QUOTE (jAuer @ Di 28.11.2006, 22:43)
QUOTE (Ansgar Berhorn @ Di 28.11.2006, 21:15)Interessant finde ich, wie nun die laut StudiVZ mit starker Verschlüsselung chiffrierte ID die dort jedes Nutzer-Profil hat, entschlüsselt wurde.
Dieser führt
Blog-Beitrag führt vor, wie ID mit ein wenig Grips auseinander nimmt.
Ein Schutz, der nur aus einer relativ kurzen Url-Adresse besteht, ist doch kein Schutz. Und wenn lediglich die Nutzer-ID mit einem feststehenden Algorithmus auf eine Adresse (und umgekehrt) umgerechnet wird, dann ist das albern - da nimmt man sich ein paar Kombinationen, sieht sich die Bitwerte an und hat das.
Allerdings gab es ähnliche Dinge auch mal bei der Telekom, wo auch interne Nutzer nur die Zahlen am Ende ihrer Url ändern mußten, um Daten anderer Personen lesen zu können.
Genaugenommen ist das nicht 'bloß ein Datenschutzproblem', sondern eine völlig falsche Sicherheitsarchitektur, die sich jetzt eben an diesem Beispiel zeigt. Wer weiß, wie unsicher dann die wirklich kritischen Dinge (Schreibzugriff) sind, wenn schon bei solchen Banalitäten so etwas auftaucht.
Die Architektur an sich ist da in jedem Fall das Problem.
Die ID ist ja nur der Wegbereiter und gibt keine Auskunft darüber, ob man nun Berechtigung hat auf den Inhalt hinter zuzugreifen oder nicht.
Die ID ist ja auch konstant und verfällt nicht irgendwann.
Problem ist, das an manchen Stellen scheinbar die Berechtigung geprüft wird und an anderen Stellen einfach nach dem Motto "wenn der Link von unserer Webseite so generiert wurde, dann muss ja vorher die Berechtigung schon dagewesen sein" verfahren wird.
Und wenn dann auch noch verschiedene andere Schnittstellen offen sind, die Hinweise geben (/?id=123 gibt ungeprüften Zugriff wo der "normale" Zugriff /?ids=xyz auf Berechtigung prüft), dann produziert man ausreichend Motivation nach weiteren Schwachstellen zu suchen.