boinc.freehal.org - luka w zabezpieczeniach
Dodane przez SereK dnia 12.04.2009 10:21:38
Parę dni temu, dzięki zmęczeniu, późnej porze i przypadkowi, znalazłem dziurę w zabezpieczeniach na stronie FreeHAL'a. Pozwalała ona na swobodny dostęp do bazy danych SQL z której korzysta w.w. projekt. Administrator projektu został poinformowany o znalezionej luce i zdążył już jej zaradzić, jest jednak małe ale...
Treść rozszerzona
Parę dni temu, dzięki zmęczeniu, późnej porze i przypadkowi, znalazłem dziurę w zabezpieczeniach na stronie FreeHAL'a. Pozwalała ona na swobodny dostęp do bazy danych SQL z której korzysta w.w. projekt. Administrator projektu został poinformowany o znalezionej luce i zdążył już jej zaradzić, jest jednak małe ale...
W sumie to "była dziura, nie ma dziury". Martwi mnie jednak coś innego... Choć w BOINC "bawię się" już jakiś czas to nie spotkałem się jeszcze z tak poważną dziurą w żadnym z projektów. Większość związana była ze sprawami, które nie dotyczyły bezpośrednio użytkowników (choć przyznam, że brak WU może być czasem bolesny ;)) - tym razem baza email'i dostępna była dla każdego, kto trafił na plik, którego nie powinno być [lub nie powinien być dostępny dla każdego] i posiadał bardzo podstawową wiedzę na temat łączenia się z bazą SQL. Wystarczyłaby osoba, która postawiła ze trzy CMSy...
Nieważne że to tylko kilka tys. adresów a nie milion czy dwa. Coraz poważniej zastanawiam się nad opuszczeniem projektu; jeszcze nie opadł kurz po niedawnej sprzeczce pomiędzy BOINC@Poland a twórcą projektu, a tu wyskakuje kolejna "niespodzianka"... co dalej?
EDIT (2009.04.17):
Temat poruszyliśmy też w działach: Artykuły i Forum
Komunikat opublikowaliśmy też na: BOINCstats Forum i BOINC@Poland Forum.