von Konte
ManiaHost ist ein neues System von SatanasDiabolo, dass es anderen ermöglicht ihren freien Webspace auszunutzen und für andere einen Ingame-Dateiupload bereitzustellen.
Interessiert? Nicht? Auch egal. Denn eigentlich wäre das nicht wirklich ein Artikel wert, da ManiaHost so gut wie niemanden anspricht. Deshalb möchte ich im Folgenden auch weniger auf die Funktionsweise, Vorteile/Nachteile etc. eingehen. Um genau zu sein, gehe ich nur auf die Nachteile ein.
ManiaHost hat zwei riesige Sicherheitslücken. Das System funktioniert so, dass man sich für monatliche Coppers einen limitierten Webspace holen kann. Auch die Zahl der möglichen Teilnehmer ist begrenzt, aber sofern normale User eingestellt sind, darf sich jeder anmelden. Diese Anmeldung funktioniert mit der TM-eigenen PlayerID-Abfrage. Bei einem PlayerID-Link werden automatisch die Spielerinformationen hinzugefügt, ManiaHost kann so den Spieler identifizieren. Aber diese Identifizierung ist nicht sicher. Sie ist so ziemlich das unsicherste, was es so gibt.
Dass ManiaHost nun auf diese Funktion und nicht auf eine Registration mit Passwort z.B. setzt, ist mehr als fahrlässig. Man kann sich nun also ganz einfach unter dem Login des Admins anmelden und hat vollen Zugriff. Man kann z.B. das Speicherlimit erhöhen und den Webspace vollpumpen, oder sogar (sofern angegeben) die Zugangsdaten, also Name und Passwort, zu Maniahome in Klartext anschauen.
Das Speicherlimit zu erhöhen hat übrigens noch einen netten Nachgeschmack: Man kann das Speicherlimit zwar erhöhen, aber nicht erniedrigen. Einmal also auf utopische Höhen gestellt, kann der richtige Admin es gar nicht mehr über das Adminpanel runtersetzen, sondern müsste direkt in die Config der Datenbank schauen – nichts schwieriges, kann aber sicherlich nicht jeder.
Dem Prästentationsthread ist weiterhin folgendes zu entnehmen:
However the php files are not accepted for some obvious sécurity reasons.
(zu Deutsch: Jedenfalls werden PHP-Dateien logischerweise nicht akzeptiert)
In der Tat, Dateien auf der Endung .php werden nicht akzeptiert. Weiterhin wird auch die Dateiendung .php4 nicht akzeptiert. Aber wenn das schon alle zu PHP gehörenden Dateiendungen wären… die Dateiendung .phtml (PHP-HTML) kann man sehr wohl hochladen, und da das upload-Verzeichnis auch nicht durch .htaccess geschützt ist, hat man nun freie Bahn. Wenn ihr schon bei den Möglichkeiten der Loginmanipulation aufgeschreckt seid, solltet ihr euch jetzt gut festhalten:
Mit so einer PHP-Datei kann man so ungefähr alles machen. Erstmal kann man sich sämtliche Dateien des Webspace anschauen, falls irgendeine Datei z.B. auf eine MySQL-Datenbank zugreift, kann man sich direkt die Zugangsdaten zu der Datenbank holen. Je nach Dateirechten ist es auch noch möglich Dateien nach Belieben zu bearbeiten oder einfach den ganzen Webspace zu zerstören.
Selten habe ich etwas so unsicheres wie ManiaHost gesehen. Und dabei ist ein Dateiupload gerade so kritisch, da muss man eigentlich besonders aufpassen. Die Benutzeroberfläche ist gut gelungen, dafür musste anscheinend die Sicherheit leiden.
Fazit: Da hat SatansDiabolo ja mal wieder ein super Projekt rausgehauen!
Auch lustig ist, dass das niemand im Foren-Thread erwähnt^^. Ich lehne mich einfach mal zurück und warte, bis das ganze System aufgrund der Sicherheitslücken zusammenbricht. Mal sehen, wann sich der erste beschwert, dass sein gesammter Webspace gelöscht wurde
Schöner Artikel, [Name des Autors hier einfügen]! Auch mal nur negative Aspekte zu erwähnen, mir fallen aber auch keine Positiven ein, Webspace kann man sich ja zu Hauf irgendwo anders hohlen.
