[o1] Lojal7 am 22.11. 08:48
+1
-
Das klingt ganz schön gruselig, wenn ich daran denke, dass meine privaten Fotos in einer fremden Fotomediathek landen. Vielleicht sollte ich mal überlegen, einen eigenen Server für Fotos einzurichten.
Die Anzeige der fremden Fotos mag zwar *oberflächlich* auf einen Bug in der Fotos-App von Windows zurückgehen, die Hauptschuld dafür trägt diese jedoch keineswegs, wenn es sich tatsächlich so verhält wie gemutmaßt.
Das extrem viel größere Problem liegt dann nämlich auf Seiten Apples bzw. deren Server, wenn es technisch überhaupt möglich ist, dass per App die Fotos fremder Leute abgerufen werden können. Da scheint ja dann keine wirksame Authentifizierung implementiert zu sein. Kann man der Windows-App dann ja fast dankbar sein, diese Lücke aufgedeckt zu haben (wenn auch aus Versehen). Apple sollte Microsoft einen Bonus auszahlen fürs Bug Bounty Programm ;)
Denn " dass die Windows-Software für die iCloud-Dienste auch die Trennung von Nutzerkonten auf den Storage-Systemen in der Cloud nicht richtig hinbekommt" sehe ich eindeutig in der Verantwortung des Servers, nicht in der Client-App.
Eine primitivstmögliche Sync-Software fragt den Server nach allen Dateien, die es mit User XY syncen darf, und der Server liefert ne Liste, und dann wird alles übertragen. Wenn ich bei nem Storage-System dann das Home-Verzeichnis eines fremden Users anfrage, kommt ein Error zurück, dass ich dafür keine Rechte habe. Wenn die Daten daraus dann doch geliefert werden, war das mitnichten mein Fehler, dass ich den falschen User-Ordner angefragt habe, sondern der Fehler des Servers, dass der mir die mit falschen Credentials liefert.
Das extrem viel größere Problem liegt dann nämlich auf Seiten Apples bzw. deren Server, wenn es technisch überhaupt möglich ist, dass per App die Fotos fremder Leute abgerufen werden können. Da scheint ja dann keine wirksame Authentifizierung implementiert zu sein. Kann man der Windows-App dann ja fast dankbar sein, diese Lücke aufgedeckt zu haben (wenn auch aus Versehen). Apple sollte Microsoft einen Bonus auszahlen fürs Bug Bounty Programm ;)
Denn " dass die Windows-Software für die iCloud-Dienste auch die Trennung von Nutzerkonten auf den Storage-Systemen in der Cloud nicht richtig hinbekommt" sehe ich eindeutig in der Verantwortung des Servers, nicht in der Client-App.
Eine primitivstmögliche Sync-Software fragt den Server nach allen Dateien, die es mit User XY syncen darf, und der Server liefert ne Liste, und dann wird alles übertragen. Wenn ich bei nem Storage-System dann das Home-Verzeichnis eines fremden Users anfrage, kommt ein Error zurück, dass ich dafür keine Rechte habe. Wenn die Daten daraus dann doch geliefert werden, war das mitnichten mein Fehler, dass ich den falschen User-Ordner angefragt habe, sondern der Fehler des Servers, dass der mir die mit falschen Credentials liefert.