jean-paul schrieb
Wenn man z.B. "Jeder User kann in jedem Paket Änderungen vornehmen..." durch "Jeder, im AUR angemeldeter User, kann an jedem Paket Änderungen vornehmen" ersetzt, fallen schon mal Skript-Kiddies, Bots und sonstige Schmierfinken weg. Denn bei weitem nicht jeder Arch-User kann und will ein PKGBUILD bearbeiten. Sollte sich dann dennoch einer als jemand erweisen, der nur Mist macht, ist der auch schnell ausfindig gemacht.
Der Zeitaufwand einen Account zu registrieren beträgt maximal 2 Minuten, insofern
ist dies für jemanden der wirklich dahinter ist auch keine Hemmschwelle, im Code
eines Bots ist es bloß ein weiteres if dass dann die nächste Mailadresse aus der Liste
nimmt und damit einen neuen Account erstellt.
Mir wurde zwar im IRC gesagt, dass ich das mit Bots und SKs etwas zu schwarz sehe,
dieser Auffassung bin ich nicht, wir haben auf unseren Systemen nicht das Problem
dass sich hinter jeder Datei Malware verbergen könnte, das sollte uns aber nicht in
Sicherheit wiegen und vergessen lassen, das wir hier nicht von einem Endanwender-
system sprechen, sondern von öffentlich zugänglichem Dienst. Da ist es dann recht
egal welches OS im Hintergrund werkelt, denn das Webframework ist das Angriffsziel.
Für einen Bot der ein Wiki manipuliert braucht man letzten Endes nur die folgenden
Dinge:
- Account, lässt sich händisch einrichten oder man schreibt eben eine Funktion dafür
- Login Funktion um die Cookies anzunehmen
- Parser, der die Artikeladressen und Formulardaten herausfiltert
- Eine Funktion, welche Formulare füllt und mit den Cookies an den Server schickt(schlägt dies fehl könnte man die Antwort überprüfen und die Reaktion auf diverse Fehler implementieren, bspw erneuten Log In oder eben das registrieren eines neuen Accounts).
Tut mir ja Leid, dass ich so darauf herumreite, aber das ist eben der Punkt der mir da am
meisten Sorgen bereitet, denn CAPTCHAs bei der Registrierung werden auch nicht helfen.