Datei-Uploads sind öffentlich einsehbar und in Suchmaschinen auffindbar

Antworten
#1
29.01.2024 12:40
avatar  anonymer-bugreport
#1 Datei-Uploads sind öffentlich einsehbar und in Suchmaschinen auffindbar
an
anonymer-bugreport
Mitglied

Datei-Uploads sind ungeschützt im Internet einsehbar und auffindbar, zwar nicht auf Google, aber auf anderen Suchmaschinen wie z.B. Ecosia, wenn ich suche nach site:files.homepagemodules.de
Hier kann ich durch viele PDFs durchscrollen aus allen möglichen Foren, völlig unabhängig davon, ob ich Mitglied bin oder nicht.
Wenn ich auf einen Link klicke, kann ich das PDF sogar anschauen.
Ich könnte nach Belieben weitere Stichwörter zur Suche hinzufügen um meine Suche zu verfeinern.

Bitte schließen Sie diese Lücke so schnell wie möglich, ich möchte nicht, wir tauschen sensible Informationen über unser Xobor-Forum aus, die nicht für die Öffentlichkeit bestimmt sind.


 Antworten

 Beitrag melden
#2
29.01.2024 12:45
avatar  anonymer-bugreport
#2 RE: Datei-Uploads sind öffentlich einsehbar und in Suchmaschinen auffindbar
an
anonymer-bugreport
Mitglied

Ich sehe, es gab bereits for 11 Jahren einen ähnlichen Thread: "Als Datei angehängte Bilder durch Suchmaschinen auffindbar"

Scheinbar sind besagt Inhalte über Google nicht auffindbar dank Robot-Meta-Tags, über andere Suchmaschinen allerdings schon.
Wobei aber Auffindbarkeit durch Suchmaschinen (Rausfinden des Download-Links) und Lesen der Datei (Öffnen des Download-Links) zwei paar SChuhe sind. Anscheinend war der Varnish Cache unter files.homepagemodules.de schon immer ohne Authentifizierung...


 Antworten

 Beitrag melden
#3
29.01.2024 12:46
avatar  Cyborg_Christina
#3 RE: Datei-Uploads sind öffentlich einsehbar und in Suchmaschinen auffindbar
avatar
Cyborg_Christina
Mitglied

Ich denke nicht, dass das eine Sicherheitslücke ist. Ob Dateianhänge öffentlich sichtbar sind, hängt von den Rechteeinstellungen ab. Wenn Gäste Leserechte haben, dann werden Dateianhänge natürlich angezeigt. Ohne Leserechte gibt es auch keine Dateianhänge und die lassen sich dann auch nicht googeln.

Was du in den Suchmaschinen gefunden hast, waren sicherlich Dateianhänge, die von den jeweiligen Admins entsprechend freigegeben wurden (Rechteeinstellungen!)

Forum Künstliche Intelligenz

 Antworten

 Beitrag melden
#4
29.01.2024 12:55
avatar  creator
#4 RE: Datei-Uploads sind öffentlich einsehbar und in Suchmaschinen auffindbar
cr
creator
Mitglied

Zusätzlich zu den Rechteeinstellungen gibt es die Option "Dauerhaft gültige Links für Dateianhänge".

Ich sehe nur ein Problem, wenn die Dateien früher öffentlich waren, indexiert wurden und die Zugriffsrechte erst später eingeschränkt wurden. Dann könnten die Dateien allerdings auch bereits auf archive.org und anderen Seiten archiviert sein. Also kein Problem, was nur Suchmaschinen betrifft.


 Antworten

 Beitrag melden
#5
29.01.2024 12:57
avatar  Franz-Jupp
#5 RE: Datei-Uploads sind öffentlich einsehbar und in Suchmaschinen auffindbar
avatar
Franz-Jupp
Mitglied

Warum so anonym mit einem offensichtlich extra dafür angelegten Account/Nickname ?

Auf eventuelle Sicherheitslücken hinweisen ist lobenswert und okay, aber dann "Visier hoch" !

____________________________________________________________
es grüßt Franz-Jupp

https://www.zur-blende.de/
nutzt Template V3

 Antworten

 Beitrag melden
#6
29.01.2024 12:59 (zuletzt bearbeitet: 29.01.2024 12:59)
avatar  creator
#6 RE: Datei-Uploads sind öffentlich einsehbar und in Suchmaschinen auffindbar
cr
creator
Mitglied

Zitat von creator im Beitrag #4
Ich sehe nur ein Problem, wenn die Dateien früher öffentlich waren, indexiert wurden und die Zugriffsrechte erst später eingeschränkt wurden.

