ASOC: Fix it in the Mix

Nachbesserungen

tobi — Fri, 03 Oct 2008 00:15:44 GMT

So, der zweite Teil des Updates, den ich letztesmal nicht mehr geschafft habe, ist jetzt durchgeführt.

Aus meiner Sicht schaut alles gut aus, aber wie immer zählen eure Beobachtungen. Wenn's also irgendwo überraschenderweise hakt, bitte melden.

Eine Nachbesserung fehlt immer noch, und zwar die für die übergequollenen Story-Requests.

Wegen eines inkompatiblen Verbindungsstücks zwischen Helma und der Datenbank sind bereits vor einigen Monaten kurzzeitig einige Story-Requests in einigermaßen unglaubwürdige Höhen geschnellt.

Die folgende Liste enthält alle Stories mit mehr als 100.000 Requests; die betroffenen Weblog-Eigentümer haben bis 13. Oktober die Möglichkeit einen korrigierten Wert zu nennen, auf den ich dann bei Gelegenheit den Counter zurücksetzen werde.

 610222	arrog.antville.org
 121138	arrog.antville.org
 641761	ast.antville.org
 204714	blat.antville.org
 170947	blat.antville.org
1119452	butterseite.antville.org
 160831	croc.antville.org
8388607	Don.antville.org
 559823	Don.antville.org
 206918	eleph.antville.org
 118292	legomyego.antville.org
 183460	mark.antville.org
1445263	musik.antville.org
3881231	oelie.antville.org
 256531	perform.antville.org
 200570	perform.antville.org
 123086	project.antville.org
 153383	saltyt.antville.org
 118573	saltyt.antville.org
 421311	sockhaus.antville.org
 125237	sonneR.antville.org
 917906	swen.antville.org
 685095	swen.antville.org
 679638	swen.antville.org
 651147	swen.antville.org
 495565	swen.antville.org
2468542	tobi.antville.org
 101752	trashlit.antville.org
 909168	videos.antville.org
 816132	videos.antville.org
 215554	videos.antville.org
 165985	videos.antville.org
4264595	vlan.antville.org

(Als Beispiel: ich würde den Wert von 2.468.542 in meinem Weblog auf 50.000 korrigieren, d.h. etwas mehr als die zweitgereihte Story hat.)

motzes — Sat, 13 Sep 2008 21:24:42 GMT

funkt, danke!

Galleries sind wieder da!

tobi — Sat, 13 Sep 2008 20:34:53 GMT

Und damit hoffe ich, dass diese erfreuliche Nachricht die einzigen Auswirkungen des Updates zusammenfasst, und es keine hässlichen Nebenwirkungen hat. Bitte gleich melden, falls etwas dubios erscheint.

Leider hat alles etwas länger gedauert, als ich geplant hatte; die Gigabyte von Bilddaten machen die Arbeit etwas beschwerlich.

Und wie immer läuft auf Elise nicht jedes Datenbank-Script so, wie vorher auf dem Testserver. (Umgekehrt wär's aber sicher genauso.)

Somit hab ich auch noch nicht alles erledigt, was ich mir vorgenommen habe. Es wird daher demnächst nochmal eine kurze, von mir aus auch gerne kürzere Unterbrechung geben. Ich sag bescheid.

Antville is looking forward to your donation

tobi — Wed, 23 May 2007 21:15:19 GMT

Please use one of the three transfer methods below.

1. Domestic bank transfer
Recommended for everbody having an austrian bank account.

Empfänger (recipient)
Tobi Schäfer

Bankverbindung (banking account)
Bank: PSK Wien
Bankleitzahl (bank code): 60.000
Kontonummer (account number): on request

Verwendungszweck (note to payee)
Antville donation

2. EU standard bank transfer
Recommended for citizens of the European Union with a Euro (€) account; fees should not be higher than with a domestic bank transfer.

Recipient country
Austria (AT)

Bank address
BAWAG P.S.K. Bank für Arbeit und Wirtschaft und Österreichische Postsparkasse Aktiengesellschaft
Seitzergasse 2–4
1010 Wien

IBAN (International bank account number)
on request

BIC (Bank identifier code)
OPSKATWW

Account holder
Tobi Schäfer
Wilhelm-Exner-Gasse 14/5
1090 Vienna, Austria

Note to payee
Antville donation

3. PayPal (not necessarily recommended)
Probably the best method for citizens outside the European Union or without a Euro (€) account, though...

Simply click the button below to get to the secure donation form at the PayPal website.

Please note the transaction fees of approx. 5% PayPal will subtract from your donation value.

Antville freut sich über Ihre Spende

tobi — Wed, 23 May 2007 21:44:35 GMT

Bitte verwenden Sie eine der drei folgenden Überweisungsmöglichkeiten:

1. Inlandsüberweisung
Empfohlen für alle Menschen mit einem österreichischen Konto.

Empfänger
Tobi Schäfer

Bankverbindung
PSK Wien
Bankleitzahl: 60.000
Kontonummer: Bitte anfragen

Verwendungszweck
Antville-Spende

2. EU-Standardüberweisung
Empfohlen für EU-Bürgerinnen mit einem Konto, das in Euro (€) abgerechnet wird; kostet in den meisten Fällen nicht mehr als eine Inlandsüberweisung.

diestimmeausdemhintergrund hat uns freundlicherweise ein Beispielformular zur Verfügung gestellt, das beim Ausfüllen behilflich sein kann.

