[feat] automatisch ReactID's laten wegfilteren uit berichten - Stoute bugs

zaterdag 20 november 2004 01:21

Acties:

Topicstarter

Naar aanleiding van ReactID misbruik en de gevolgen. Een van de crewleden had per ongeluk zijn ReactID gelekt en enkele gebruikers maakten hier misbruik van.

Het geval wil dat ReactID's nogal gemakkelijk gelekt kunnen worden: als je per ongeluk een ReactID van een XML- of RSS-link meekopieert in een topic gaat dat meestal zonder dat je dat merkt.

Zou er daarom geen mogelijkheid in React ingebouwd kunnen worden dat er automatisch wordt gecontroleerd of er geen ReactID's van de betreffende gebruiker in het bericht te vinden zijn. Meestal hebben gebruikers niet meer dan twee of drie verschillende sessie's openstaan, dus het zal zover ik kan overzien geen wereldschokkende DB-query gaan worden. Desnoods controleer je alleen maar op de huidige, actieve ReactID.

Indien er een ReactID in het bericht te vinden is, kan de gebruiker gewaarschuwd worden of kan hij vervangen worden door iets als '<knip>'.

Nogmaals: misbruik is niet te voorkomen, en dit soort kleine vergissingen ook niet, maar de kans erop moet wel zo klein mogelijk gemaakt worden.

Ik heb gekeken in de history van dit forum en kon geen vergelijkbaar voorstel vinden. Vandaar dit topic.

zaterdag 20 november 2004 01:23

Acties:

m-m

~~hoe wou je dit onderscheiden? Een reactID is een volstrekt willekeurige alfanumerieke string, hoe ga je dit onderscheiden van een normaal woord?~~
Oh zo, je wou van elk woord kijken of het toevallig de reactid van die gebruiker is, lijkt me eigenlijk aardig belastend?

[ Voor 35% gewijzigd door m-m op 20-11-2004 01:24 ]

zaterdag 20 november 2004 01:37

Acties:

elnino

Topicstarter

Dat valt volgens mij nog wel mee. Stel een gebruiker heeft vijf ReactID's. Deze kunnen door middel van een query uit de db gehaald worden. Vervolgens kan er met een simpele zoek- of zoek-en-vervang-functie bepaald worden of er wel of geen ReactID in staat (in PHP bijvoorbeeld str_replace()). Het kost wat extra db-kracht, maar volgens mij niet zoveel meer.

zaterdag 20 november 2004 01:39

Acties:

Verwijderd

Is dit niet een brug te ver? Als een 'normale user' z'n react-id post, is er niets aan het hand. Diegene die er misbruik van maakt, kan temp-banned worden oid.

Modjes etc moeten gewoon hun react-id niet posten..

Je zou eventueel een tussenvorm kunnen maken, en alleen posts van personen met 'bijzondere rechten' filteren op de betreffende react-id's. Is al een stuk minder belastend.

[ Voor 6% gewijzigd door Verwijderd op 20-11-2004 01:39 ]

zaterdag 20 november 2004 01:45

Acties:

elnino

Topicstarter

Desnoods voer je alleen maar een check uit op je huidige, actieve sessie, want die ReactID is toch al beschikbaar voor het script (want die is te vinden in de cookie of in de query string), ik denk dat de meeste ongelukken toch gebeuren met de huidige sessie. Het toepassen van str_replace() is iets wat, in mijn ogen, vergeleken met andere taken, nauwelijks vertragend zal gaan werken.

zaterdag 20 november 2004 06:18

Acties:

Verwijderd

Lijkt mij een stuk simpeler om te checken op de aanwezigheid van [ReactID= gevolgd door een 32 cijferige HEX code] dan een extra load om te checken of het wel om een actieve sessie gaat.

