Serwery BOINC

Ostatnie artykuły
FreeHAL@Home + secur...
Albert Einstein
BOINC Manager - wido...
Jak uruchomić BOINC...
Netykieta

Sponsorzy:

Sklep z grami, gry rpg, karcianki, gry planszowe, bitewne i figurkowe

Chomik FatumTech

Trójca RPG

OpenOffice

Firefox
boinc.freehal.org - luka w zabezpieczeniach
Parę dni temu, dzięki zmęczeniu, późnej porze i przypadkowi, znalazłem dziurę w zabezpieczeniach na stronie FreeHAL'a. Pozwalała ona na swobodny dostęp do bazy danych SQL z której korzysta w.w. projekt. Administrator projektu został poinformowany o znalezionej luce i zdążył już jej zaradzić, jest jednak małe ale...

W sumie to "była dziura, nie ma dziury". Martwi mnie jednak coś innego... Choć w BOINC "bawię się" już jakiś czas to nie spotkałem się jeszcze z tak poważną dziurą w żadnym z projektów. Większość związana była ze sprawami, które nie dotyczyły bezpośrednio użytkowników (choć przyznam, że brak WU może być czasem bolesny ;)) - tym razem baza email'i dostępna była dla każdego, kto trafił na plik, którego nie powinno być [lub nie powinien być dostępny dla każdego] i posiadał bardzo podstawową wiedzę na temat łączenia się z bazą SQL. Wystarczyłaby osoba, która postawiła ze trzy CMSy...

Nieważne że to tylko kilka tys. adresów a nie milion czy dwa. Coraz poważniej zastanawiam się nad opuszczeniem projektu; jeszcze nie opadł kurz po niedawnej sprzeczce pomiędzy BOINC@Poland a twórcą projektu, a tu wyskakuje kolejna "niespodzianka"... co dalej?


EDIT (2009.04.17):

Temat poruszyliśmy też w działach: Artykuły i Forum

Komunikat opublikowaliśmy też na: BOINCstats Forum i BOINC@Poland Forum.
SereK dnia 12.04.2009 10:21:38 · 4 komentarzy · 599 czytań · Drukuj

Komentarze
#1 | Graf Zero dnia 12.04.2009 23:08:09
Mnie również to niepokoi. FreeHAL jest atrakcyjny ze względu na specyfikę pakietów, lecz regularnie pojawiają się z nim poważne problemy. Wygląda na to, że komuś z tego projektu brakuje kompetencji albo czasu na dopracowanie go (nie kieruję tego zarzutu do nikogo konkretnie). Okres "wieku dziecięcego" dla FreeHAL@home już się skończył a błędy w zabezpieczeniach nie mogą być tolerowane. Jako drużyna musimy na spokojnie przeanalizować fakty i podjąć jakąś decyzję... w teamowym zaciszu.

PS: Gratulacje dla Serka - znalazłeś naprawdę poważną dziurę Smile
#2 | SereK dnia 14.04.2009 11:08:24
Ja bym się tak nie cieszył z odkrycia tej dziury... choć na pierwszy rzut oka wszystko jest już cacy, nie radzę przyglądać się bliżej... Dziura nadal z radością wita wszystkich, którzy wiedzą czego szukać - wystarczy tylko wykorzystać inną domenę (podawaną przy błędzie 404) i już mamy mnóstwo znajomych, którym można powysyłać maile na święta.
Administratorowi gratulujemy zabezpieczeń i polecamy dokumentację Apache'a...
#3 | Graf Zero dnia 14.04.2009 11:14:27
Taaa... już wspomniałem o tym na naszym forum: o właśnie tutaj. Wszystkich zainteresowanych przebiegiem dyskusji na BOINC@Poland zapraszam tutaj. Aż mi przechodzi radość z faktu, że to "nasz człowiek" znalazł dziurę, gdy pomyślę o ryzyku spamu i przejęcia haseł (albo i całych drużyn).
#4 | SereK dnia 16.04.2009 23:44:03
Powyższa informacja (plus uaktualnienie) została opublikowana na forum BoincStats [link]

Dodaj komentarz
Zaloguj się, aby móc dodać komentarz.

Logowanie
Nazwa użytkownika

Hasło



Nie możesz się zalogować?
Poproś o nowe hasło

Shoutbox
Musisz zalogować się, aby móc dodać wiadomość.

Graf Zero
06.03.2010 18:58
Bardzo się cieszę, że się podoba. Pamiętam regularne spory o wygląd i kolorystykę strony (każdy ma inny gust), więc to miło, że udało mi się trafić. Smile

Barciur
22.02.2010 21:01
fajna skorka, ciemny styl, cos innego niz standardowe brzydkie niebieskie boinc Wink

Mikon
22.02.2010 19:26
Podoba mi się nowy wygląd strony. Zaletą na pewno jest to, że przy jej przeglądaniu monitor nie świeci mi nadmiernie w oczy.

Graf Zero
17.01.2010 02:22
Od dzisiaj nowy wygląd strony. Co sądzicie?

Barciur
15.08.2009 23:48
Imperium Barciura ogłasza iż rozpoczyna misję dziejową - zdobycie pierwszego miejsca w FT Boinc Team i utrzymanie się tam. Imperialne Siły Barciura będą walczyć do ostatniego tchu!

Graf Zero
15.07.2009 00:29
Zapraszam na forum.

Uri
06.06.2009 07:05
I continue to participate in FreeHAL only and crunching all CPU-intensive projects for the my main team, now the help is necessary to them.

Graf Zero
05.06.2009 10:28
Uri - don't stop! Smile

Barciur
01.06.2009 19:46
Tymczasowa Komisja Ocalenia Narodowego ruszyła.

Uri
01.06.2009 17:00
I temporarily stop to participate, all have a good chance to overtake me Smile Good luck!


Copyright © 2008 - 2010 FatumTech Network Organization

Powered by PHP-Fusion copyright © 2002 - 2010 by Nick Jones.
Released as free software without warranties under GNU Affero GPL v3. Theme by : bylmz | Converted to v7 by WhoCare
Polecamy : Dobre Gierki | Tnij - skracanie linkow | wyszukiwarki internetowe | Zmiana Czasu
111,327 Unikalnych wizyt