Bug di sicurezza in rossoalice?

da **RadomE** » gio apr 15, 2004 12:15 am

Ho scoperto un probabile bug in rossoalice: se uno ha un'account ed utilizza il servizio di "file e web" è possibile, conoscendo la cartella ed il nome del file accedere ad esso senza loggarsi.

Il sistema è semplice:

Quest'immagine viene caricata automaticamente dal mio spazio web, il fatto è che per entrarci si dovrebbe loggarsi....

http://gr.rossoalice.it/fm/anteprima.ph ... _ombre.jpg

Questo è l'indirizzo, ma se sappiamo esattamente il percorso del file possiamo richiamarne uno in qualsiasi account.

Che ne dite? :mah:

da **ikir** » gio apr 15, 2004 12:01 pm

Forse perchè è un'immagine e lo permettono loro... non lo so :riflette:

L'importante è che non faccia vedere la directory con i file, ma solo il file singolo.

da **sHaDy** » gio apr 15, 2004 2:31 pm

Non ho capto bene qual'è il problema. C'è un servizio che permette di caricare file su di uno spazio web? Se è così non vedo dove sta il bug, è normale che se carichi un file sul web dopo sia accessibile da chiunque a patto di conoscere l'url esatto (e a patto che con ci siano restrizioni particolari ovviamente).

da **Tom Cruis** » gio apr 15, 2004 4:42 pm

Anche lo psazio web di Digilander è così, molte immagini che avevo postato nella sezione giochi vengono dal mio spazio web, basta inserire il percorso corretto di dove si trova l'immagine, percorso che però solo il proprietario dello spazio può azzeccare la prima volta!

da **sHaDy** » gio apr 15, 2004 8:33 pm

Tom Cruis ha scritto:Anche lo psazio web di Digilander è così, molte immagini che avevo postato nella sezione giochi vengono dal mio spazio web, basta inserire il percorso corretto di dove si trova l'immagine, percorso che però solo il proprietario dello spazio può azzeccare la prima volta!

Esatto, è una cosa normalissima...

da **electric_g** » gio apr 15, 2004 8:46 pm

credo che Radome si sia spegiato male....

io ho assistito ad una sua "dimostrazione"

in pratica quello che offrono è sì uno spazio ftp, ma anche un hard disk virtuale nel quale vi è una cartella PUBLIC in cui si mettono i file che si volgiono condividere, nel resto dello spazio quindi nn si dovrebbero condividere.....

inoltre per vedere questi file Radome deve mandare un invito via email grazie al quale il destinatario può entrare e vedere i file che è stato invitato a vedere...

il problema sorge quando, anche non nella cartella PUBLIC, si cerca di aprire un file usando il link "diretto" (NOME_SPAZIO/UTENTE/NOME_FILE) e il sito chiede (giustamente) username e password, mentre se si fa l'anteprima, viene fuori questo link che permette a chiunque, anche a noi dal sito che nn immettiamo password, di vederlo....

che invece non dovrebbe essere possibile!

da **RadomE** » gio apr 15, 2004 8:53 pm

Si perchè il mio non è uno spazio web pubblico, è una sorta di HD online...

@ ikir : come puoi ben vedere la directory è chiaramente visibile

da **ikir** » ven apr 16, 2004 1:13 pm

La directory io non riuscivo a vederla :-)

Comunque andrebbe segnalato se si vedono le immagini che non sono nello spazio pubblico :felice:

da **sHaDy** » ven apr 16, 2004 2:23 pm

Ho capito...

Beh, prova a mandare una segnalazione e vediamo che ti dicono.

da **RadomE** » ven apr 16, 2004 3:37 pm

Adesso provo a mandarlo su PI...

da **sHaDy** » gio apr 22, 2004 9:29 pm

Allora?

da **riko** » sab apr 24, 2004 12:22 am

RadomE ha scritto:Adesso provo a mandarlo su PI...

Anche perche` imho quelli di Alice sarebbero dispostissimi a fare una politica del security through obscurity... sputtanali :)

Bug di sicurezza in rossoalice?

Bug di sicurezza in rossoalice?

Chi c’è in linea