[Allegro] phpac: sicherheitsleck: sensitive ausleihdaten können angezeigt werden

Klaus Lehmann lehmann_klaus at t-online.de
Do Nov 1 11:35:26 CET 2012 

Guten Tag verehrte mitreisende

ich denke, wir haben ein problem im paket "phpac".


das phpac lässt es zu, daß jeder(!) datensatz aufgerufen werden kann:
z.b.: http://tst.allegronet.de/ruck-eza/grec.php?urN=9999
damit rufe ich den datensatz mit der internen datensatznummer 9999 
auf.
ein skript wäre in der lage, alles von z.B. 0 bis 200000 abzugrasen.


ahnt jemand, worauf ich hinaus will?

http://tst.allegronet.de/ruck-eza/grec.php?urN=5555
was ist, wenn der interne datensatz 5555 zufällig ein alf-ausleihsatz 
ist. oder ein ausleihstammsatz mit allen personenangaben?

die d-k.apt lässt diese datensätze zu: mit den zeilen:
ungefähr ab zeile 37 zu finden:
#-@
#01 +e e0      dann nach #-e , d.h. die Nachladeprozedur ueberspringen
#02 +e e0
#03 +e e0
#04 +e e0
#05 +e e0
   Tab-Einstellung: 1500, Schriftgroesse: 22 = 11pt
#t19
        von mir rausgenommen. zeigt sonst benutzerdaten an 2012/10
  #9A +V e0
  #9B +U e0

die gestaltung mit aktivierten zeilen #9A und #9B ist ja legitim, 
wenn man an die ausleihkonten ONLINE ran will.

aber wenn man NICHT will,, daß wer auch immer an alf-datensägte 
rankommt, sollte #9A und #9B deaktivieren.


des weiteren sollte er die alf-typischen datenbanknummern 220 usw 
NICHT mit ins onlineangebot stellen. reicht denn DIESE maßnahme?
NEIN! definitiv NEIN:

seit vielen jahren nehme ich die *_220 und 
einige andere IMMER raus. und trotzdem... und trotzdem kann man 
(besser: man konnte!) an alf-datensätze rankommen. eben mit o.g. trick.

zusätzlich MUSS man alle datensätze über einen filter jagen, der die 
#9A. und #9B. und was auch immer für alf-relevante kategorien 
rausstreicht. warum das? es gibt "allegro-zustände", die speichern 
alf-vorgänge nicht in den dafür vorgesehenen datenbanknummern. (ich 
habe leider genug beipsiele dafür gefunden)

erst DANN ist die datenbank frei von alf-bestandteilen.


tja... aber was ist, wenn wir die alf-funktionen in phpac nutzen 
wollen?
also wenn der interne datensatz mit der nummer 5555 ein alf ist?
http://tst.allegronet.de/ruck-eza/grec.php?urN=5555
dann hindert uns phpac NICHT am zugriff drauf.
....
noch hatte ich diese fall nicht. weil keine ÖB's bei mir hosten.
WB's leihen selten aus ;-)
wer ausleihfunktionen bewusst anbietet, muss sich gedanken machen....


viele grüße
ihr klaus lehmann


ps: betrifft es populo auch? auch acwww?


-- 
Mit freundlichen Grüßen,
Ihr Klaus Lehmann
http://allegronet.de * eMail: allegronet at t-online.de * phone: 03528-452 807(fax 809) * mobil: 0171-953 7843
allegronet.de * Klaus Lehmann * D-01454 Radeberg * Kleinwolmsdorfer Str. 37
zuständiges Finanzamt: FA Hoyerswerda, zuständige Kammer: IHK Dresden
zuständige Aufsichtsbehörde: Gewerbeamt Radeberg, USt-IdNr: DE247550760
* Software für zufriedene Bibliothekare: 1000x bewaehrt und ergiebig
* Bereits 4x allegro-utf8. Buchen Sie die allegro-Roadshow
* Yes we can. Only with allegro. Yes we do. Always with allegro.
* Internetkataloge & WebHosting für Allegro-C & Web 2.0 with VuFind
* 2011: Sponsor der Peter-Sodann-Bibliothek (Staucha)
* 2012: mit allegro-utf8 V3 und allegro-vufind auf der IFLA in Helsinki

Mehr Informationen über die Mailingliste Allegro