Re: [Allegro] phpac: sicherheitsleck: sensitive ausleihdaten können angezeigt werden

Thomas Berger ThB at Gymel.com
Do Nov 1 23:27:23 CET 2012 

Lieber Herr Lehmann,

> wer ausleihfunktionen bewusst anbietet, muss sich gedanken machen....
> 
> 
> viele grüße
> ihr klaus lehmann
> 
> 
> ps: betrifft es populo auch? auch acwww?

sicher. Ich betreue einen Katalog, der mit ORDER und ALFA arbeitet,
da wird die Datenbank vor dem Upload auf den Server um ORDER-
und Benutzerstammsaetze bereinigt und die #91er mit den Verknuepfungen
auf die Ausleiher bzw. evtl. in Klartext eingetragenen Ausleihernamen
wird anonymisiert (die Information "Ausgeliehen" soll im OPAC
angezeigt werden). Es werden sogar die Bearbeiterkennungen von den
#99ern entfernt... D.h. die Bits und Bytes, die auf dem Server
liegen, enthalten definitiv keine personenbezogenen Daten mehr
(und - ORDER - auch keine Betriebsinformation die irgendwer fuer
vertraulich halten koennte) und alle sind auf der sicheren Seite,
selbst wenn jemand einbricht und Maschine ;-) oder Daten klaut.

Allgemein fuehrt kein Weg daran vorbei, dass ueber das Web-Interface
ein Datensatz gezielt angefordert wird, und weil der Index nur
Satznummern enthaelt, muss auch Zugriff ueber Satznummern moeglich
sein, und denen kann man vorab nicht ansehen, welche Sorte Datensatz
dahinter steckt (bzw. ob ueberhaupt einer). Ich sehe da aber nicht
wirklich ein Problem, denn auf welche Weise ein Satz angezeigt wird,
haengt allein an den vorgehaltenen Parameterdateien, ist also
von aussen nicht steuerbar. Wenn also die Parameterdateien dafuer
sorgen, gewisse Datenfelder oder gar komplette Datensaetze nicht
anzuzeigen, kommt man ueber die Web-Anwendung und sogar ueber
direkte Avanti-Aufrufe exploittechnisch nicht weiter.

Bleibt als theoretisches Problem ein Kurzlisteneintrag, der etwas
zeigt, das besser nicht gezeigt werden sollte (und der bei einem
Exploit nicht ueber eine reale Ergebnismenge, sondern eine fingierte
Liste von Satznummern zur Anzeige gebracht wird). Da kann ich nur
fuer Populo sprechen, wo - ausser in ganz alten Anwendungen -
die .STL eigentlich nicht direkt ausgewertet wird, sondern
eine Parameterdatei eine Kurzzeile erzeugt ("Felder" durch
TAB getrennt, damit variable Laenge moeglich ist und nichts
abgeschnitten wird): die gibt naturgemaess nur die Kategorien
aus, die explizit erwaehnt werden.

viele Gruesse
Thomas Berger

Mehr Informationen über die Mailingliste Allegro