Empfängerland
Österreich (AT)

Bankinstitut
BAWAG P.S.K. Bank für Arbeit und Wirtschaft und Österreichische Postsparkasse Aktiengesellschaft
Seitzergasse 2–4
1010 Wien

IBAN (Internationale Kontonummer)
Bitte anfragen

BIC (Bank-Identifizierungs-Code)
OPSKATWW

Kontoinhaber
Tobi Schäfer
Wilhelm-Exner-Gasse 14/5
1090 Vienna, Austria

Verwendungszweck
Antville-Spende

3. PayPal (nicht zu empfehlen!)
Für Nicht-EU-Bürger oder Inhaber eines Kontos, das nicht in Euro (€) abgerechnet wird, wohl immer noch die beste Möglichkeit.

Mit einem Klick auf den untenstehenden Spenden-Button gelangen Sie zum Spendenformular auf der sicheren Website von PayPal.

Bitte beachten Sie die Überweisungsgebühren in Höhe von ca. 5%, die PayPal von Ihrer Spende abzieht.

kristof — Mon, 25 Aug 2008 21:50:47 GMT

*seufz*
Das meinte ich mit "14:58".

Nachtrag

tobi — Mon, 25 Aug 2008 16:23:53 GMT

Es spricht selbstverständlich nichts dagegen, für diesen (wie auch jeden anderen) Sachverhalt, Feature-Request oder Bug (wie man's halt sehen will) ein entprechendes Ticket in den Issue-Tracker einzupflegen.

tobi — Mon, 25 Aug 2008 16:16:33 GMT

Ja, das haben Sie bereits betont, und ich habe daraufhin versucht zu erklären, dass Antville.org seit Jahren trotz und in puncto dieses Features schadlos geblieben ist.

Selbstverständlich ist es möglich, dass demnächst doch ein Schmock zuschlägt. Klar, ärgerlich. Und Sie haben's dann schon immer gewusst und gesagt.

Antville ist nun einmal kein e-commerce-Kahn von 10 Cryptoregistertonnen, mit 100-köpfiger Mannschaft an Deck und einem 448-bit schweren Blowfish im Netz.

kristof — Mon, 25 Aug 2008 15:51:02 GMT

Nun gut.
Und sollte man da nicht etwas tun? Ich finde schon.

tobi — Mon, 25 Aug 2008 15:41:48 GMT

Mein Kommentar bezog sich auch einzig und allein auf den von Ihnen um 14:26.

Dass sich die beliebig veränderbaren Skins in Antville generell als Sicherheitslücke auslegen (und auch ausbeuten) lassen, streitet ja niemand ab.

kristof — Mon, 25 Aug 2008 14:53:00 GMT

Nun ja, die Frage ist doch, inwieweit man per Loginseite die Userdaten abgreifen kann. Bzw. dass man kann. Die Verschlüsselung ändert daran nix.

tobi — Mon, 25 Aug 2008 14:32:15 GMT

Muss ich das jetzt verstehen?

kristof — Mon, 25 Aug 2008 12:58:54 GMT

Ah, gut, es gibt kein Problem.

Oh the hyperbole!

tobi — Mon, 25 Aug 2008 11:35:19 GMT

Die Verschlüsselung des Passworts im Browser und vor dem Absenden der Daten (aka "massenhaft Ajax-Jedöns") macht tatsächlich die Login-Daten (aka "die Sache") insofern nicht transparenter, sondern – au contraire – eben gerade für die bösen Mädchen und Buben etwas weniger leicht durchschaubar.

Nichtsdestotrotz funktioniert der Login auch ohne JavaScript; dann wird das Passwort eben unverschlüsselt als Klartext an die Elise übermittelt, und die sorgt dann für die nötige Verschlüsselung.

kristof — Fri, 22 Aug 2008 12:26:04 GMT

Dass beim jetzigen Login auch massenhaft Ajax-Jedöns eingesetzt wird, macht für mich die Sache nicht viel transparenter.

ichichich — Fri, 22 Aug 2008 12:22:53 GMT

@kristof: Das ist genau mein Reden seit 1945. Twoday hat das gut gelöst: Login und jede andere Aktion, bei der mit Benutzerdaten hantiert wird, ist nur über eine zentrale Seite möglich, auf deren Layout niemand Einfluß hat.

kristof — Fri, 22 Aug 2008 12:18:13 GMT

Hm, die oben genannten Tricks sind natürlich relativ unbedeutend, solange man als Bloginhaber die Login-Seite selbst gestalten und alle Logins abgreifen kann.

DaveKay — Sat, 16 Aug 2008 12:36:32 GMT

eine gute Entscheidung, wie ich finde :)
btw. damit wäre mein Problem der gender-frage wohl auch geklärt :D

Neuzugang bei den »privilegierten« BenutzerInnen

tobi — Sat, 16 Aug 2008 12:13:23 GMT

Ich habe Herrn kinomu, mit dem ich gestern abend ein langes und gutes Gespräch geführt habe, soeben zum »privileged User« auf Antville.org gemacht.

