Netzkultur / Netzpolitik

669 readers

19 users here now

Alles rund um das Internet. Gerne auch die politische Seite zum Thema

Als Nachfolger für [email protected]

Wir sehen uns als einen selbstbestimmten Raum, außerhalb der Kontrolle kommerzieller Tech-Unternehmen.

Netiquette wird vorausgesetzt. Gepflegt wird ein respektvoller Umgang - ohne Hass, Hetze, Diskriminierung.

Die Regeln von feddit.org gelten.

Das Bild im Banner und Icon: Public Domain generated with Midjourney gefunden auf netzpolitik.org

founded 8 months ago

MODERATORS

[email protected]

BSI-Analyse zeigt: Nextcloud Server speicherte Passwörter im Klartext (www.heise.de)

submitted 3 weeks ago by [email protected] to c/[email protected]

6 comments fedilink hide all child comments

Archiv

you are viewing a single comment's thread
view the rest of the comments

[–] [email protected] 8 points 3 weeks ago* (last edited 3 weeks ago) (1 children)

Der 2FA Bug ist böse - kein Tokenabfrage, wenn die Sitzung ausgelaufen ist. Nur kann man sich halt zum Login mit einer nicht existierenden Phantasie-SessionID begeben und Nextcloud glaubt, dass kein 2FA nötig sei.

Die Passwörter beziehen sich zum Glück eher auf Spezialfälle, wenn User externen Speicher einrichten. IIRC muss ein Admin es auch überhaupt erst erlauben, dass User externe Speicher anbinden dürfen? So wie ich es verstehe, muss dazu ein Angreifer Zugriff auf meine aktive Session haben und dann einen Speicher auf seinem Server mit meiner Usersession einbinden. Also entweder XSS, CSRF oder ich hab vergessen mich auszuloggen oder physischer Zugriff auf mein Gerät. Die ersteren beiden benötigen weitere Lücken, mit physischem Zugriff auf mein Gerät kann er noch mehr anstellen.

[–] [email protected] 4 points 3 weeks ago

Externen Speicher hab ich halt auch eingebunden lol