Kirjoittaja Aihe: Yksityisviestien tietoturva  (Luettu 3819 kertaa)

0 jäsentä ja 1 Vieras katselee tätä aihetta.

Poissa Mädi

  • Hullu mykologi
  • Viestejä: 1 271
    • Profiili
Yksityisviestien tietoturva
« : Heinäkuu 21, 2010, 17:23 »
Huomio!

Useiden käyttäjien käytössä oleva toiminto, joka lähettää ilmoituksen uusista yksityisviesteistä sähköpostiin välittää postilaatikkoon mukanaan myös saapuneen yksityisviestin kokonaisuudessaan tekstinä. Tämä ei ole vakavimman luokan tietoturvaongelma, mutta kannattaa silti noudattaa varovaisuutta yksityisviestien suhteen varsinkin niitä lähetettäessä, kunnes vika on poistettu.

Ongelman syitä on kartoitettu ja se korjataan mahdollisimman pian.

Pitäisi olla korjattu, lähetän testiviestin Matyakselle.
« Viimeksi muokattu: Heinäkuu 22, 2010, 19:01 kirjoittanut Matyas Maa »
I haven't failed. I've just found 10,000 ways that won't work. ~ Thomas Edison

Poissa Matias

  • Viestejä: 1 287
    • Profiili
Vs: Yksityisviestien tietoturva
« Vastaus #1 : Heinäkuu 21, 2010, 17:35 »
Pitäisi olla korjattu, lähetän testiviestin Matyakselle.

Ei onnistunut, näkyy edelleen. Mistä yritit muokata?

Poissa Matias

  • Viestejä: 1 287
    • Profiili
Vs: Yksityisviestien tietoturva
« Vastaus #2 : Heinäkuu 21, 2010, 18:23 »
Pitäisi olla korjattu, lähetän testiviestin Matyakselle.

Nyt ei tosiaan toimi yksityisviestilaatikko ollenkaan. Voisitko palauttaa tekemäsi muutokset?

Poissa Mädi

  • Hullu mykologi
  • Viestejä: 1 271
    • Profiili
Vs: Yksityisviestien tietoturva
« Vastaus #3 : Heinäkuu 21, 2010, 19:40 »
Palautettu. Se oli ainoastaan ruksi kohdassa "Älä salli tekstiä muistutusviesteissä".
I haven't failed. I've just found 10,000 ways that won't work. ~ Thomas Edison

Poissa Matias

  • Viestejä: 1 287
    • Profiili
Vs: Yksityisviestien tietoturva
« Vastaus #4 : Heinäkuu 21, 2010, 20:03 »
Palautettu. Se oli ainoastaan ruksi kohdassa "Älä salli tekstiä muistutusviesteissä".

Vika ei korjautunut, joten se on jossakin muualla. Se liittyy kielitiedostoon, jota erittäin kevyesti muokkaamalla yritin korjata tässä ketjussa mainittua tietoturva-aukkoa. Outoa tässä on se, että yksityisviestit toimivat vielä silloin, kun viimeksi päivitin tuon kielitiedoston.

Tutkin asiaa tälläkin hetkellä.

Poissa Matias

  • Viestejä: 1 287
    • Profiili
Vs: Yksityisviestien tietoturva
« Vastaus #5 : Heinäkuu 21, 2010, 20:11 »
Outoa tässä on se, että yksityisviestit toimivat vielä silloin, kun viimeksi päivitin tuon kielitiedoston.

Tämän lisäksi myös se, ettei kielitiedoston vaihtaminen alkuperäiseenkään auttanut...

Poissa Matias

  • Viestejä: 1 287
    • Profiili
Vs: Yksityisviestien tietoturva
« Vastaus #6 : Heinäkuu 21, 2010, 23:04 »
Jahas, nytpähän toimii! Tekikö joku asialle jotakin? Kiinnostaisi tietää, mistä tuossa oikein oli kyse.

