Konversation mit BCC leakt Teilnehmer

1st Official Post

    Moin zusammen,

    Ich habe ein Privatsphären Problem in meinem Forum entdeckt.

    Ich habe eine Nachricht an mehreren Benutzer geschickt. Dazu habe ich BCC (unsichtbare) Teilnehmer verwendet. Das Empfänger Feld habe ich freigelassen.

    Laut der Beschreibung wird durch das Verwenden von BCC keine Teilnehmer sichtbar für andere: "Unsichtbare Teilnehmer sind für andere Teilnehmer nicht sichtbar."

    Nun haben einige Benutzer die Konversation verlassen. Dadurch können aber alle Teilnehmer, die noch in der Konversation sind sehen, wer die Konversation verlassen hat.

    Dies wurde mir per Screenshot eines Teilnehmers bestätigt.

    Dadurch ist das verwenden vom BCC quasi nutzlos und die Teilnehmerliste ist trotzdem indirekt einsehbar. In meinem Fall war es eine Private Nachricht an eine "eigentlich" anonyme Spender Gruppe, die nun nicht mehr anonym ist. =O

    Ist das Verhalten so gewollt, oder ist es ein Bug?

    Beste Grüße,

    Dr. Phil

    Edited once, last by dr-phil (September 25, 2023 at 7:12 PM).

  • Tim Düsterhus September 26, 2023 at 11:49 AM

    Added the Label Fixed
    • Official Post

    Hallo,

    eine Korrektur ist mittlerweile über die Paketserver verfügbar und sollte sich auch auf bestehende Konversationen auswirken.

    Im Rahmen der Korrektur ist auch aufgefallen, dass wenn der Ersteller der Konversation einen unsichtbaren Teilnehmer entfernt, ebenfalls ein Protokolleintrag auftaucht. Dieser wird zukünftig vollständig unterdrückt, da er nicht effizient bei der Anzeige gefiltert werden kann. Entsprechend hat diese zweite Korrektur keine Auswirkungen auf bestehende Konversationen.

    • Official Post

    Hallo,

    zum Abschluss möchte ich noch darum bitten, dass mutmaßliche Sicherheitslücken / fehlende Prüfung von Zugriffsberechtigungen / ähnliche schwerwiegende Fehler nicht in den öffentlichen Fehlerbereichen gemeldet werden, sondern zunächst per Ticket oder E-Mail an woltlab@woltlab.com.

    Die Korrektur von Sicherheitslücken hat für uns Priorität und wir sind - nachdem wir den Fehler bestätigen konnten - typischerweise in der Lage eine Korrektur innerhalb weniger Stunden zu veröffentlichen. Eine öffentliche Meldung gibt einem potentiellen Angreifer aber insbesondere bei Meldung in den Abendstunden eine Vorlaufzeit die Lücke auszunutzen, bis wir das Thema sehen, prüfen und eine Korrektur entwickeln können. Insbesondere bei schwerwiegenden Problemen ist dies eine unnötige Gefahr für alle Kunden.

    Gleiches gilt für Sicherheitsprobleme in Plugins. Diese sollten entweder privat direkt an den Entwickler gemeldet werden. Alternativ können diese Probleme ebenfalls an uns gemeldet werden, damit wir die Kommunikation mit dem Entwickler übernehmen, diesen bei der Korrektur unterstützen und ein Update im Plugin-Store priorisiert prüfen und freischalten können.

    Tim Düsterhus ich möchte hier noch anregen, diesen gut gemeinten Hinweis prominent beim Erstellen eines Fehler-Themas zu platzieren, damit dies auch jeder mitbekommt. Grundsätzlich hat man ja die Problematik, dass nicht jeder Anwender einschätzen kann, ob und in welchem Umfang ein Problem sicherheitsrelevant ist / wird / werden kann.

    • Official Post

    Hallo,

    Quote from JayOnRails

    ich möchte hier noch anregen, diesen gut gemeinten Hinweis prominent beim Erstellen eines Fehler-Themas zu platzieren

    Halte ich nicht für sinnvoll, denn er ist praktisch nie relevant und nervt dann irgendwann (oder wird weggeklickt und dann vergessen). Ich hab's hier einmal „for the record“ angemerkt, weil's der Anlass ergeben hat.

    Erfahrungsgemäß kommt der Großteil der Meldungen schon jetzt über einen privaten Kanal. Entweder, weil wir die Problematik selbst entdecken oder weil ein Entwickler statt eines Users den Fehler bemerkt und das Procedere kennt.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!

Register Yourself Login