Eventueel kun je het op dezelfde manier toepassen zoals nu de self-quote wordt afgehandeld: de intelligentie/afhandeling aan de gebruiker overlaten (na een informerend schermpje wat er zo gevaarlijk aan die ReactID is).

zaterdag 20 november 2004 10:18

Acties:

crisp

Devver

Pixelated

Er is al aan Parse gevraagd of de ReactID uit de RSS en XML links verwijderd kan worden.
Als hieraan niet voldaan kan worden, of als dat om andere redenen niet wenselijk zou zijn dan zou ik middels de RML inderdaad ook ReactID's kunnen filteren of vervangen door ReactID=xxxxxxxxxx

In het uitzonderlijke geval dat zo'n vervanging niet wenselijk is kan je dan altijd nog de [ norml] tag hanteren

[ Voor 18% gewijzigd door crisp op 20-11-2004 10:31 ]

Intentionally left blank

zaterdag 20 november 2004 10:29

Acties:

Xander

Hmm, dit soort dingen doen je toch weer even nadenken... volgens mij heb ik ook weleens volledige topics gesaved als HTML, daar zit dan kennelijk ook de ReactID bij door die linkjes naar de RSS/XML feed onderin...

Nouja, ben nadien al vast wel een keertje uitgelogd (net nog een keer voor de zekerheid) en heb mijn ReactID gelocked aan mijn IP... maar toch... eventjes iets om bij stil te staan...

PC specs!---Pulse mee voor GoT!
[22:49:37] <@Remy> ik wil een opblaasbare dSLR :+

zaterdag 20 november 2004 10:33

Acties:

crisp

Devver

Pixelated

http://crew.tweakers.net/crisp/newlayout/index.html
staat mijn ReactID in

Gelukkig was dat een sessie op een niet-publieke server

Intentionally left blank

zaterdag 20 november 2004 10:41

Acties:

CrashOne

oOoOoOoOoOoOoOoOoOo

Koppel een reactID gewoon altijd aan een ip, lastig voor mobiele aps, maar een keer extra inloggen is toch niet zo erg?

Huur mij in als freelance SEO consultant!

zaterdag 20 november 2004 10:42

Acties:

Erkens

Fotograaf

CrashOne schreef op zaterdag 20 november 2004 @ 10:41:
Koppel een reactID gewoon altijd aan een ip, lastig voor mobiele aps, maar een keer extra inloggen is toch niet zo erg?

ik vind dat dat setting standaard aan moet, en dat je hem zelf uit moet kunnen zetten, dan weet je zelf dat je daar op moet letten

zaterdag 20 november 2004 12:38

Acties:

Glabbeek

Dat dus.

Erkens schreef op zaterdag 20 november 2004 @ 10:42:
[...]

ik vind dat dat setting standaard aan moet, en dat je hem zelf uit moet kunnen zetten, dan weet je zelf dat je daar op moet letten

Daar ben ik het mee eens. Zeker bij het inlogform bovenaan de topicindex zou het handig zijn als de IP-check aan zou staan, aangezien je daar niet de mogelijkheid hebt hem zelf aan te zetten. Ik gebruik eigenlijk altijd dat form, en kwam er net pas achter dat de IP-check dan niet aan staat.

En zo is het maar net.

zaterdag 20 november 2004 14:16

Acties:

Morax

CrashOne schreef op zaterdag 20 november 2004 @ 10:41:
Koppel een reactID gewoon altijd aan een ip, lastig voor mobiele aps, maar een keer extra inloggen is toch niet zo erg?

Dit is niet alleen irritant voor mobiele aps, maar ook voor mensen waarbij de provider eens per X dagen het IP van hun gebruikers wijzigen (Vooral in België het geval, NL valt dan nog mee).

Ik ben het dan meer eens met bovenstaande oplossing: Standaard vinkje aan zetten, en alleen uitzetten als dat nodig is

What do you mean I have no life? I am a gamer, I got millions!

zaterdag 20 november 2004 14:59

Acties:

Xander

Morax schreef op zaterdag 20 november 2004 @ 14:16:
[...]

