WebSecurity Sichtbarkeit personenbezogener Daten

Aus THM-Wiki
Wechseln zu: Navigation, Suche
Important.png
Die Seite wird überarbeitet oder erweitert.
Important.png

Übersicht

Aufgabe unserer Projektarbeit war es, sichtbare sowie unsichtbare personengebundene Daten im e-Study System zu untersuchen und auf Ihre Einstellungen und Umsetzung dieser bezogen auf die Sichtbarkeit zu überprüfen.


Verwendete Software:

  • Apache/2.2.8 mit PHP/5.2.4-2ubuntu5.3
  • Firefox 3.0.1 mit Selenium IDE 1.0b2, Firebug 1.2.0b7
  • Paros Proxy 3.2.13
  • MySQL Version 14.12 Distribution 5.0.51a


Auftreten personengebundener Daten und verfügbare Optionen


Welche Daten werden gespeichert? Wer außer dem Administrator kann die Daten einsehen?
Login-Daten: Login-Name, Vor- und Nachname, E-Mailadresse, Benutzergruppe laut LDAP-Verzeichnis; das LDAP-Passwort wird zu keiner Zeit gespeichert Benutzergruppe, Vor- und Nachname von allen Portalmitgliedern; Mailadresse, wenn diese vom Mitglied freigegeben wurde
Profil-Daten Bis auf Vor- und Nachname vom Mitglied bestimmbar
Upload-Daten: Vor- und Nachname der Ressourcenbesitzerin oder des Ressourcenbesitzers, Zeitpunkt des Uploads In Kursen die KursteilnehmerInnen, im Foyer alle Portalmitglieder
Download-Daten: Vor- und Nachname der Abnehmerin oder des Abnehmers, Zeitpunkt des Downloads Kursleitung
Kursteilnahme: belegte Kurse Portalmitglieder
Forumsbeiträge: Vor- und Nachname, Datum des Beitrags In Kursen die KursteilnehmerInnen, im Foyer alle Portalmitglieder
Mitteilungen: Vor- und Nachname, Datum der Mitteilung In Kursen die KursteilnehmerInnen, im Foyer alle Portalmitglieder
Private Nachrichten Niemand außer den Adressaten; Nachrichten, die nicht vom Mitglied archiviert wurden, werden automatisch nach 180 Tagen gelöscht
Chat-Kommunikation: Uhrzeit, Datum, Name sowie die Chat-Nachrichten Niemand
Kurs-Policy für Kurse mit prüfungsrechtlichen Verlaufsleistungen wie Online-Planspiele und -Projekte zum Nachweis des Prüfungsversuchs: Matrikelnummer, wenn das Kursmitglied seine Einwilligung elektronisch bestätigt Kursleitung

Quelle: EStudy-Policy


Die meisten persönlichen Daten stammen aus dem User-Profil, bzw. sind dort zusammengefasst einzusehen. Deswegen wurden im Weiteren die Informationen des Profils näher untersucht und die Ergebnisse im Folgenden detailliert aufgeführt.

User-Profil

Alle „sensiblen“ Daten eines Users befinden sich auf seinem Profil, zu finden ist dieses unter dem Menü > Mitglieder sowohl im Foyer als auch in einem jeweiligen Kurs. Das Profil ist auch überall zu erreichen wo ein Username auftaucht, denn dieser ist direkt verlinkt mit seinem Profil. Beispiele hierfür sind die „Wer ist online“-Liste oder auch das Auftreten als Verfasser eines Posts oder Links, sowie die in der oberen Tabelle aufgeführten Orte.

In diesem Profil lassen sich verschiedene Angaben machen und diese teilweise auch in Ihrer Sichtbarkeit einstellen. Gespeichert werden diese Datensätzen in der MySQL-Tabelle user. Folgend werden alle möglichen Informationen, ob optional oder Pflicht und ihre Einstellungen aufgeführt.

Benutzerdaten

Vorname(2)
Name(2)
immer sichtbar
Straße
Postleitzahl
Wohnort
Sichtbarkeit einstellbar(1)
Hochschule
Fachbereich(2)
Studiengang
immer sichtbar
E-Mail(2)
Sichtbarkeit einstellbar(1)

Adressdaten

Telefon 1,2
Homepage
Mobilfon
Telefax
ICQ
AIM
Yahoo
Jabber
MSN
E-Mail 2
Skype
Bloq
Sichtbarkeit einstellbar(1)

Texte

Allgemein
Kursspezifisch
Sichtbarkeit einstellbar(1)

(1)Die Sichtbarkeit kann hier auf „nicht anzeigen“, „portalweit anzeigen“, „nur in Kursen anzeigen“ und „nur in Kurs ... anzeigen“ gestellt werden.
(2)Diese Informationen werden beim Login direkt vom LDAP-Server geliefert und können nicht verändert werden.


