Ingen kommentar
MediaCreeper

Information

This article was written on 23 Aug 2012, and is filled under Noterat.

Current post is tagged

, , , , , ,

Hacka andras kommentarsfält via Disqus? [uppdaterat]

Logo for DisqusWebdsignerdepot rapporterar att kommentarssystemet Disqus är riktigt sårbart då de har upptäckt ett sätt att få åtkomst till administration av Disqusfälten på andra siter än de de ska ha tillgång till.

Buggen är lika omfattande som den är enkel att utnyttja: med fm enkla steg du får tillgång till exempelvis CNN eller Harvards kommentarsfält och kan moderera fritt bland kommentarerna.

Innan de la upp infon skickades informationen till Disqus support (dock utan att få svar). Läs mer på Webdesignerdepot.

Ett par kommentarer

Om det stämmer kan detta bli ett dråpslag mot Disqus eftersom det sätter säkerheten ur spel. Illasinnade kan relativt enkelt vinkla kommentarsfältets innehåll på exempelvis SvD.se och användares anseende, med riktigt negativa följder.

Här syns även nackdelen med att förlita sig på ett nätverkat kommentarssystem – om någonting går fel är det helt ur ens händer och man får förlita sig på att systemägarna agerar snabbt. Om de inte reagerar finns baraa alterativen att hoppas att ingen kommer utnyttja säkerhetsluckan, eller att byta kommentarssystem.

Å andra sidan skulle det ju kunna gynna piratmoderering från de som vill att innehållet i kommentarfälten ska följa de regler som finns på sidan.

[uppdatering 22:26]

Disqus har svarat både i Webdesignerdepots kommentarsfält och i sin hjälpsektion:

this is not a vulnerability or a critical issue.

  • All unintentionally displayed comments are publicly accessible on the web. There are no comments visible to people that should not already be visible to people.
  • There is no sensitive information displayed. Email addresses and IP addresses are not accessible by unintended parties.
  • No admin permissions are granted for these comments. While the public comments may be unintentionally displayed, the unintended users will not be able to delete or modify the comments. The interface may appear to allow the action to happen, but the action will not be accepted by the service.

Det var alltså halvfalskt alarm denna gång, men det är ju inte utan att jag blir lite fundersam kring säkerheten ändå.