Dit is niet alleen irritant voor mobiele aps, maar ook voor mensen waarbij de provider eens per X dagen het IP van hun gebruikers wijzigen (Vooral in België het geval, NL valt dan nog mee).

Het is ook echt rampzalig als je dan eens per X dagen opnieuw je wachtwoord in moet tikken??

Liever dat dan een mogelijk beveiligingsrisico eigenlijk...

PC specs!---Pulse mee voor GoT!
[22:49:37] <@Remy> ik wil een opblaasbare dSLR :+

zaterdag 20 november 2004 15:40

Acties:

Erkens

Fotograaf

XanderH schreef op zaterdag 20 november 2004 @ 14:59:
[...]

Het is ook echt rampzalig als je dan eens per X dagen opnieuw je wachtwoord in moet tikken??

Liever dat dan een mogelijk beveiligingsrisico eigenlijk...

kijk, sommige providers hebben een dynamisch ip adres en bij iedere keer dat je verbinding maakt krijg je een nieuw ip adres. En dus iedere keer moet je je wachtwoord opnieuw invoeren, en ja ook hier zitten beveiligings risico's aanvast, je moet tenslotte iedere keer dat wachtwoord invoeren. De mens blijft altijd de zwakste schakel, maar een beetje gebruiksgemak mag toch wel. Standaard gelocked op IP, en handmatig niet. Heb je direct een iets betere "beveiliging" en iedereen hoeft niet iedere keer opnieuw in te loggen

zaterdag 20 november 2004 16:43

Acties:

Spider.007

* Tetragrammaton

Ik denk dat dit ook te ver gaat. Het is nog steeds mogelijk dat iemand zijn ReactID in een image laat staan ofzo. Of moeten we straks ook gaan filteren op mogelijke IRC channel keys en andere wachtwoorden? Over dat vastzetten op IP; misschien inderdaad standaard aan; maar maak het niet onuitschakelbaar

(/me zit achter groep proxies en heeft bij ieder request een random IP)

---
Prozium - The great nepenthe. Opiate of our masses. Glue of our great society. Salve and salvation, it has delivered us from pathos, from sorrow, the deepest chasms of melancholy and hate

zaterdag 20 november 2004 17:37

Acties:

kamerplant

Enkel standaard de IP lock aan, daarmee ben je een enorm groot deel van het veiligheidsrisico kwijt. Ik heb me altijd al verbaast waarom dit standaard uit stond.

🌞🍃

zaterdag 20 november 2004 20:21

Acties:

We Are Borg

Moderator Wonen & Mobiliteit / General Chat

DataBeest schreef op zaterdag 20 november 2004 @ 17:37:
Enkel standaard de IP lock aan, daarmee ben je een enorm groot deel van het veiligheidsrisico kwijt. Ik heb me altijd al verbaast waarom dit standaard uit stond.

Ik denk dat het nog is overgenomen uit het tijdperk dat een 56K modem nog best gewoon was

zaterdag 20 november 2004 21:48

Acties:

elnino

Topicstarter

Trouwens, een ander vraagje over het ReactID: als ik gebruik maak van een ReactID in een urllink (dus /forum/list_topics/1?reactID=fd34etc), is dan in de userimages niet gemakkelijk de HTTP_REFERER te achterhalen en daarmee ook niet de Reactid? Zelfde geldt voor geplaatste links op een pagina: aan de REFERER is als het goed is te zien welke ReactID een gebruiker heeft.

offtopic:
Even een testlink naar een lokale phpinfo om het uit te testen: [url=http://localhost/phpinfo.php][..][/url]

edit: Dit is dus mogelijk, als jij een pagina opent vanuit een bepaalde pagina met je ReactID in de querystring, wordt deze ID ook als REFERER meegegeven. Dit gebeurt waarschijnlijk dus ook met afbeeldingen. Overigens heb ik na de test mezelf direct uitgelogd, zodat de betreffende ReactID direct is komen te vervallen, mocht er een usericon zijn die toevallig referers logt.

