start | find | index | login or register | edit
2002-07-13
by earl, 6273 days ago
Radio Community Server: RCS public filesharing vulnerability

Ein Dave Winer comment (auf einem anderen blog) zur RCS vulnerability: "Rogers, you have an equivalent security hole here on your comments system. Anyone can create as many files as they want on your server. Mail lists have the same problem if they're open to new subscribers." - nachfolgend ein paar der versprochenen gedanken zur vulnerability.

wenn wir uns jetzt wieder an das dave'sche meisterwerk Is it marketing or journalism? zurueckerinnern, laegen boese konklusionen nahe ("I conclude that Mr X is not a journalist.") - aber ganz ehrlich, ich verstehe durchaus, dass dave auf scripting.com bis zu dieser minute kein woertchen ueber die vulnerability verloren hat.

es mag sein, dass frueher oder spaeter die warez trader wieder mehr ueber plain ol' HTTP traden wollen und dann bieten sich mit RCS und den diversen clones momentan perfekte server an.

WinXP cd image in megabyte grosse haeppchen splitten und rauf damit auf die community server - alle paeckchen sind direkt ueber URL erreichbar und koennen absolut konvenient herunter geladen werden. auch info pages (was und welche urls) zu den warez paketen koennen angenehm auf den selben server gelegt werden, genauso wie fertige getright download listen (o.รค.), die dann vollautomatischen download und resuming mit einem (!) click gewaehrleisten.

yahoo (geocities), fortunecity und aehnliche free-space-provider haben es auf dem harten weg gelernt wie registrationen zu handhaben sind. idrive und die vielen anderen "web storage"-provider die in kurzer zeit wie schwammerl aus dem boden geschossen sind, hatten keine zeit zum lernen. sie hat die warez belastung dahingerafft (bzw zum einstellen der free services gezwungen). und dabei war der aufwand zum massenanlegen von geocities/idrive accounts wesentlich hoeher als jetzt bei der RCS vulnerability.

DAS ALLES waere ja wenigstens allein userlands problem, wuerden sie nicht ohne jeglichen hinweis auf diese reale gefahr das produkt an kunden distributieren - ein grund aus dem dave doch ein woertchen (oder einen link) zur vulnerability auf scripting.com verlieren sollte.

in meiner persoenlichen einschaetzung ist durch das XML-RPC/SOAP interface die gefahr kategorisch ein wenig hoeher als bei diversen anderen upload moeglichkeiten (manila's gems zum beispiel) die auf reinen HTML interfaces aufbauen.

Wired: A New Code For Anonymous Web Use: "Six/Four combines peer-to-peer technologies with virtual private networking and the "open proxy" method for masking online identities to provide ultra-anonymous Internet access." (will be released in "early august")
powered by vanilla
echo earlZstrainYat|tr ZY @.
earl.strain.at • esa3 • online for 6769 days • c'est un vanilla site