×
Blue Eagle 5 v1.5.4 has been Released (13 Sep 2020)

The Kunena team has announce the arrival of Kunena template Blue Eagle 5 v1.5.4 which is now available for download. This version addresses most of the issues that were discovered in development.

× Themen, die in diesen Bereich verschoben wurden, gelten allgemein als beendet. Falls es dazu noch zusätzliche Fragen gibt, können diese gestellt werden.
Aber diese alten Themen sollten auf keinen Fall wieder auferstehen, um neue Probleme zu erörtern. Eröffnet dazu bitte ein eigenes neues Thema.

Important Sicherheitsproblem in JomSocial 1.8.8

More
10 years 2 weeks ago - 10 years 2 weeks ago #1 by helmchen
So, da Azrul nicht der gleichen tut und seine zahlenden User nicht informiert, mache ich es hier.
Kunena hat ja auch die Software von Azrul im Einsatz. :whistle:

Ich zitiere aus einem anderen Forum:

Da Azrul wiedermal alles wegschweigen wird, um weiterhin fette Kasse zu machen, poste ich diesen schwerwiegenden Fehler bei den Einstellungen der Privatsphäre auch hier:

Jeder Gast kann in der aktuellsten Version 1.8.8 und wahrscheinlich auch in den älteren Versionen alle Fotos eines Users sehen, auch wenn der User in seinem Profil eingestellt hat, dass nur er selbst seine Fotos sehen darf.

Das ist in meinen Augen eine sehr schwerwiegender Fehler, da es gerade bei großen (geschlossenen) Communitys, den einen oder anderen User kalt erwischen kann, wenn seine privatesten Fotos für jeden Gast sichtbar sind.

Wie es geht? Einfach diesen Teil an die Url der Community anfügen /community/photos/album.html?albumid=62 und mit der albumid ein bisschen spielen.

Auf der Seite zu Jom$ocial gibt es auch ein Demo, wo man das ausführlich üben kann, bis man seinen ärgsten Feind dann richtig in die Pfanne haut.

Ach ja, beim Demo von Jomsocial erscheint bei den URLs von privaten Alben manchmal ein ....community/0-a-guest/photos/.... in der URL, wenn man private Fotos in voller Größe betrachten will. Einfach das /0-a-guest aus der URL löschen und schon geht es in voller Größe mit den höchst privaten Fotos fremder User weiter.

Azrul oder ein Supporter hat sich zu diesem Bug noch nicht geäußert, wie so oft, wenn ein zahlender Betatester, bei Azrul "VIP-Member" genannt, einen so schwerwiegenden Fehler meldet.

Edit:
In der Kunena-Community, die auch auf Jom$ocial setzt, funktioniert es nicht so einfach. Dort wird in der Url zum Foto noch der Username mit UserId eingebaut eingebaut. z.B. so: /community/2989-watomsk/photos/album?albumid=193
Die UserId bekommt man in der Regel, wenn man das Profil des Users anklickt. Ich gucke mal, ob ich dort ein priv. Album finde und ob man dort auch einfach nur die URL "vervollständigen" muss, um in private Alben zu gucken.

www.joomla-downloads.de/forum/joomla-kom...-in-jomsocial-1.8.8/

Ich nenne es Sicherheitsproblem, weil Jom$ocial vorgaukelt, der User könne seine Fotos vor unberechtigten Zugriffen schützen. Dem ist nicht so und ich finde es erstaunlich, dass Azrul nach 3 Tagen seine User noch nicht per Newsletter darauf aufmerksam gemacht hat.
In Ländern wie Deutschland kann ein Seitenadministrator sehr schnell in sehr große Schwierigkeiten kommen. Auch als User einer Community würde ich mir sehr verarscht vorkommen, wenn ich eingestellt habe, dass nur ich meine Fotos sehen darf und sie doch für jeden Gast auf dieser Welt sichtbar sind.
Last edit: 10 years 2 weeks ago by helmchen.

Please Log in or Create an account to join the conversation.

More
10 years 2 weeks ago #2 by rich
Hallo helmchen,
danke, dass du auf das Problem aufmerksam gemacht hast!
Aber es wurde reagiert und es gibt bereits einen Hotfix für JomSocial 1.8.8

Please Log in or Create an account to join the conversation.

More
10 years 1 week ago #3 by helmchen
Ich finde es aber befremdlich, wie lange Azrul braucht, um per Newsletter oder per Update zu reagieren.
Immerhin sind die privatesten Fotos für jeden sichtbar.

Azrul wäre sicher säuerlich, wenn ich seine Fotos, aus seinem privaten Album im Internet verteile, weil sein privates Foto öffentlich für jeden zugänglich ist, obwohl er es anders eingestellt hat.

Was ist mit vorherigen Version? Azrul verliert kein Wort darüber und lässt seine User im schlimmsten Falle "ins offene Messer" rennen.
Azrul verkauft seine Komponente weiterhin mit diesem Bug.:huh:

Please Log in or Create an account to join the conversation.

More
10 years 1 week ago #4 by rich
Ich kann darüber nichts sagen, da ich diese Software nicht benutze.
Aber ich denke, dass es hier nicht das richtige Forum ist, um über Azrul zu diskutieren. Warnungen bei Sicherheitsproblemen sind in Ordnung, aber wir wollen hier nicht Serviceleistungen anderer Projekte beurteilen.

Please Log in or Create an account to join the conversation.

  • Not Allowed: to create new topic.
  • Not Allowed: to reply.
  • Not Allowed: to edit your message.
Time to create page: 0.111 seconds