Hab den Namen mal eingefügt
Im übrigen arbeitet Satanasdiablo bei Nadeo. Was mal wieder ein weiteres Kapitel in die Nadeo Saga “tolle Idee, schlecht umgesetzt” hinzufügt. Wieviele Features finden wir schon in TM, die entweder verbuggt sind, oder nicht den versprochenen Erfolg brachten?
wenn diese identifizierungen über POST, und nich über GET (sichtbar und manipulierbar in der URL)wären, wäre wenigstens mal der Login sicher, das zweite lässt sich ja fixen. dennoch könnte man auch den Login wesentlich sicherer machen, indem man z.B. bei der Startseite alle links ein ID-Link sein lassen, dann überprüfen ob alle dateine mitgesendet wurden und ob die letzte seite die Startseite war, damit kann man sich sehr gut vor fake logins schützen. desweiteren den Adminlogin mit nem falschen benutzernamen und PW versehen, dann wäre schonmal das wesentlich sicherer.
Wir müssen uns hier nicht unterhalten, wie genau man was sicherer machen kann, Fakt ist, dass nur eine Registration mit Passwort wirklich sicher ist (über irgendwelche ID-Links hätte ich mich sicherlich auch lustig gemacht
), und dass Satanas das vermasselt hat.
@ Inso: Ich würde zwar schon sagen, dass die Idee schon schlecht ist, aber gut^^
Genau darüber kriegt ihr am Sonntag auch eine Powerslide von mir
Registration mit Passwort ist auch nachteilig, man kann sich dann nämlich wieder mit einem falschen Login registrieren
. Nur mit Eingabe des Community-Codes bei der Registrierung ist das sicher.
Vielleicht bin es ja ich, der das falsch sieht, aber in meinen Augen ist dieser Artikel ziemlich unverschämt.
Jedenfalls finde ich es freundlich gesagt sehr seltsam, bei solchen Sicherheitslücken nicht zunächst ein entsprechendes Feedback mit Auflistung der Mängel direkt an denjenigen zu senden, der sich das ganze ausgedacht hat (ob das geschehen ist, geht aus dem Artikel nicht hervor), sondern diese Liste stattdessen hier publik zu machen, nur um (wie es mir scheint) mit dem Finger auf das Projekt und die Person(en) dahinter zu zeigen und sich darüber lustig zu machen.
Auch falls zusätzlich die angesprochene Mitteilung an SatanasDiablo erfolgt ist, wird meiner Meinung nach die Sicherheitslücke durch einen solchen Artikel ja eher noch vergrößert, denn es findet sich hier natürlich keine genaue Anleitung, wie man das System austrickst, aber für den, der etwas davon versteht (wozu ich mich nicht zähle, also korrigiere mich ruhig), müssten die in diesem Artikel gegebenen Informationen mehr als ausreichend sein.
Insofern kommt dieser Beitrag für meine Begriffe zumindest einer Anstiftung gleich, hätte es nicht auch eine bloße Warnung getan, das System zu meiden, bis die Sicherheitsprobleme beseitigt wurden?
Da muss ich GSNPaul recht geben.
Aber solange niemand die Bugs ausgenutzt hat, wird denke ich “NADEO” auch nicht handeln.
Ich muss Paul zwar recht geben, aber ich denke dass jemand der was von diesem ganzen identifizierungszeugs versteht auch selbst weis wie er das System austrickst.
btw: ManiaHost kommt ~3Jahre zuspät oO
I just discover this article, and indeed there is some security breach revealed by this article. Now I’m working on a version without this security breach. And I would appreciate that Konte show me this lack of security on TM-Forum in spite of discover this here, without other information on the topic I posted to discuss of this.
A comment to tell me “great job” or “Nice!” is always welcome but someone who tell me “hey, you have a lack of security here, can you correct it” is also welcome in the debate.
Wo er Recht hat, hat er Recht
The security breach is corrected. If Konte has reported this error earlier, the correction would have been made earlier
Nice to blame Konte now. Who made the mistake?
Me first I agree, but if you don’t report bug I haven’t seen I can’t correct them
Bei mir steht immer stat GB-> Go , KB -> Ko ist das extra?
Das ist die französische Bezeichnung für GB und KB