Maar het gebruik van ReactID's heeft dus nogal wat haken en ogen, waar je zeker mee moet oppassen.

[ Voor 33% gewijzigd door elnino op 20-11-2004 21:56 ]

zaterdag 20 november 2004 22:34

Acties:

Xander

elnino schreef op zaterdag 20 november 2004 @ 21:48:
Trouwens, een ander vraagje over het ReactID: als ik gebruik maak van een ReactID in een urllink (dus /forum/list_topics/1?reactID=fd34etc), is dan in de userimages niet gemakkelijk de HTTP_REFERER te achterhalen en daarmee ook niet de Reactid? Zelfde geldt voor geplaatste links op een pagina: aan de REFERER is als het goed is te zien welke ReactID een gebruiker heeft.

offtopic:
Even een testlink naar een lokale phpinfo om het uit te testen: [url=http://localhost/phpinfo.php][..][/url]

edit: Dit is dus mogelijk, als jij een pagina opent vanuit een bepaalde pagina met je ReactID in de querystring, wordt deze ID ook als REFERER meegegeven. Dit gebeurt waarschijnlijk dus ook met afbeeldingen. Overigens heb ik na de test mezelf direct uitgelogd, zodat de betreffende ReactID direct is komen te vervallen, mocht er een usericon zijn die toevallig referers logt.

Maar het gebruik van ReactID's heeft dus nogal wat haken en ogen, waar je zeker mee moet oppassen.

Ik krijg als ik een reactID meegeef die anders niet te zien in dit plaatje...?

Afbeeldingslocatie: http://heynsbergen.xs4all.nl/referer.php

PC specs!---Pulse mee voor GoT!
[22:49:37] <@Remy> ik wil een opblaasbare dSLR :+

zaterdag 20 november 2004 22:36

Acties:

Erkens

Fotograaf

XanderH schreef op zaterdag 20 november 2004 @ 22:34:
[...]

Ik krijg als ik een reactID meegeef die anders niet te zien in dit plaatje...?

[afbeelding]

wel als je je ReactID via de URL meestuurt

zaterdag 20 november 2004 22:37

Acties:

Xander

Erkens schreef op zaterdag 20 november 2004 @ 22:36:
[...]

wel als je je ReactID via de URL meestuurt

Hm, dat deed ik dus, alleen ik was vergeten om even Ctrl-F5 te doen

Anyway, nu met een "Header("Cache-Control: no-cache, must-revalidate"); " erbij zie ik hem idd wel ja..

Denk alleen niet dat deze toepassing irl veel voorkomt? Een ReactID via de URL meesturen als je een topic bekijkt? Bij XML feeds enzo kan ik het me voorstellen, bij normaal GoTten eigenlijk niet

[ Voor 26% gewijzigd door Xander op 20-11-2004 22:38 ]

PC specs!---Pulse mee voor GoT!
[22:49:37] <@Remy> ik wil een opblaasbare dSLR :+

zaterdag 20 november 2004 22:49

Acties:

elnino

Topicstarter

XanderH schreef op zaterdag 20 november 2004 @ 22:37:
Denk alleen niet dat deze toepassing irl veel voorkomt? Een ReactID via de URL meesturen als je een topic bekijkt? Bij XML feeds enzo kan ik het me voorstellen, bij normaal GoTten eigenlijk niet

Dat vraag ik me eerlijk gezegd ook af. Ik kan me voorstellen dat mensen het gebruiken indien ze geen cookies kunnen of willen setten. Alleen de ReactID wordt niet automatisch onthouden, je zult hem er dus telkens achter moeten zetten. Maar ik heb zelf geen zicht in hoeverre dit gebruikt wordt, maar dat het een potentieel veiligheidsrisico met zich meebrengt is evident, lijkt me.