Bitte geben Sie einen Grund für die Verwarnung an
Der Grund erscheint unter dem Beitrag.Bei einer weiteren Verwarnung wird das Mitglied automatisch gesperrt.
Datei-Uploads sind öffentlich einsehbar und in Suchmaschinen auffindbar
#1 Datei-Uploads sind öffentlich einsehbar und in Suchmaschinen auffindbar
Datei-Uploads sind ungeschützt im Internet einsehbar und auffindbar, zwar nicht auf Google, aber auf anderen Suchmaschinen wie z.B. Ecosia, wenn ich suche nach site:files.homepagemodules.de
Hier kann ich durch viele PDFs durchscrollen aus allen möglichen Foren, völlig unabhängig davon, ob ich Mitglied bin oder nicht.
Wenn ich auf einen Link klicke, kann ich das PDF sogar anschauen.
Ich könnte nach Belieben weitere Stichwörter zur Suche hinzufügen um meine Suche zu verfeinern.
Bitte schließen Sie diese Lücke so schnell wie möglich, ich möchte nicht, wir tauschen sensible Informationen über unser Xobor-Forum aus, die nicht für die Öffentlichkeit bestimmt sind.
#2 RE: Datei-Uploads sind öffentlich einsehbar und in Suchmaschinen auffindbar
Ich sehe, es gab bereits for 11 Jahren einen ähnlichen Thread: "Als Datei angehängte Bilder durch Suchmaschinen auffindbar"
Scheinbar sind besagt Inhalte über Google nicht auffindbar dank Robot-Meta-Tags, über andere Suchmaschinen allerdings schon.
Wobei aber Auffindbarkeit durch Suchmaschinen (Rausfinden des Download-Links) und Lesen der Datei (Öffnen des Download-Links) zwei paar SChuhe sind. Anscheinend war der Varnish Cache unter files.homepagemodules.de schon immer ohne Authentifizierung...
#3 RE: Datei-Uploads sind öffentlich einsehbar und in Suchmaschinen auffindbar
Ich denke nicht, dass das eine Sicherheitslücke ist. Ob Dateianhänge öffentlich sichtbar sind, hängt von den Rechteeinstellungen ab. Wenn Gäste Leserechte haben, dann werden Dateianhänge natürlich angezeigt. Ohne Leserechte gibt es auch keine Dateianhänge und die lassen sich dann auch nicht googeln.
Was du in den Suchmaschinen gefunden hast, waren sicherlich Dateianhänge, die von den jeweiligen Admins entsprechend freigegeben wurden (Rechteeinstellungen!)
#4 RE: Datei-Uploads sind öffentlich einsehbar und in Suchmaschinen auffindbar
Zusätzlich zu den Rechteeinstellungen gibt es die Option "Dauerhaft gültige Links für Dateianhänge".
Ich sehe nur ein Problem, wenn die Dateien früher öffentlich waren, indexiert wurden und die Zugriffsrechte erst später eingeschränkt wurden. Dann könnten die Dateien allerdings auch bereits auf archive.org und anderen Seiten archiviert sein. Also kein Problem, was nur Suchmaschinen betrifft.
#5 RE: Datei-Uploads sind öffentlich einsehbar und in Suchmaschinen auffindbar
Warum so anonym mit einem offensichtlich extra dafür angelegten Account/Nickname ?
Auf eventuelle Sicherheitslücken hinweisen ist lobenswert und okay, aber dann "Visier hoch" !
es grüßt Franz-Jupp
https://www.zur-blende.de/ = Board-Nr, 854674
nutzt Template V3
#6 RE: Datei-Uploads sind öffentlich einsehbar und in Suchmaschinen auffindbar
Zitat von creator im Beitrag #4
Ich sehe nur ein Problem, wenn die Dateien früher öffentlich waren, indexiert wurden und die Zugriffsrechte erst später eingeschränkt wurden.
Dazu zählt offenbar auch, wenn ein Forum gelöscht wurde, bleiben die Dateianhänge erhalten, ohne eine Möglichkeit, diese zu löschen?
#7 RE: Datei-Uploads sind öffentlich einsehbar und in Suchmaschinen auffindbar
Zitat von creator im Beitrag #6Zitat von creator im Beitrag #4
Ich sehe nur ein Problem, wenn die Dateien früher öffentlich waren, indexiert wurden und die Zugriffsrechte erst später eingeschränkt wurden.
Dazu zählt offenbar auch, wenn ein Forum gelöscht wurde, bleiben die Dateianhänge erhalten, ohne eine Möglichkeit, diese zu löschen?
