Ich habe gerade versehentlich möglicherweise eine Sicheheitslücke in der Nutzerverwaltung im WiKi gefunden. An wen müßte man dies ggf. melden?
Problem:
Im ersten Schritt ändert man die E-Mail-Adresse in seinen Nutzerdaten. Dann bekommt man eine E-Mail an die neue Adresse, um diese zu Bestätigen. Den ersten Schritt kann man nur durchführen, wenn man sein Passwort vorher eingegeben hat.
Zweiter Schritt: In dieser Bestätigungs E-Mail muß man zur Bestätigung der Änderung nur auf einen Link klicken. Hier ist die Eingabe eines Passwortes nicht mehr notwendig – war jedenfalls bei mir nicht notwendig. Ich war dann ohne erneute Passworteingabe in meinen Benutzerdaten und konnte diese erneut ändern – also z.B. auch mein Passwort…
Wenn man sich nun beim Eintippen der E-Mail-Adresse im ersten Schritt vertippt, bekommt (sofern diese gültig ist) jemand anderes die Bestätigungsmail, und könnte das Passwort ändern, mithin eine Identität stehlen…???
Jaja, und dann sind wir bei der NDA-Praxis, die schon sonst überall verhindert, dass Lücken geschlossen werden. Zumal das keine gravierende Lücke ist, denn man muss ja erstmal seine Adresse falsch eingeben und dann noch das Pech haben, dass die Mail bei jemandem landet, der diese Lücke ausnutzt - und dass derjenige, der die Mail erhält, sie ausnutzen kann, wird demjenigen auch sofort klar sein ohne diesen Thread. Insofern: Einfach die richtigen Stellen noch informieren, dann wird sicherlich etwas an diesem Prozess geändert.
Kann ich nicht bestätigen. Ich bin bei einer Opensource-Software im Security-Team und es hat sich absolut bewährt. Nach dem Schließen wird natürlich informiert.