Jack the Grabber

Hallo zusammen,

wenn man den JtG Webserver (übrigens schöne Oberfläche jetzt!) startet, dann scheint die Eingabe des richtigen Passworts den Zugang zu den JtG Daten nicht sessionbezogen, sondern eine bestimmte Zeit lang freizuschalten.

Beispiel:

- Browser starten, URL eingeben: http://{DEINE_IP}:{PORT}/?SHOW_LOG=1
- Abfrage kommt -> alles ok!
- richtiges Passwort eintragen und bestätigen
- Browser schliessen
- Browser starten mit gleicher URL wie eben *)
- JtG LOG wird angezeigt !!! (das darf nicht sein!)

*) Hier kann man es auch von einem anderen Rechner im Internet probieren!

Es scheint also so zu sein, dass die Eingabe des richtigen Passworts die JtG Daten für eine bestimmte Zeit (welche?) freischaltet. Die Doku schweigt sich hier leider aus.

Ist das so gewollt oder kann das nicht geändert werden? Ist IMHO eine Sicherheitslücke, auch wenn es nicht so super sicherheitsrelevante Daten sind...

Gruß,
Thomas

hi

hatte das Thema schonmal angesprochen - levi meinte das der Server nach login für ALLE (habs gerade getestet - neue IP; show_log funzt ohne Pass) direkten zugriffe ne gewisse Zeit offen ist ...

Sicherheitsrelavant nicht - aber jemand der böses will, kann dir so deine HD voll hauen Einfach 24-48-96h ARD streamen - oder deine Lieblingsserie aus dem Timer killen - also alles sachen über die man sich garantiert ärgert.

Es gibt genug Kiddies in IRC-Chats die einen mit Portscans überhäufen und wennse was gefunden haben, dieses auch versuchen zu connecten - brauch nur einer bei sein der JtG kennt ... der ist dann drin ... (wenn sich der Besitzer vorher eingeloggt hatte)

Die Security könnte man ein WENIG steigern, indem man dem Webserver sagt: halt die Session für IP x.y.z.a für 5min auf - alle anderen IPs brauchen zwingend nen Passwort ... bisher ja für ALLE IPs offen - für x Minuten. - Ein Scriptkiddie muß hier erstmal deine IP bekommen (wenn man über nen Proxy geht zwar auch net das problem - aber die Kombination grenzt schon an 4-5 Richtige im Lotto)

Bis denne
Wulfman

Hallo

man könnte doch die sache einfach mit einem SessionCookie lösen.
D.h. sobald sich der user erfolgreich eingeloggt hat wird ein cookie auf der platte erstellt. nur wenn das cookie auf der platte ist, kann man Änderung vornehmen. nachdem der browser geschlossen wird oder man sich ausloggt, wird dass cookie einfach automatisch gelöscht.

Viele Grüße
Lukas

Hallo,

wie wird der cookie gelöscht? Der Server bekommt leider nicht mitgeteilt, daß der Browser beendet wurde.

wie wird der cookie gelöscht?

Gibt keine Cookies. Wenn eine Minute nix passiert, läuft das Password aus.
Die Idee mit der IP ist aber umsetzbar, alles andere nicht, da JtG ein Streamingtool ist und keine Webserver Applikation werden soll

@Kaligula

wie wird der cookie gelöscht? Der Server bekommt leider nicht mitgeteilt, daß der Browser beendet wurde.

Cookies werden lokal gespeichert, d.h. wenn sich der browser schließt wird auch das cookie gelöscht

@Levi

alles andere nicht, da JtG ein Streamingtool ist und keine Webserver Applikation werden soll

hast recht

Levithan hat geschrieben: Die Idee mit der IP ist aber umsetzbar, alles andere nicht, da JtG ein Streamingtool ist und keine Webserver Applikation werden soll

Schon klar, das mit der IP wäre ja auch ausreichend.

Ich werde mich nochmal an meinen lokalen Apache machen. Da wird sich ja noch was in Punkto Authentifizierung für den JtG Bereich machen lassen. In einem VirtualServer habe ich nämlich das Root-Verzeichnis JtG mit dem lokalen JtG-Server gemapt. Das war notwendig, da Apache bei mir schon auf Port 80 läuft und auch nur dieser Port für HTTP Verbindungen in Frage kommt. Deshalb läuft JtG jetzt auf einem anderen, kann bei mir aber z.B. über http://127.0.0.1/JtG/ erreicht werden. Aber egal...

Gruß,
Thomas