@creator : Auch das sehe ich eigentlich nicht als Problem an. In meinem damaligen Forum war es tatsächlich so, dass Forumsnutzer mein Forum bei archive.org verewigt hatten. Das kam dadurch, dass ich bekannt gegeben hatte, mein Forum schließen zu wollen. Die Mitglieder meines Forums waren sehr traurig darüber und glaubten etwas Gutes zu tun: Sie wollten Teile des Forums erhalten.
Ich war damit überhaupt nicht einverstanden, habe den Nutzern erklärt, dass man Rechteinhaber sein muss, um eine Internetseite bei archive.org einzutragen. Der Rechteinhaber war in diesem Fall ich; per Email habe ich zu archive.org Kontakt aufgenommen und um die Löschung meiner Seite gebeten. Das hat schnell und unkompliziert geklappt.
Fazit: Wenn Internetseiten von Dritten bei archive.org eingetragen werden, ist das eine Rechteverletzung und man kann solche Inhalte entfernen lassen. Das ist keine Sicherheitslücke oder irgendwas. Wenn Nutzer dort ungefragt Inhalte speichern, kann man dagegen vorgehen.
#8 RE: Datei-Uploads sind öffentlich einsehbar und in Suchmaschinen auffindbar
Von gespeicherten Kopien im Cache der Suchmaschinen oder auf archive.org war nie die Rede, natürlich lässt sich das nicht verhindern. Aber auf archive.org kann ja nur landen, was davor schon öffentlich einsehbar war. Unser Forum ist aber generell nur für eingeloggte Benutzer sichtbar, es gibt keine Gast-Zugänge. Also sollten auch generell alle Inhalte inkl. Datei-Anhängen generell nur für eingeloggte Benutzer sichtbar sein, und nicht durch "Erraten" der URL (unter Zuhilfenahme einer Suchmaschine). Unabhängig davon, wem beim Upload der Datei Leserechte zugewiesen werden. Security by Obscurity war noch nie ein guter Ratgeber. Verlangt der Varnish Cache unter files.homepagemodules.de generell keine Authentifizierung oder falls doch, wovon hängt das ab?
#9 RE: Datei-Uploads sind öffentlich einsehbar und in Suchmaschinen auffindbar
Sie finden die passende Option unter Admin - Forum - Einstellungen:
Zitat
[x] Dauerhaft gültige Links für Dateianhänge
weniger Sicherheit, schnellere Ladezeiten
Wenn sie die Option abwählen, werden die Dateianhänge nur beim Seitenauffuf des Forums angezeigt. Von externen Quellen verlieren die Dateien nach wenigen Minuten ihre Gültigkeit, sind nicht mehr abrufbar.
Joh. Voß
xobor.de · Miranus GmbH · Wir helfen gerne - Unterstützen Sie Xobor durch die Buchung eines Premium Tarifs.
#10 RE: Datei-Uploads sind öffentlich einsehbar und in Suchmaschinen auffindbar
Zitat von anonymer-bugreport im Beitrag #8
Unser Forum ist aber generell nur für eingeloggte Benutzer sichtbar, es gibt keine Gast-Zugänge.
Wenn das Forum noch nie öffentlich einsehbar war, wie hat Ecosia/Bing dann die Links der Dateianhänge mitbekommen? Die URLs der Dateianhänge sind relativ lang, also sollten sie nicht per Zufall erraten werden können.
Wie schon geschrieben, selbst wenn ihr jetzt die Option "Dauerhaft gültige Links für Dateianhänge" aktiviert, sind die alten Dateien weiterhin über die Suchmaschine aufrufbar. Nur neue Links verlieren ihre Gültigkeit.
#11 RE: Datei-Uploads sind öffentlich einsehbar und in Suchmaschinen auffindbar
Danke für die Antworten. Woher die Suchmaschinen die Links haben, habe ich mich auch gefragt, d.h. es muss ja irgendeine Art Index-Seite geben im Forum oder im Varnish, wo alle Dateianhänge aufgelistet werden inkl. Link.
Aber selbst mit der Option "Dauerhaft gültige Links für Dateianhänge - weniger Sicherheit" sollten die Dateianhänge ja nicht komplett öffentlich sein, oder zumindest davor gewarnt werden, indem die Option umbenannt wird zu "Öffentliche Links für Dateianhänge - keine Sicherheit".