Dazu zählt offenbar auch, wenn ein Forum gelöscht wurde, bleiben die Dateianhänge erhalten, ohne eine Möglichkeit, diese zu löschen?


 Antworten

 Beitrag melden
#7
29.01.2024 18:53 (zuletzt bearbeitet: 29.01.2024 19:07)
avatar  Cyborg_Christina
#7 RE: Datei-Uploads sind öffentlich einsehbar und in Suchmaschinen auffindbar
avatar
Cyborg_Christina
Mitglied

Zitat von creator im Beitrag #6
Zitat von creator im Beitrag #4
Ich sehe nur ein Problem, wenn die Dateien früher öffentlich waren, indexiert wurden und die Zugriffsrechte erst später eingeschränkt wurden.

Dazu zählt offenbar auch, wenn ein Forum gelöscht wurde, bleiben die Dateianhänge erhalten, ohne eine Möglichkeit, diese zu löschen?


@creator : Auch das sehe ich eigentlich nicht als Problem an. In meinem damaligen Forum war es tatsächlich so, dass Forumsnutzer mein Forum bei archive.org verewigt hatten. Das kam dadurch, dass ich bekannt gegeben hatte, mein Forum schließen zu wollen. Die Mitglieder meines Forums waren sehr traurig darüber und glaubten etwas Gutes zu tun: Sie wollten Teile des Forums erhalten.

Ich war damit überhaupt nicht einverstanden, habe den Nutzern erklärt, dass man Rechteinhaber sein muss, um eine Internetseite bei archive.org einzutragen. Der Rechteinhaber war in diesem Fall ich; per Email habe ich zu archive.org Kontakt aufgenommen und um die Löschung meiner Seite gebeten. Das hat schnell und unkompliziert geklappt.

Fazit: Wenn Internetseiten von Dritten bei archive.org eingetragen werden, ist das eine Rechteverletzung und man kann solche Inhalte entfernen lassen. Das ist keine Sicherheitslücke oder irgendwas. Wenn Nutzer dort ungefragt Inhalte speichern, kann man dagegen vorgehen.

Forum Künstliche Intelligenz

 Antworten

 Beitrag melden
#8
30.01.2024 06:09
avatar  anonymer-bugreport
#8 RE: Datei-Uploads sind öffentlich einsehbar und in Suchmaschinen auffindbar
an
anonymer-bugreport
Mitglied

Von gespeicherten Kopien im Cache der Suchmaschinen oder auf archive.org war nie die Rede, natürlich lässt sich das nicht verhindern. Aber auf archive.org kann ja nur landen, was davor schon öffentlich einsehbar war. Unser Forum ist aber generell nur für eingeloggte Benutzer sichtbar, es gibt keine Gast-Zugänge. Also sollten auch generell alle Inhalte inkl. Datei-Anhängen generell nur für eingeloggte Benutzer sichtbar sein, und nicht durch "Erraten" der URL (unter Zuhilfenahme einer Suchmaschine). Unabhängig davon, wem beim Upload der Datei Leserechte zugewiesen werden. Security by Obscurity war noch nie ein guter Ratgeber. Verlangt der Varnish Cache unter files.homepagemodules.de generell keine Authentifizierung oder falls doch, wovon hängt das ab?


 Antworten

 Beitrag melden
#9
30.01.2024 06:58 (zuletzt bearbeitet: 30.01.2024 07:01)
avatar  Johannes
#9 RE: Datei-Uploads sind öffentlich einsehbar und in Suchmaschinen auffindbar
avatar
Johannes
Administrator

Sie finden die passende Option unter Admin - Forum - Einstellungen:

Zitat
[x] Dauerhaft gültige Links für Dateianhänge
weniger Sicherheit, schnellere Ladezeiten


Wenn sie die Option abwählen, werden die Dateianhänge nur beim Seitenauffuf des Forums angezeigt. Von externen Quellen verlieren die Dateien nach wenigen Minuten ihre Gültigkeit, sind nicht mehr abrufbar.

