phpBB Italia

Un moderatore globale del mio forum, mi ha segnalato una estensione di Opera chiamata Bugmenot che permetterebbe l'accesso ad un forum phpbb con utente e password fittizia.

Vi allego qui il testo del MOD :

ciao carissimi, vi informo di un problema di vulnerabilità del forum.
un'estensione di opera chiamata bugmenot trova per i vari siti internet che richiedono login un nik e pass fittizi che permettono a chiunque abbia l'estensione installata.
ho verificato che è possibile accedere a questo forum con uno degli utenti fittizi forniti dall'estensione di opera e ho effettuato un login il 18cm. con successo. in realtà ho fatto 2 accessi, uno forse il giorno prima. da quel login l'account non sembra più essere stato usato.
il profilo dell'utente fittizio è
xxxxxxxxxxxxxxxxxxxxxxxxxxxx
la pass Bugmenot
la mail indicata nel profilo utente ha un indirizzo davvero strano
nwcgn7poqikdk70@jetable.org
ovviamente l'utente non ha mai postato messaggi.

attualmente i profili utente, con i dati sensibili, e le aree riservate agli iscritti sono liberamente visibili a chiunque abbia opera e l'estensione installata.
l'estensione mi ha dato altri 3 possibili utenti fittizi, che non ho verificato, ma posso farlo se serve
pincopalla
geo
toro8989

In questo momento sto facendo tutte le verifiche del caso e se necessario bloccherò il forum. Nel frattempo se qualcuno sa qualcosa di questo possibile BUG , è pregato di rispondere, perchè se fosse vero la cosa sarebbe piuttosto preoccupante..

Mic

Esiste anche per Firefox se è per questo

Ma va tutto rapportato all'uso standard per cui è stata concepita.

Il rischio, sarebbe reale, se si potesse accedere con un account di moderazione o di amministrazione. È così? Se sì, la cosa è da approfondire. Se si accede tramite account standard, al massimo, si può fare un po' di spam.

allora in realtà non si tratta di un vero e proprio bug ma di una estensione che permette di utilizzare dei login e password che sono stati precedentemente "condivisi" sul sito di bugmenot.com

In effetti esiste sia per Opera che per FF come esiste anche per FF una estensione chiamata UserAgent che permette di modificare l'UserAgent e (in teoria) l'accesso a forum o siti configurati per l'accesso ai bot.

Nulla di particolarmente pericoloso ma fastidioso sapere che degli utenti del tuo forum condividono le informazioni di accesso.
Ho fatto quindi una pulizia degli utenti che avevano accesso utilizzando l'estensione e nel frattempo ho anche inserito il ban email per diversi siti che offrono email temporanee. L'email temporanea è utilizzata per la registrazione.

Se si tratta di condivisione di nome utente e password, su un qualsiasi sito, è stupido chi condivide nome utente e password in un sito. Se do le mie chiavi di casa al primo che passa, sono io lo stupido: non è la serratura insicura.
Del resto, il phpBB group, invita espressamente a non usare la stessa password in più siti (in troppi siti... ma il senso è in più siti). Questo è vero per siti diversi: a maggior ragione per siti di dubbia sicurezza, di condivisione, ecc.

Se poi intendevi altro, allora mi sfugge il senso.

Ho verificato anch'io dal sito web del servizio. Come già detto, non è sfrutta dei bug, ma permette a chiunque di condividere i propri dati di accesso per un dato sito web.

@milux: Ti ho inviato un MP.

Carlo ha scritto:Ho verificato anch'io dal sito web del servizio. Come già detto, non è sfrutta dei bug, ma permette a chiunque di condividere i propri dati di accesso per un dato sito web.

@milux: Ti ho inviato un MP.

Ti ringrazio del MP. Potrebbe essere interessante segnalare a tutti gli amministratori di forum che facciano una verifica sul sito bugmenot per controllare che non vi siano dei login e password condivisi.