Allgemeinde Bugs und Fehler

Started by Ingrimmsch, June 23, 2012, 12:44:27 AM

Previous topic - Next topic

Ingrimmsch

Hallo Stefan,

-->Wenn man mehr als 2 tsbots als Admin hat wird auf der Bot Liste seite die Auflistung der anderen Mitglieder (wenn sie bots haben) rechts neber die eigene Liste gestellt
und nicht mehr wie eig. gedacht darunter ;)

--> Beim Umbenennen gibt es noch keine Bestätigung, das es funktioniert hat. (Sowie auch kein Mausover beim Icon)

das ist mir so grob aufgefallen ;)

wenn du magst darfst du alles gerne fixen :)

Falls mir noch was auffällt poste ich es hier einfach

liebe Grüße

Ingrimmsch

Stefan1200

#1
zu 1. bitte ein Screenshot.

zu 2. bei mir kommt eine Bestätigung und ein Icon Tooltip. Wenn die bei dir nicht kommt, hast du die Datenbank Änderungen nicht importiert, siehe changelog.

Ingrimmsch

zu 1 --> anhang ;)

zu 2 --> und wieder was dazu gelernt :) danke ;)

Stefan1200

Ok, das sollte leicht zu fixen sein, mache ich in den nächsten Tagen.

Stefan1200

Ich kann Bug #1 nicht reproduzieren. In Chrome, Firefox, Opera und Internet Explorer sieht alles richtig aus, auch wenn ich das Fenster ganz breit ziehe.

Ingrimmsch

Der Bug zwei tritt nur auf, wenn man mehr als 2-3 Bots hat...
davor ist es bei mir auch drunter.

Ich nutze den Chrome

Stefan1200

Ist gefixt, siehe neuste Version.

Ingrimmsch


Thorsten M.

Hi Stefan.

Habe auch noch eine meiner Meinung nach ziemlich schwerwiegende Sicherheitslücke entdeckt. Da es nicht nur Admins sondern auch normale Benutzer gibt die den Bot Konfigurieren können/möchten solltest du vielleicht zwei Dinge entfernen:


  • Das ServerQuery Passwort sollte für normale Benutzer (d. h. keine Admin Rechte) nicht sichtbar sein. Auch nicht im Quelltext wenn man z. B. dieses Feld als nicht sichtbar markiert.
  • Diese Sicherheitslücke ist ebenfalls ziemlich gravierend. Wenn man auf "Server Gruppen Schutz" klickt werden die Query Server Gruppen angezeigt. Ein normaler Benutzer kann nun die Funktion aktivieren, dass er automatisch in die Gruppe hinzugefügt wird wenn er beim Bot gelistet ist aber die ServerGruppe auf dem TeamSpeak nicht hat. Somit ist es dem normalen Benutzer möglich sich Query Rechte zu nehmen.

Vielleicht kannst du bei einem neuen Release diese beiden Sicherheitslücken berücksichtigen oder uns eine Möglichkeit nennen, wie man diese Lücke manuell umgehen kann. Soll heißen, an welcher Stelle muss ich was eintragen, damit dies nicht passieren kann.

Mit freundlichen Grüßen
Thorsten M.

Stefan1200

Quote from: Thorsten M. on September 22, 2012, 02:59:41 PM
Hi Stefan.

Habe auch noch eine meiner Meinung nach ziemlich schwerwiegende Sicherheitslücke entdeckt. Da es nicht nur Admins sondern auch normale Benutzer gibt die den Bot Konfigurieren können/möchten solltest du vielleicht zwei Dinge entfernen:


  • Das ServerQuery Passwort sollte für normale Benutzer (d. h. keine Admin Rechte) nicht sichtbar sein. Auch nicht im Quelltext wenn man z. B. dieses Feld als nicht sichtbar markiert.
  • Diese Sicherheitslücke ist ebenfalls ziemlich gravierend. Wenn man auf "Server Gruppen Schutz" klickt werden die Query Server Gruppen angezeigt. Ein normaler Benutzer kann nun die Funktion aktivieren, dass er automatisch in die Gruppe hinzugefügt wird wenn er beim Bot gelistet ist aber die ServerGruppe auf dem TeamSpeak nicht hat. Somit ist es dem normalen Benutzer möglich sich Query Rechte zu nehmen.

Vielleicht kannst du bei einem neuen Release diese beiden Sicherheitslücken berücksichtigen oder uns eine Möglichkeit nennen, wie man diese Lücke manuell umgehen kann. Soll heißen, an welcher Stelle muss ich was eintragen, damit dies nicht passieren kann.

Mit freundlichen Grüßen
Thorsten M.

Danke für die Hinweise.
Punkt 1 sollte eigentlich nicht gehen, wenn man dem Anwender die Bot Erstellungsrechte entzieht. Wenn er den Bot selbst erstellt, hat er das Passwort ja eh selbst eingegeben.
Punkt 2 ist tatsächlich gefährlich, da hilft im Moment nur das deaktivieren der ganzen Seite im Template, wo man das einstellt (und auch das hilft nur bedingt) . Hier muss ich mal schauen, wie ich das am Besten mache.

Stefan1200

@ Thorsten M.:

Habe eine neue Version der Spezialedition veröffentlicht. Im Moment erst mal auf die schnelle behoben, da ich für was schickes einstellbares keine Zeit habe.

Wegen der ersten Sache bitte nochmal ausführlicher schreiben, warum jemand das Server Query Passwort sehen kann. Das sollte nur mit "Bot Erstellrechten" gehen.

Ingrimmsch

#11
zu 1. wenn ein Benutzer einen Bot erstellt muss dieser ja ein Query-Passwort angeben, das er selbst mit seinen rechten erstellt hat. Wieso sollte er das nicht sehen dürfen?? Du darfst ihm natürlich keinen Bot erstellen und dort dein server-query-passwort eintragen!!

zu 2. da er ja einen eigenen Query erstellt hat besitzt dieser Query die gleichen Rechte wie seine Servergruppe... und die Rechte sollten besagen, dass er nicht die nötige member add power hat um dem Benutzer die server-query-rechte zu geben...

edit:
habe mal das szenario nachgestellt: 2 neue Identitäten und eine seperate Admin-Server-Gruppe (um mir nicht selbst die rechte zu nehmen)
dann neuen benutzer im Webinterface erstellt und mich da eingeloggt. jetzt nen neuen server erstellt und dort die Daten eingetragen (Query name und passwort mit der 1. Identität erstellt) servergruppen schutz so eingestellt, dass Identität 1 den SA behält und das identität 2 ALLE servergruppen bekommt.

Nun Mit beiden Identitäten auf den TS und bot gestartet...
Zugewiesen wurden nur: SA und gruppen, die von SA vergeben werden können... KEIN Query oder höhere Rechte...

Jetzt bin ich mir unsicher, ob ich euch falsch verstanden habe...

Stefan1200

Der Query User, und damit der Bot, hat die selben Rechte, wie der Benutzer mit der selben Identität. Warum sollte das anders sein?

Ingrimmsch

womit ja Sicherheitslücke 2 irrelevant wird...

Der User kann zwar einstellen, dass er eine Servergruppe mit mehr rechten bekommt...
Aber letzendlich scheitert es daran, dass sein Bot nicht die nötigen Rechte dazu hat...
Wo ist da dann eine Sicherheitslücke??