Tja - ich hoffe, das das nicht so implementiert ist, wie Jake Savin das auf der radio-dev Liste angekündigt hatte:
http://groups.yahoo.com/group/radio-dev/message/7946Das Problem: man kann bei Weblogs, die noch keine Kommentarbenachrichtigung haben, recht einfach die Kommentarbenachrichtigung hijacken, auch wenn die Option 2 aus der Mail benutzt wird (Option 1 steht wegen der nicht-Änderbarkeit sowieso nicht zur Debatte).
Das Szenario ist recht einfach: da bei der setPrefs Funktion nicht nur das Passwort mitgeschickt wird (bzw. dessen MD5 Hash), sondern auch alle Daten um einen anderen Server nach der Gültigkeit zu fragen, kann man einfach einen kleinen XMLRPC-Server aufsetzen, der generell "ist ok, Passwort stimmt" zurückliefert. Diesen gibt man dann in den setPrefs Aufrufen mit an als Server, den es zu fragen gilt. Und schon kann man mit einer Schleife mal eben alle numerischen Benutzer auf Userland die Kommentarnachrichten klauen. Klassischer Fall von zu kurz gedacht. Es ist schon erstaunlich wie wenig Leute wirklich bei Security nachdenken, was das letzten Endes bedeutet. Viel zu oft stösst man auf so halbe Lösungen. Klar, Kommentarbenachrichtigungen sind nicht wirklich kritisch. Aber die Funktion, die hier abgesichert werden sollte, heisst ja setPrefs. es ist abzusehen, wann die Programmierer da zusätzliche Einstellungen speichern werden, und wie diese dann auch fremdgesetzt werden können.Wo liegt der Fehler hier jetzt wirklich? In der Kommunikation mit dem Server, das ist klar. Aber der eigentliche Fehler liegt darin, das ein sicherheitsrelevanter Bereich in der Authorisierung mittels eines gekoppelten Systems realisiert wird, bei dem die Koppelung der Systeme durch den Endbenutzer bestimmt wird. Und dieser letzte kleine Teil - durch den Endbenutzer - ist das Problem. Systemkoppelungen in sicherheitsrelevanten Bereichen müssen vom Administrator vorkonfiguriert werden, Benutzer dürfen allenfalls aus Optionen wählen können. Denn nur der Administrator kann festlegen welche Quellen für Authorisierungen vertrauenswürdig sind. Bei Der Schockwellenreiter gibts den Originalartikel.