Zusätzlich können noch Link-Favoriten angegeben werden, welche hier aber nicht von Bedeutung sind. Im Weiteren gibt es eine Funktion für die Erstellung eines persönlichen Datenauszuges, welche als Link im Profil zu finden ist.


Untersuchungen der relevanten Module

Im vorherigen Abschnitt wurde die Theorie mit dem Umgang dieser vom User angegebenen Daten behandelt. Bei näheren Untersuchungen ergaben sich jedoch teils andere Ergebnisse als erwartet, welche durch einige dem Administrator und weiteren berechtigten Benutzergruppen bereitgestellten Module möglich sind. Im Folgenden werden diese Funktionen, welche im weitesten Sinne personengebundene Daten verarbeiten aufgeführt.


Datenauszug

Dieses Modul liefert dem User alle von Ihm unternommenen Aktionen im Portal. Hierzu gehören Kursmitteilungen, Kommentare, Uploaddateien, Forenbeiträge, teilgenommene Lernquiz, persönliches Tagebuch, sowie Links. Für nicht Autorisierte einsehbar sind diese Daten jedoch nicht, da sie zum Einen durch die Datei common/header.inc.php, auf welche später noch eingegangen wird, sowie durch die Abfrage der SessionID gesichert sind. Allerdings lassen sich Forenbeiträge und andere öffentliche Einträge auch über die Portalsuche mit dem jeweiligen Usernamen finden und anzeigen.


Mitgliederliste

Das Modul der Mitgliederliste ermöglicht es den Administratoren als auch anderen Benutzergruppen, welche über die Administrationsoberfläche dazu berechtigt wurden, komplette“ Tabellen mit allen Daten der User als HTML als auch als CSV-Dokument zu exportieren. Diese Funktion ist sowohl im Foyer als auch in Kursen eingebettet und liefert selbst Informationen der Kategorie „nicht anzeigen“ im Klartext mit. So können besagte Benutzergruppen Adresse, E-Mail, etc. von allen Usern angezeigt bekommen. Die Berechtigungen lassen sich für Foyer und Kurse separat einstellen. Das Modul um welches es sich hier handelt ist unter /user/classes/class.UserlistExportDialog2.inc.php zu finden.


Notenliste

Ähnlich wie das letzte Modul können hier Notenlisten aus Kursen im CSV-Format exportiert werden. Hierfür ist die Datei /user/notenloste.php zuständig. Macht dieses Modul doch Sinn für die jeweiligen Dozenten dieses einen Kurses und auch eventuell für die Verfügbarkeit in der Benutzergruppe Sekretariat, so ist jedoch die Sichtbarkeit für Administratoren fragwürdig. Denn auch diese können Listen aus den Kursen exportieren und einsehen. Zusätzlich ist anzumerken, dass die Noten in Verbindung mit dem vollen Vor- und Zunamen ausgegeben werden.

Gefundene Sicherheitslücken

Maßnahmen

Fazit

Der derzeitige Umgang mit personenbezogenen Daten im eStudy ist stark verbesserungsbedürftig.
...
...
Des weiteren hat der Administrator uneingeschränkten Zugriff auf alle Daten. Die einstellbare Sichtbarkeit persönlicher Daten ist als Grundgedanke gut, jedoch nicht vollständig realisiert worden. Durch die Möglichkeit die Foyer-Mitgliederliste nach Fachbereich oder Kursen zu sortieren, ist es damit möglich spezielle Datensätze von nur gewissen Personengruppen zu erhalten. Es ist ebenfalls möglich von fremden Personen die belegten Kurse einzusehen. Hierbei kann die Sichtbarkeit nicht eingeschränkt werden.
Es können die Neuanmeldungen, letzter Login, und Personen mit Status „Online“ eingesehen bzw. angezeigt werden. Diese Funktionen sind nicht wirklich notwendig und es sollte überlegt werden aus Datenschutzgründen diese zu entfernen, oder die Sichtbarkeit einzuschränken.
Weitere Module, welche keine Relevanz bezüglich der Sichtbarkeit der persönlichen Daten aufweisen, sind z.B. Adresse bearbeiten, Adresse löschen, Benutzer löschen, Bild bearbeiten, Bild löschen, usw.
Letztlich sei zu erwähnen, dass jeder MySQL-Administrator, sowie jeder dritte, welcher sich im Besitz der MySQL-eStudy-Daten befindet, die Datenbank und die darin enthaltenen Tabellen (z.B. Notenlisten, Kursanmeldungen usw.) direkt auslesen und manipulieren kann. Ebenfalls könnte man über eine SQL-Injection an die Daten gelangen und eventuell manipulieren.