3
J'ai entendu parler des problèmes de sécurité avec la diaspora, quelqu'un peut-il résumer ce qu'ils étaient?Quels sont les problèmes de sécurité avec la diaspora?
A
Répondre
7
Depuis, ils ont corrigé un grand nombre d'entre eux, mais l'ensemble du projet était vraiment un gâchis de presque tous les exploits de sécurité Web du livre. Voici un rapide aperçu des problèmes rencontrés dès le premier jour de la publication de leur code alpha:
- Ils n'ont jamais vérifié qu'un utilisateur donné était autorisé à faire quoi que ce soit. Ainsi, alors qu'un utilisateur peut aller à
/image/123/delete/pour supprimer une image de leur choix (dont l'identifiant est 123), ils peuvent simplement taper manuellement l'URL/image/1/delete/pour supprimer l'image avec un ID de 1, même si cette image n'a pas été les leurs. - Ils ont utilisé une fonction de raccourci dans Ruby on Rails qui vous permet d'assigner massivement des propriétés POST'ed à une table de base de données sans valider que ces propriétés étaient réellement dans le formulaire. Alors qu'une page de mise à jour de profil pourrait avoir des champs pour changer une image d'avatar et une description bio, n'importe qui avec un peu de savoir-faire pourrait bidouiller les données POST avant qu'elles soient envoyées au serveur et envoyer des paires de colonnes mot de passe, ID de session, etc. Combinez cela avec le point # 1 où vous pouvez simplement modifier les données de n'importe qui si vous connaissez l'URL, et vous pouvez placer l'information privée de n'importe qui de ce que vous voulez.
- Ils ont utilisé MongoDB pour leur backend. Pour les non-initiés, Mongo utilise Javascript pour certaines de ses capacités d'interrogation. Ils ont pris des chaînes de requête de recherche brutes et les ont simplement exécutées par rapport à leur backend Mongo, ce qui permettait à n'importe qui envoyant du Javascript bien structuré comme une requête de faire vraiment ce qu'ils voulaient avec la base de données.
Si vous êtes curieux de connaître les détails techniques, ne hésitez pas à educate yourself.
+0
Quelle honte ... !! Est-ce toujours le cas? Existe-t-il une alternative plus sûre à Disapora? – JulienFr
Questions connexes
- 1. Quels sont les problèmes de sécurité dans asp.net mvc?
- 2. Quels sont les problèmes potentiels avec ce schéma de sécurité WebService?
- 3. Quels sont les meilleurs moyens d'améliorer la sécurité de l'application?
- 4. Quels sont les problèmes résolus par Maven?
- 5. Quels sont les problèmes de sécurité potentiels dans cette implémentation de SSO?
- 6. Quels sont les problèmes du modèle MVVM?
- 7. BlazeDS: quels sont les codes de défaut standard de sécurité?
- 8. Quels sont les problèmes de sécurité pourraient venir d'exposer phpinfo() à l'utilisateur final?
- 9. Quels sont les problèmes avec cette implémentation producteur/consommateur?
- 10. Quels sont les bons moyens d'induire des problèmes de threads?
- 11. Quels sont les problèmes avec les classes internes non statiques et la sérialisation en Java
- 12. Problèmes de sécurité avec l'applet
- 13. Quels sont les problèmes avec les bases de données de fichiers simples?
- 14. Quels sont les os d'un CMS puissant
- 15. Quels sont les risques de sécurité potentiels typiques que les développeurs doivent prendre en compte?
- 16. Quels sont les concepts avancés de Velocity?
- 17. Quels sont les champs que la table utilisateur doit contenir du point de vue sécurité/authentification?
- 18. rails, en roulant mon propre système d'authentification, quels sont les problèmes de sécurité que je devrais prendre en considération?
- 19. Quels sont les avantages de VS2010 SP1?
- 20. Quels sont les navigateurs compatibles avec "! Important"?
- 21. Quels sont les problèmes de sécurité liés à l'authentification par superposition d'un autre site (authentification de base)?
- 22. Quels sont les attributs?
- 23. Quels problèmes de sécurité doivent être résolus lorsque vous travaillez avec Google App Engine?
- 24. Java: Quels sont les différents paramètres de sécurité disponibles pour les applets?
- 25. XPCOM Problèmes de sécurité
- 26. BDC Problèmes de sécurité
- 27. Comment installer Diaspora dans Windows?
- 28. Quels sont les cas d'utilisation AOP possibles?
- 29. Problèmes de sécurité JSON?
- 30. Quels sont les problèmes de mise à jour des applications Android et les meilleures pratiques?
Est-ce lié SO? Je l'aurais demandé dans WebApps ou quelque chose. – Incognito
@ user257493 non afin de comprendre la sécurité comme cela, vous devez être capable d'écrire du code. – rook