Damit hat er nun auch – wie seit kurzem auch die User Dave-Kay und mutant – Einblick in alle Sites sowie vollständige Berechtigungen, Änderungen auf Antville.org durchzuführen.

Selbstverständlich wird er diese hohe Verantwortung mit derselben Würde tragen wie alle Admins, und in erster Linie damit helfen können, wenn Not am Site (z.B. ein Skin zerschossen o.ä.) ist

kinomu — Tue, 12 Aug 2008 14:49:10 GMT

Daß die Passwörter in den Antville 1.1-Cookies verschlüsselt sind (und in den 1.2-Cookies zusätzlich gesalzen), weiß Dirk Olbertz natürlich auch.

Das heißt, von einer anderen IP wäre der einfache Zugriff m.E. nicht möglich (die IP müsste noch herausgefunden und gefälscht werden).

Das Herausfinden der IP ist ganz leicht, schließlich wird der den Kommentar aufrufende User weitergeleitet. Damals habe ich auch gesehen, daß die IPs aufgezeichnet wurden - bleibt die Frage, ob man IP-Spoofing als schwierig betrachtet. Ich halte das für keine große Hürde und glaube daher nicht, daß das Anlegen neuer User bald wieder möglich sein kann.

JavaScript ließe sich zwar aus Kommentaren und Stories filtern (das wurde für blogger.de auch schon erwogen), aber solange die Skins so frei angepasst werden können, löst das nicht dieses Problem. (Ich denke, es gibt bessere Gegenmaßnahmen, als Kommentare und Stories zu filtern sowie das Bearbeiten der Skins zu unterbinden: Token.)

tobi — Tue, 12 Aug 2008 10:37:55 GMT

@Session-Cookie: Ich möchte hier beileibe nichts ausschließen, habe einfach nur selbst noch keinen Exploit dieser Art in Aktion gesehen. (Nicht dass ich scharf drauf bin, aber anders werd ich mir kein endgültiges Urteil bilden können.)

@JavaScript in Postings: Einfaches Einbinden von Youtube-Videos, fällt mir da als erstes ein.

@Vandalismus: HTML reicht schon, um eine Seite (un)absichtlich zu sabotieren.

giardino — Tue, 12 Aug 2008 10:28:02 GMT

Ah, das klingt beruhigend, dass Session-Cookie und IP gegengecheckt werden.

@Kinomu: Kennt Dirk Olbertz diese Betrachtung? Dann könnte man ja vielleicht das Anlegen neuer User drüben wieder erlauben.

Was für mich bleibt, ist die Frage: Gibt es einen Nutzen für Javascript in Kommentaren? Denn der potentielle Schaden, den man damit anrichten kann (von allerlei eher harmlosem Vandalismus in der Seitenanzeige bis hin zur automatischen Weiterleitung auf eine Malware-Seite) ist ja schon deutlich. In dieser Detailfrage wäre ich daher bislang eher für einen Helm.

(HTML in Kommentaren finde ich übrigens trotz gelegentlich auftretender kleiner Probleme vertretbar.)

tobi — Tue, 12 Aug 2008 09:59:47 GMT

OK, Danke. Herr Kinomu hat mir über diesen Exploit ausführlich erzählt.

Ich bin mir immer noch nicht sicher, ob sich mit diesem Cookie viel anstellen lässt. Helma selbst sorgt dafür, dass die Client-IP im Cookie hinterlegt ist, und überprüft jedes Cookie daraufhin. [Quelle]

Das heißt, von einer anderen IP wäre der einfache Zugriff m.E. nicht möglich (die IP müsste noch herausgefunden und gefälscht werden).

Die Cookies für Username und Password sind in Antville 1.2 nicht mehr im Klartext lesbar.

Die Verschlüsselung ist zwar nicht sehr hoch, aber gegen hohe negative Energie anzutreten überlass ich gern dem e-commerce.

Generell steht eine Software wie Antville hier am Scheideweg: Wollen wir Freiheit oder Sicherheit? (Lies: wollen wir wirklich lieber mit Helm Fahrrad fahren? Ich absolut nicht.)

giardino — Tue, 12 Aug 2008 09:37:09 GMT

Es wurde auf document.cookie zugegriffen und dieses in eine Fremd-URL als Aufrufparameter gepackt, auf die man beim Öffnen der Story umgehend weitergeleitet wurde. Dieses Cookie - soweit ich das gesehen habe - enthält bei angemeldeten Benutzern wohl die Session-Identifizierung für Antville.

(Bitte Kommentar löschen, falls er Leute auf Ideen bringen könnte.)

tobi — Tue, 12 Aug 2008 08:55:39 GMT

@giardino: Ja, schon klar.

Aber es macht nochmal einen Unterschied, ob ich prinzipiell Script-Tags einbauen, oder ob ich damit auf die Cookies eines x-beliebigen Benutzers zugreifen kann.

Letzteres wäre nochmal eine ganz spezielle Sicherheitslücke.