Mit freundlichen Grüßen,
Joh. Voß
xobor.de · Miranus GmbH · Wir helfen gerne - Unterstützen Sie Xobor durch die Buchung eines Premium Tarifs.

 Antworten

 Beitrag melden
#10
30.01.2024 11:04 (zuletzt bearbeitet: 30.01.2024 11:30)
avatar  creator
#10 RE: Datei-Uploads sind öffentlich einsehbar und in Suchmaschinen auffindbar
cr
creator
Mitglied

Zitat von anonymer-bugreport im Beitrag #8
Unser Forum ist aber generell nur für eingeloggte Benutzer sichtbar, es gibt keine Gast-Zugänge.

Wenn das Forum noch nie öffentlich einsehbar war, wie hat Ecosia/Bing dann die Links der Dateianhänge mitbekommen? Die URLs der Dateianhänge sind relativ lang, also sollten sie nicht per Zufall erraten werden können.

Wie schon geschrieben, selbst wenn ihr jetzt die Option "Dauerhaft gültige Links für Dateianhänge" aktiviert, sind die alten Dateien weiterhin über die Suchmaschine aufrufbar. Nur neue Links verlieren ihre Gültigkeit.


 Antworten

 Beitrag melden
#11
30.01.2024 13:53
avatar  anonymer-bugreport
#11 RE: Datei-Uploads sind öffentlich einsehbar und in Suchmaschinen auffindbar
an
anonymer-bugreport
Mitglied

Danke für die Antworten. Woher die Suchmaschinen die Links haben, habe ich mich auch gefragt, d.h. es muss ja irgendeine Art Index-Seite geben im Forum oder im Varnish, wo alle Dateianhänge aufgelistet werden inkl. Link.

Aber selbst mit der Option "Dauerhaft gültige Links für Dateianhänge - weniger Sicherheit" sollten die Dateianhänge ja nicht komplett öffentlich sein, oder zumindest davor gewarnt werden, indem die Option umbenannt wird zu "Öffentliche Links für Dateianhänge - keine Sicherheit".

Ich würde euch dringend raten, die Dateien im Varnish Cache durch Authentifizierung zu schützen, sollte nicht weltbewegend sein, es gibt genug Mods dafür: https:// varnish-cache.org/vmods/
Gerade in den heutigen Zeiten, wo Security im Internet immer mehr in den Fokus kommt, sind solche Lücken eigentlich ein No-Go für eine seriöse Platform.


 Antworten

 Beitrag melden
#12
30.01.2024 14:21 (zuletzt bearbeitet: 30.01.2024 14:22)
avatar  Johannes
#12 RE: Datei-Uploads sind öffentlich einsehbar und in Suchmaschinen auffindbar
avatar
Johannes
Administrator

Die Suchmaschinen haben die Links von öffentlich einsehbaren Beiträgen, Themen, Bildergalerien etc.. Es gibt von unserer Seite aus kein Inhaltsverzeichnis oder ähnliches.

Zitat von anonymer-bugreport im Beitrag #11
Ich würde euch dringend raten, die Dateien im Varnish Cache durch Authentifizierung zu schützen

Das dachten wir uns vor ca. 10 Jahren auch. Nichts anderes ist es, was wir mit der hier benannten Option anbieten:
Zitat von anonymer-bugreport im Beitrag #11
Dauerhaft gültige Links für Dateianhänge - weniger Sicherheit


Das nun bereits seit über 9 Jahren.

Warum ist es kein Standard sondern eine Option? Viele Foren nutzen die Dateianhänge, Bilder auch um Dateien in weiteren Einträgen, Signaturen "wild" einzubinden. Als Standard Option würden diese wild eingebundenen Dateien/Grafiken zu Fehlern führen und dementsprechend die Nutzererfahrung schmälern. Viele wüssten nicht wieso die Grafik auf einmal wenige Minuten nach Einbindung in einen anderen Beitrag, Signatur, Kommentar o.ä. nicht mehr funktioniert und würden dies als Fehler ansehen.

Mit freundlichen Grüßen,
Joh. Voß
xobor.de · Miranus GmbH · Wir helfen gerne - Unterstützen Sie Xobor durch die Buchung eines Premium Tarifs.

 Antworten

 Beitrag melden
Antworten
Bereits Mitglied?
Jetzt anmelden!
Mitglied werden?
Jetzt registrieren!