Poissa Mik.is

  • Viestejä: 1 039
    • Profiili
Vs: Yksityisviestien tietoturva
« Vastaus #7 : Heinäkuu 21, 2010, 23:18 »
Pikaviestiboksista:

Lainaus
Mädi [21/07 20:41]:   Toimiikos nyt yv:t ihmisillä?
Tattiritari [21/07 20:41]:   toimii

Mädi [21/07 20:48]:   Nyt pistän kyl koneen kiinni vaikka kuinka kivaa onkin chädätä. Huomiseen.

Pitäiskö erottaa tästä viestiketjusta tää yv-viestitysongelmia sisältävä keskustelu omaksi aiheekseen? Vai poistaa kokonaan, nyt kun ongelma on saatu ratkaistua?

Poissa Matias

  • Viestejä: 1 287
    • Profiili
Vs: Yksityisviestien tietoturva
« Vastaus #8 : Heinäkuu 22, 2010, 19:15 »
Ylläolevat viestit tuotiin täältä toimiston puolelle.

Aikaisemmin yksityisviestistä ilmoittavassa sähköpostissa näkyi myös uuden yksityisviestin otsikko, mutta nyt sitä ei enää näy. Epäilen tämän johtuvan siitä, että olen ladannut palvelimelle viimeisimmäksi tiedoston, joka ei käskytä foorumisoftaa lisäämään otsikkoa sähköpostin aiheeseen ja tiedostoa koskevien muutosten päivittyminen tapahtuu viiveellä jonkintyyppisestä väliaikaistiedostosta johtuen. Tämä voisi selittää myös sen, miksi eiliset kielipakettiongelmat ("teeman jäsennysvirhe") ilmenivät vasta viiveellä muokkausten jälkeen.

Päivitin tuossa hetki sitten palvelimelle tiedoston, jonka pitäisi poistaa yksityisviestit niistä ilmoittavista sähköposteista. Kokeilin yhden tähän liittyvän väliaikaistiedoston poistamista palvelimelta, mikä ei kuitenkaan vaikuttanut mitenkään ilmoitussähköposteihin.

Nyt ehdotankin, että odotellaan vähintään vuorokausi ilman jatkotoimenpiteitä. Jos eiliset ongelmat ilmenivät ylläteorisoimallani viiveellä, pitäisi yksityisviestitekstien poistua lähetettävistä ilmoitussähköposteista piakkoin. Palaan luultavasti huomenissa asiaan.

Poissa Mädi

  • Hullu mykologi
  • Viestejä: 1 271
    • Profiili
Vs: Yksityisviestien tietoturva
« Vastaus #9 : Heinäkuu 22, 2010, 21:31 »
En muuten tehnyt muuta kuin aiemmasta backupista sen yhden kielitiedoston uploadasin.
I haven't failed. I've just found 10,000 ways that won't work. ~ Thomas Edison

Poissa Mik.is

  • Viestejä: 1 039
    • Profiili
Vs: Yksityisviestien tietoturva
« Vastaus #10 : Heinäkuu 23, 2010, 11:04 »
Mik:is [23/07 11:01]:   Mulla ei toimi enää yv:t.
Mik:is [23/07 11:01]:   Just lopetti toimintansa.
Tattiritari [23/07 11:01]:   joo meni taas YV sekaisin :)
Mik:is [23/07 11:02]:   Matyas, Mädi?

Poissa Matias

  • Viestejä: 1 287
    • Profiili
Vs: Yksityisviestien tietoturva
« Vastaus #11 : Heinäkuu 23, 2010, 11:46 »
Mik:is [23/07 11:01]:   Mulla ei toimi enää yv:t.
Mik:is [23/07 11:01]:   Just lopetti toimintansa.
Tattiritari [23/07 11:01]:   joo meni taas YV sekaisin :)
Mik:is [23/07 11:02]:   Matyas, Mädi?

Kuten arvelinkin, muokkaukset toimivat siis viivellä palvelimen välimuistitiedostojen vuoksi. Nyt yksityisviestit ovat jälleen käytössä ja tietoturva-aukko on vihdoin korjattu suomenkielisestä käyttöliittymästä. Teen muutokset nyt myös englanninkielisiin paketteihin ja kerron niistä sen jälkeen tarkemmin.

