Datenschutzlücke bei User-Profilen
Quote from HA-Dani on October 23, 2022, 3:48 pmHallo Zusammen,
uns ist aufgefallen, dass die Profile eines jeden Benutzers durch die URL https://www.website.de/forum/profile/1/
aufrufbar sind. Wenn man die 1 durch eine beliebige Zahl esetzt, findet man alle registrierten Benutzer inkl. Profil.
Dadurch sind diverse Angriffsszenarien denkbar. Ich denke nicht, dass dies so gewünscht und optimal ist?Gleich ein Lösungsvorschlag dazu:
Ersetzt doch einfach die fortlaufende Nummer durch den Hashwert des jeweiligen Benutzernamen.
Das ist recht einfach umtzsetzen und bringt im Hnblick auf die Security und den Datenschutz eine ganze Menge.Beste Grüße, Daniel
Hallo Zusammen,
uns ist aufgefallen, dass die Profile eines jeden Benutzers durch die URL https://www.website.de/forum/profile/1/
aufrufbar sind. Wenn man die 1 durch eine beliebige Zahl esetzt, findet man alle registrierten Benutzer inkl. Profil.
Dadurch sind diverse Angriffsszenarien denkbar. Ich denke nicht, dass dies so gewünscht und optimal ist?
Gleich ein Lösungsvorschlag dazu:
Ersetzt doch einfach die fortlaufende Nummer durch den Hashwert des jeweiligen Benutzernamen.
Das ist recht einfach umtzsetzen und bringt im Hnblick auf die Security und den Datenschutz eine ganze Menge.
Beste Grüße, Daniel
Quote from Asgaros on March 7, 2023, 3:49 amHallo @ha-dani
Benutzer und deren Profile können ohnehin über die Mitgliederliste eingesehen werden. Aber: Es existiert eine Option, mit dessen Aktivierung Profile nur für angemeldete Benutzer sichtbar sind.
Hallo @ha-dani
Benutzer und deren Profile können ohnehin über die Mitgliederliste eingesehen werden. Aber: Es existiert eine Option, mit dessen Aktivierung Profile nur für angemeldete Benutzer sichtbar sind.