• Aktuell
    • Tags
    • Beliebt
    • Benutzer
    • Gruppen
    • Suche
    • Registrieren
    • Anmelden

    Emailer ist Sicherheitslücke

    Fragen
    4
    5
    416
    Lade mehr Beiträge
    • Älteste zuerst
    • Neuste zuerst
    • Meiste Stimmen
    Antworten
    • In einem neuen Thema antworten
    Anmelden zum Antworten
    Dieses Thema wurde gelöscht. Nur Nutzer mit entsprechenden Rechten können es sehen.
    • J
      JoKo
      zuletzt editiert von

      Hallo zusammen,
      ich fürchte, ich habe eine Sicherheitslücke bei Church-Tools gefunden (V3.40.1):
      Habe gerade für Freunde (die fast keine Rechte haben) ChurchDB sichtbar geschaltet. Da ist dann gleich der Emailer zu sehen. Das ist nicht schön, aber man könnte damit leben, denn die Freunde sehen erstmal nur sich selbst.
      Wenn man aber im Emailer einen Namensteil eingibt (oder nur einen Buchstaben), sieht man als Eingabevorschlag alle Namen, die dazu passen. So kann jemand ohne Rechte ganz leicht alle Namen von ChurchDB durchschauen.
      (Mailen kann er nicht an die Leute, also sie werden nicht zur Liste hinzugefügt, insofern ist es nicht ganz so dramatisch. Aber es sollte auch nicht gehen, dass auf diese Weise jemand alle Leute in der DB sehen kann).

      Und die Sichtbarkeit des Emailers über Rechte steuern zu können, fände ich schon sehr wichtig. Das bezieht sich auf dieses ältere Thema:
      Re: Emailer für Mitglieder abstellen?

      AndyA 1 Antwort Letzte Antwort Antworten Zitieren 4
      • AndyA
        Andy admin @JoKo
        zuletzt editiert von

        @JoKo Joa ... das stimmt wohl. Mailen geht nicht, Namen inkl. Profilbild sind aber sichtbar. Sollte sicher nicht so sein!

        R 1 Antwort Letzte Antwort Antworten Zitieren 0
        • R
          rschi @Andy
          zuletzt editiert von

          @Andy sagte in Emailer ist Sicherheitslücke:

          Sollte sicher nicht so sein!

          Das DARF nicht sein! 😉

          Hosting bei church.tools

          1 Antwort Letzte Antwort Antworten Zitieren 0
          • D
            daniel_
            zuletzt editiert von

            @JoKo dann am besten gleich an den Support schicken, damit es schnell an der richtigen Stelle in der Entwicklung landet.

            CT 3.x Hosting bei CT

            J 1 Antwort Letzte Antwort Antworten Zitieren 0
            • J
              JoKo @daniel_
              zuletzt editiert von

              @daniel_ Hatte ich gleich gemacht und auch schnell die Bestätigung bekommen, dass das wirklich ein Bug ist und an die Entwicklung weitergegeben wurde.
              Ich hoffe, das wird mit hoher Priorität behandelt. Habe ein wenig den Eindruck, dass bei der Entwicklung mehr Wert auf neue Features gelegt wird als auf Sicherheit. Dabei gibt es da schon ernstzunehmende Lücken:

              • Dass alle Leute, die ChurchDB sehen, auch Zugriff auf den Emailer haben, ist ein echtes Problem. Das sollte wirklich so schnell wie möglich geändert werden.
              • Dann das Problem mit den Geburtstagen, deren Freischaltung dann auch noch andere Daten sichtbar macht. Wir haben daher die Geburtstage z.Zt. komplett weggeschaltet. Ist aber ein Rückschritt gegenüber der alten Gemeindeliste mit Excel
              • Und dass es nicht geht, Geburtstage ohne das Jahr sichtbar zu machen (außer in der Gemeindeliste, aber die kann man nicht sortieren)
              1 Antwort Letzte Antwort Antworten Zitieren 1
              • Erster Beitrag
                Letzter Beitrag