Uffffff
this post was submitted on 06 Feb 2025
20 points (100.0% liked)
Netzkultur / Netzpolitik
663 readers
7 users here now
Alles rund um das Internet. Gerne auch die politische Seite zum Thema
Als Nachfolger für [email protected]
Wir sehen uns als einen selbstbestimmten Raum, außerhalb der Kontrolle kommerzieller Tech-Unternehmen.
Netiquette wird vorausgesetzt. Gepflegt wird ein respektvoller Umgang - ohne Hass, Hetze, Diskriminierung.
Die Regeln von feddit.org gelten.
Das Bild im Banner und Icon: Public Domain generated with Midjourney gefunden auf netzpolitik.org
founded 8 months ago
MODERATORS
Der 2FA Bug ist böse - kein Tokenabfrage, wenn die Sitzung ausgelaufen ist. Nur kann man sich halt zum Login mit einer nicht existierenden Phantasie-SessionID begeben und Nextcloud glaubt, dass kein 2FA nötig sei.
Die Passwörter beziehen sich zum Glück eher auf Spezialfälle, wenn User externen Speicher einrichten. IIRC muss ein Admin es auch überhaupt erst erlauben, dass User externe Speicher anbinden dürfen? So wie ich es verstehe, muss dazu ein Angreifer Zugriff auf meine aktive Session haben und dann einen Speicher auf seinem Server mit meiner Usersession einbinden. Also entweder XSS, CSRF oder ich hab vergessen mich auszuloggen oder physischer Zugriff auf mein Gerät. Die ersteren beiden benötigen weitere Lücken, mit physischem Zugriff auf mein Gerät kann er noch mehr anstellen.
Externen Speicher hab ich halt auch eingebunden lol
Klingt so, als würde das Konzept Open Source funktionieren.
Klingt so, als hätte jemand verstanden, wie Open Source funktioniert.
WIE KANN SOWAS NOCH SEIN. also ich hab noch nicht viel entwickelt, aber wenn ich doch grade was mit Passwörtern baue, achtet man doch drauf, dass die nicht im Klartext abgespeichert werden! Das verstehe ich irgendwie wirklich nicht...