OwnCloud 4: Sicherheit – Kalender und Kontaktdaten ohne Passwort aufrufbar (erledigt)

HINWEIS: Folgende Aussagen dürfen unter “fehlerhaft” abgelegt werden. Wie sich nach intensivem Test herausgestellt hat, treffen meine Aussagen nicht zu. Am Testtag befand ich mich in unterschiedlichen Netzwerken und nutzte OwnCloud über verschiedene Systeme. Eines dieser System war unwissentlich Teil einer Entwicklungsumgebung und an ein Caching-System angebunden, welches meine Zugangsdaten zwischenspeicherte. Im heutigen Test konnte die unten beschriebene Situation nicht mehr nachvollzogen werden. Beim Aufruf der gezeigten Links wird eine Benutzer- und Passwort-Abfrage angezeigt. Ohne korrekte Daten ist ein Zugriff auf die Kalender- und Adressdaten nicht möglich!

Mit erschrecken musste ich feststellen, dass alle in OwnCloud 4 hinterlegten Kontakte und Kalendereinträge über einen simplen – öffentlich erreichbaren – Link einsehbar sind. Diese Möglichkeit steht grundsätzlich, direkt nach der Installation von OwnCloud 4 zur Verfügung.

Es bedarf allerdings zweier Details, um auf die Daten zuzugreifen:

  1. der Benutzername des OwnCloud-Benutzers muss bekannt sein
  2. der Name des eingerichteten Kalenders (in der Regel ist das “default%20calendar” (“default calendar”)
Weiterhin muss man die URL kennen, unter der ein Nutzer seine Version von OwnCloud installiert hat. Gerade einer Zeit wie jetzt, wo die neue Version 4 durch die Medien geistert, kann man durchaus damit rechnen, dass Kopien in den Einsatz gehen, deren URL leicht in Erfahrung zu bringen ist. Eine Google-Suche nach bestimmten Begriffen (ein wenig OwnCloud-Kenntnis vorausgesetzt) bringt diverse Installationslinks auf den Schirm.

Brisante Details

Über den Link
http://OWNCLOUD-INSTALLATION/remote.php/caldav/calendars/BENUTZERNAME/KALENDERNAME
hat man ohne die Kenntnis des Passwortes direkten Zugriff auf die kompletten Kalendereinträge.
Viel gefährlicher schätze ich jedoch die Möglichkeit ein, die hinterlegten Kontakte des Nutzers zu erhalten; hier reicht der simple Link:
http://OWNCLOUD-INSTALLATION/remote.php/carddav/addressbooks/BENUTZERNAME/default
weil es, gerade bei den Kontakten vermehrt vorkommen wird, dass die Standard-Adressliste benutzt wird und kein neues Adressbuch mit eigenem Name erstellt wird. Sollte dies der Fall sein, trifft für den Zugriff das gleiche zu, wie beim Kalender.

Workaround (als schnelle Lösung)

 

Als Workaround habe ich die Datei “remote.php” bei mir vorerst entfernt und werde den Teufel tun, den Link zu meiner OwnCloud-4-Installation an irgendwen weiterzugeben oder zu verlinken.

Demnächst mehr, werde Kontakt zu den Entwicklern aufnehmen, da auch die Bearbeitung der “info.xml” bei der Kalender- und Kontakt-“App” nicht dafür sorgte, dass der öffentliche Zugriff über die “remote.php” verschwand.

10 Gedanken zu „OwnCloud 4: Sicherheit – Kalender und Kontaktdaten ohne Passwort aufrufbar (erledigt)“

  1. Kann ich nicht bestätigen. Beim aufruf wird man nach einem Login gefragt.

    Ist man schon angemeldet, funktioniert es natürlich…

  2. Hallo,
    Ich bin der Entwickler der Kalender App und konnte diesen Fehler nicht nachvollziehen. Wenn ich die oben genannte Adresse aufrufe bekomme ich eine Kennwortabfrage vom Browser.
    Könnten Sie bitte überprüfen, ob ihr Browser das Kennwort für den Nutzer gecached hat oder die Adresse mit einem anderen Browser öffnen.

    Grüße
    Georg Ehrke

  3. Update: Habe das Szenario gerade ausprobiert und war im selben Browser an die ownCloud angemeldet und konnte auch dann nicht auf den Kalender zugreifen.

    1. Das funktioniert bei mir allerdings durchgehend.

      Komische Sache in Chrome 19: Komischerweise bin ich nach Neustart von Chrome und System-Reboot automatisch eingeloggt, obwohl Chrome im Inkognito-Modus ausgeführt wird/wurde.

  4. Also ich kann es auch nicht nachvollziehen.
    Habe mich unter Firefox in meine owncloud Instanz eingeloggt, habe den Kalenderlink kopiert und via Chrome versucht den Link zu öffnen. Mein Link lief aber via https://

    Und siehe da: Es wurden mein Benutzer und Passwort abgefragt.
    Aber selbst mit http:// kommt die Benutzerabfrage.

    Also da sehe ich keine Sicherheitslücke.

    Du hast es zwar auch schon im Post berichtigt, aber nur nochmal zur Bestätigung. :)

  5. Hi,

    mich würde vielmehr interessieren warum Thunderbird (aktuelleste Windows-Version) mich immer wieder nach den Login Daten frägt, wenn ich mehr als einen Kalender bei meinem Benutzer eingetragen haben.

    Ich nutze eigentlich nur den Link
    http://192.168.6.96/owncloud/apps/calendar/caldav.php/calendars/Familie/jahrestage
    sowie
    http://192.168.6.96/owncloud/apps/calendar/caldav.php/calendars/Familie/familie

    Ich bekomme zweimal die Login-Abfrage. Ich denke es hängt hier mit dem Kalender zusammen obwohl ich auch noch auf die Kontakte meines ownCloud Benutzers zugreife.

    Natürlich nutze ich den TB Password Manager und speichere die Login-Daten dort auch. Ich habe auch schon getestet, dass ich den Login-Name und das Passwort vor die IP-Adresse stelle, aber ebenso ohne Erfolg.

    Kennt das jemand? Gibt es einen Workaround evtl. mit einer anderen IP-Adresse? Mit Hilfe von htaccess? Ich lasse ownCloud übrigens auf meinen Synology NAS laufen, falls es hier etwas zur Sache tut.

    Michael

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>