Ich würde euch dringend raten, die Dateien im Varnish Cache durch Authentifizierung zu schützen, sollte nicht weltbewegend sein, es gibt genug Mods dafür: https:// varnish-cache.org/vmods/
Gerade in den heutigen Zeiten, wo Security im Internet immer mehr in den Fokus kommt, sind solche Lücken eigentlich ein No-Go für eine seriöse Platform.
#12 RE: Datei-Uploads sind öffentlich einsehbar und in Suchmaschinen auffindbar
Die Suchmaschinen haben die Links von öffentlich einsehbaren Beiträgen, Themen, Bildergalerien etc.. Es gibt von unserer Seite aus kein Inhaltsverzeichnis oder ähnliches.
Zitat von anonymer-bugreport im Beitrag #11
Ich würde euch dringend raten, die Dateien im Varnish Cache durch Authentifizierung zu schützen
Das dachten wir uns vor ca. 10 Jahren auch. Nichts anderes ist es, was wir mit der hier benannten Option anbieten:
Zitat von anonymer-bugreport im Beitrag #11
Dauerhaft gültige Links für Dateianhänge - weniger Sicherheit
Das nun bereits seit über 9 Jahren.
Warum ist es kein Standard sondern eine Option? Viele Foren nutzen die Dateianhänge, Bilder auch um Dateien in weiteren Einträgen, Signaturen "wild" einzubinden. Als Standard Option würden diese wild eingebundenen Dateien/Grafiken zu Fehlern führen und dementsprechend die Nutzererfahrung schmälern. Viele wüssten nicht wieso die Grafik auf einmal wenige Minuten nach Einbindung in einen anderen Beitrag, Signatur, Kommentar o.ä. nicht mehr funktioniert und würden dies als Fehler ansehen.
Joh. Voß
xobor.de · Miranus GmbH · Wir helfen gerne - Unterstützen Sie Xobor durch die Buchung eines Premium Tarifs.
- Informationen
- Aktuelle News
- Forum Tutorials - Tipps und Anleitungen
- SEO / Werbung fürs Forum
- Verwaltung
- Extras
- Design
- Plugin(system)
- Eure Fragen zu Tutorials
- Forum Support
- Fragen und Antworten
- Pluginsystem
- Plugins
- Templates & Sprachen
- Bugreport
- Verbesserungsvorschläge
- Sponsoren gesucht
- Das neue Xobor Business-Template
- News und Updates
- Bugreport
- Allgemeines Feedback
- Verbesserungsvorschläge
- Sonstiges
- Kaffeeklatsch
- Lob & Kritik
- Verbesserungsvorschläge
- Allgemeine Fragen
- Fehlermeldungen
- Verbesserungsvorschläge Responsive Design
- Bugreport Responsive Design
- Archiv - Alter Betatest
- Responsive Design - Verbesserungsvorschläge
- Responsive Design - Bugreport
- Fragen zum neuen Template
- Neue Administration Beta Test
- Bugreport Neue Administration
- Allgemeines Fragen & Feedback
- Verbesserungsvorschläge zur neuen Administration
- Shoutbox
Ähnliche Themen
Thema | Antworten | Aufrufe | Letzte Aktivität | |||
---|---|---|---|---|---|---|
Fehler beim Datei UploadFehler beim Datei Upload |
2
Sami
16.10.2021 |
435 |
|
|||
Update: Bessere Datei-UploadsUpdate: Bessere Datei-Uploads |
1
Guki
18.12.2020 |
2737 |
|
|||
Neuen Beitrag schreiben - Datei uploadNeuen Beitrag schreiben - Datei upload |
2
Ingmar
14.08.2019 |
582 |
|
|||
Als Datei angehängte Bilder durch Suchmaschinen auffindbar?Als Datei angehängte Bilder durch Suchmaschinen auffindbar? |
12
Ingmar
15.08.2012 |
1105 |
|
|||
Fehler GAIA Template - "Neuen Beitrag schreiben - Datei Upload"Fehler GAIA Template - "Neuen Beitrag schreiben - Datei Upload" |
9
mihca02
22.10.2010 |
917 |
|
|||
Datei upload funktioniert nicht mehr Datei upload funktioniert nicht mehr |
5
koenig[wolf]
29.10.2009 |
562 |
|
|||
Dateien UploadenDateien Uploaden
erstellt von:
Septhy
(
Gast
)
04.02.2008 14:20
|
4
Fabian
04.02.2008 |
588 |
|
Jetzt anmelden!
Jetzt registrieren!
© 2017 Xobor | Forum-Software