Navigation

    • Register
    • Login
    • Search
    • Recent
    • Tags
    • Popular
    • Users
    • Groups
    • Search

    Emailer ist Sicherheitslücke

    Fragen
    4
    5
    363
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • J
      JoKo last edited by

      Hallo zusammen,
      ich fürchte, ich habe eine Sicherheitslücke bei Church-Tools gefunden (V3.40.1):
      Habe gerade für Freunde (die fast keine Rechte haben) ChurchDB sichtbar geschaltet. Da ist dann gleich der Emailer zu sehen. Das ist nicht schön, aber man könnte damit leben, denn die Freunde sehen erstmal nur sich selbst.
      Wenn man aber im Emailer einen Namensteil eingibt (oder nur einen Buchstaben), sieht man als Eingabevorschlag alle Namen, die dazu passen. So kann jemand ohne Rechte ganz leicht alle Namen von ChurchDB durchschauen.
      (Mailen kann er nicht an die Leute, also sie werden nicht zur Liste hinzugefügt, insofern ist es nicht ganz so dramatisch. Aber es sollte auch nicht gehen, dass auf diese Weise jemand alle Leute in der DB sehen kann).

      Und die Sichtbarkeit des Emailers über Rechte steuern zu können, fände ich schon sehr wichtig. Das bezieht sich auf dieses ältere Thema:
      Re: Emailer für Mitglieder abstellen?

      Andy 1 Reply Last reply Reply Quote 4
      • Andy
        Andy admin @JoKo last edited by

        @JoKo Joa ... das stimmt wohl. Mailen geht nicht, Namen inkl. Profilbild sind aber sichtbar. Sollte sicher nicht so sein!

        R 1 Reply Last reply Reply Quote 0
        • R
          rschi @Andy last edited by

          @Andy sagte in Emailer ist Sicherheitslücke:

          Sollte sicher nicht so sein!

          Das DARF nicht sein! 😉

          1 Reply Last reply Reply Quote 0
          • D
            daniel_ last edited by

            @JoKo dann am besten gleich an den Support schicken, damit es schnell an der richtigen Stelle in der Entwicklung landet.

            J 1 Reply Last reply Reply Quote 0
            • J
              JoKo @daniel_ last edited by

              @daniel_ Hatte ich gleich gemacht und auch schnell die Bestätigung bekommen, dass das wirklich ein Bug ist und an die Entwicklung weitergegeben wurde.
              Ich hoffe, das wird mit hoher Priorität behandelt. Habe ein wenig den Eindruck, dass bei der Entwicklung mehr Wert auf neue Features gelegt wird als auf Sicherheit. Dabei gibt es da schon ernstzunehmende Lücken:

              • Dass alle Leute, die ChurchDB sehen, auch Zugriff auf den Emailer haben, ist ein echtes Problem. Das sollte wirklich so schnell wie möglich geändert werden.
              • Dann das Problem mit den Geburtstagen, deren Freischaltung dann auch noch andere Daten sichtbar macht. Wir haben daher die Geburtstage z.Zt. komplett weggeschaltet. Ist aber ein Rückschritt gegenüber der alten Gemeindeliste mit Excel
              • Und dass es nicht geht, Geburtstage ohne das Jahr sichtbar zu machen (außer in der Gemeindeliste, aber die kann man nicht sortieren)
              1 Reply Last reply Reply Quote 1
              • First post
                Last post