Poissa Mik.is

  • Viestejä: 1 039
    • Profiili
Vs: Yksityisviestien tietoturva
« Vastaus #12 : Heinäkuu 23, 2010, 11:57 »
Kuten arvelinkin, muokkaukset toimivat siis viivellä palvelimen välimuistitiedostojen vuoksi. Nyt yksityisviestit ovat jälleen käytössä ja tietoturva-aukko on vihdoin korjattu suomenkielisestä käyttöliittymästä. Teen muutokset nyt myös englanninkielisiin paketteihin ja kerron niistä sen jälkeen tarkemmin.

Kuulostaa hyvältä.

Poissa Matias

  • Viestejä: 1 287
    • Profiili
Vs: Yksityisviestien tietoturva
« Vastaus #13 : Heinäkuu 23, 2010, 12:53 »
Näin tein englanninkieliseen kielipakettiin muokkaukset, jotka poistivat yksityisviesteistä ilmoittavista, kyseisen kielipaketin kautta lähetetyistä sähköposteista itse yksityisviestien sisällön:

Latasin ensin palvelimen SMF-foorumisoftan kansiosta /Themes/default/languages/ omalle koneelleni muokattavaksi tiedoston PersonalMessage.english.php. Avasin tiedoston tekstieditorissa ja etsin siitä seuraavan kohdan:

Koodia: [Valitse]
// Don't translate the word "SUBJECT" here, as it is used to format the message - use numeric entities as well.
$txt['new_pm_subject'] = 'New Personal Message: SUBJECT';
// Don't translate SENDER or MESSAGE in this language string; they are replaced with the corresponding text - use numeric entities too.
$txt['pm_email'] = 'You have just been sent a personal message by SENDER on ' . $context['forum_name'] . '.' . "\n\n" . 'IMPORTANT: Remember, this is just a notification. Please do not reply to this email.' . "\n\n" . 'The message they sent you was:' . "\n\n" . 'MESSAGE';

Kohdat $txt['new_pm_subject'] ja $txt['pm_email'] määrittelevät ilmoitussähköpostin otsikon ja itse sähköpostiviestin. Näihin kohtiin tehdään muutama pieni muokkaus, jonka jälkeen ne näyttävät tältä:

Koodia: [Valitse]
// Don't translate the word "SUBJECT" here, as it is used to format the message - use numeric entities as well.
$txt['new_pm_subject'] = 'New Personal Message';
// Don't translate SENDER or MESSAGE in this language string; they are replaced with the corresponding text - use numeric entities too.
$txt['pm_email'] = 'You have just been sent a personal message by SENDER on ' . $context['forum_name'] . '.';

Otsikosta on siis poistettu kohta SUBJECT, joka kirjoittaa lähetettävään sähköpostiviestiin yksityisviestin otsikon. Nyt sähköpostin otsikoksi jää vain "New Personal Message". Itse viestistä taas on poistettu kohta, joka kirjoittaa lähetettävään sähköpostiin yksityisviestin tekstisisällön ja jäljelle on jätetty vain ilmoitus viestin lähettäjästä ja linkki viestiin.


Nämä muutokset ovat tulleet käyttöön viimepäivinä vajaan vuorokauden viiveellä, joten halusin vielä nopeuttaa tapahtumia muokkaamalla SMF-kansion cache-alakansiosta löytyvistä lang_PersonalMessage_english_SiniMysti.php- ja lang_index+PersonalMessage_english_SiniMysti.php-tiedostoista täysin samanlaiset kohdat täysin samalla tavalla, kuin aikaisemmin muokatussa tiedostossa.

Näin muutokset tulevat voimaan heti, mutta vain oletusarvoiseen SiniMysti-teemaan (kuten viimeisimmistä tiedostonnimistä voi päätellä). Muut teemat päivittynevät vuorokauden sisällä.

Huom: tämä on pitänyt säätää jokaisen kielipaketin osalta erikseen.

Poissa Matias

  • Viestejä: 1 287
    • Profiili
Vs: Yksityisviestien tietoturva
« Vastaus #14 : Huhtikuu 14, 2015, 20:04 »
Tein edelliseen viestiin merkkaamani toimenpiteet myös päivitetylle foorumille.