.

Ha tényleg csak a lábtörlő alá akarod rejteni a kulcsot, akkor egy saját kis modulból hook_menu_alter()-rel letilthatod az rss.xml elérését és készíthetsz egy saját RSS csatornát. Ha egyébként is fent van a Views, akkor azzal még egyszerűbb a feladat, kattintós felületen megoldható.

0
0
alippai képe

Én rendszeresen használom és javaslom azt a megoldást, hogy készítek egy random tokent, ezt adom be fájlnévnek és filefield láthatóságát szabályozom csak. Így megkerülöm a PHP-t (vagy egyéb apache modult, vannak jópofa, 1x hozzáférést biztosító és egyéb megoldások), gyors a fájlok kiszolgálása és csak olyan emberen keresztül juthat ki a fájl akinek jogosultsága van hozzá.

Mivel egy 10+karakter hosszú fájlnevet elég nehéz kitalálni (kb. annyira mint magát a jelszót), ezért én ezt megfelelő biztonságnak tekintem.

A fájl kijuttatását nem sokban nehezíti meg a letölt + valahova a netre feltölt művelet, ha valaki ki akarja adni, akkor kitudja.
Lehet DRM-et és egyéb megoldásokat alkalmazni, akár ötvözve Drupallal, de az már kicsit más világ és más téma :)

0
0

Lippai Ádám
young element

Atyla képe

Letörölték a hozzászólásomat, mert a „szent tehénnek” mertem visszaválaszolni.

Akkor a lényeg:

Amit te itt követelsz, az annak a megfelelője, hogy a lakáskulcsot a lábtörlő alá rejthesd. Ha fontos a lakásodban lévő értékek biztonsága (= a fájlok hozzáférésének korlátozása), akkor erre állíts be egy komolyabb megoldást.

Ha már példálózol, akkor ide illővel tegyed: ugyanis ebben az esetben nem az a helyes példa, hogy a lábtörlő alatt van a kulcs, hanem az, hogy be sincs zárva az ajtó. Azért nincs, mert rossz a zár. Ilyenkor pedig nem a lakástulajdonos a hibás!


akkor senki nem akadályoz meg abban, hogy küldj be egy megoldást a fejlesztőknek. Tudod ezernyi funkcionalitást érdemes fejleszteni, és az erőforrások végesek.

Ha nem most kezdenék ismerkedni a php-vel és a drupallal, akkor ezt tenném.
Egy jó ember jót feltételez másokról (is)!

Egyébként engedd meg, hogy b o c s á n a t o t   k é r j e k  t ő l e d, amiért úgy gondoltam egy ilyen programhibát megosztok a közösséggel, nehogy belefusson valaki...


Nem kell felkapni a vizet :)

Nem is szoktam, szívesen elküldöm neked privát azt a sok fórumot, ahol egyéb témákban hozzászólásaim vannak és azt fogod tapasztalni, hogy máshol nem kötnek bele az emberbe fennhéjázó, arrogáns emberek (nem rád gondolok), ezért mindenki normálisan viselkedik.



Na, lehet megint törölni a hozzászólást...

0
0