Start Empfohlen Wie sicher ist Opera Unite?

Wie sicher ist Opera Unite?

59
0


Die Idee, jeden Computer der Welt in einen Server umzuwandeln, ist sicherlich nicht neu. Aber fast überall wurde die Idee versucht, sie wurde ausgenutzt. Microsofts ActiveX-Experiment Mitte der 1990er Jahre war ein notorisches Beispiel für kollektive Unaufmerksamkeit gegenüber dem gesamten Thema der Ausnutzbarkeit, wenn auch nicht das einzige. Seitdem haben Millionen ihre Web-Clients im Interesse des Filesharings freiwillig zu P2P-Servern gemacht – autorisiert oder nicht –, während einige von ihnen ihre Dateisysteme unwissentlich der ganzen Welt preisgeben und dabei sensible Regierungsdokumente preisgeben.

Die Geschichte lehrt uns, skeptisch zu sein, wenn eine Software vorgibt, normale Computer zu ermöglichen, insbesondere das Web Browser, um als Server zu fungieren. Heute Morgen hat Opera Software seine Unite-Server-Netzwerkprotokolle vorgestellt, die aus Erweiterungen des bestehenden Widget-Systems für seinen Opera-Webbrowser bestehen. Das Ziel besteht darin, jedem Opera-Benutzer zu ermöglichen, ein eigener Server zu sein, der möglicherweise Blogs, Tweets und Dateien bereitstellt. Operas eigene Serverbank, die bereits mit vorgerenderten Seiten für ihre „Turbo“-Funktion verwendet wird, dient als Zwischen-Proxy für die gesamte Kommunikation zwischen Unite-fähigen Browsern.

Innerhalb von Minuten, nachdem wir die Nachrichten veröffentlicht hatten, drückten Betanews-Leser ihre zeitweise Skepsis aus. Als Benutzer zealus.com „Eine vereinte Botnet-Besitzer-Community hat ihre Erklärung veröffentlicht, in der sie den Opera-Entwicklern dafür danken, dass sie ihnen das Leben extrem leicht gemacht haben.“

Als Organisation, die sich zur strikten Einhaltung internationaler Standards bekennt, sollte Opera den Wunsch der Befürworter von Standards nach strenger Sicherheit berücksichtigen. Aber eine erste Lektüre der erweiterten APIs des Unternehmens hat uns mit einer Reihe von Fragen zurückgelassen, die wir heute Morgen direkt an Opera Software gestellt haben.
Die größte Frage, die wir haben, ist, ob die Unite-APIs die Dateisysteme der Benutzer offenlegen … eine Frage, die auch nach dem Lesen der Dokumentation immer noch gestellt werden sollte. Wie aus dem Sicherheitsmodell hervorgeht, hat kein Unite-Benutzer Zugriff auf das Dateisystem eines anderen Benutzers direkt. Stattdessen erstellt jeder als Server fungierende Benutzer ein virtuelles Bild seines Dateisystems auf den Proxy-Servern von Opera und generiert so genannte Mount-Punkte auf die Clients Zugriff haben.

„Die FileSystem-Klasse … ist ein virtuelles Dateisystem“, heißt es hier Operndokumentation für die Unite File I/O API. „Um es tatsächlich zu verwenden, müssen Sie Verzeichnisse aus Ihrem aktuellen Dateisystem als Mount-Punkte zum virtuellen Dateisystem hinzufügen.“

Derzeit sind alle Unite-fähigen Programme Opera-Widgets. Ob ein Widget Mount-Punkte verfügbar macht, hängt also davon ab, ob es config.xml file enthält einen Verweis auf die File I/O API. Diese Referenz enthält einen Parameter, der standardmäßig auf einen bestimmten freigegebenen Ordner verweist. Dies kann ein Ordner sein, den das Unite-Server-Widget als sicher für die gemeinsame Nutzung mit anderen bezeichnet.
Für diesen Parameter wurden jedoch bestimmte Verknüpfungen bereitgestellt – Verknüpfungen, die gemäß der Dokumentation von Opera direkt zu Systemordnern in Windows, Mac und Linux führen. Diese Ordnerhinweise sind Heimat, Bilder, Musik, Video, Unterlagen, Downloads, und Desktop. Laut Oper, Heimat kann auf das Verzeichnis „Eigene Dateien“ oder „Dokumente“ eines Windows-Benutzers verweisen; und Unterlagen kann auf das Verzeichnis „Dokumente“ eines Ubuntu Linux-Benutzers verweisen. Der Parameter File I/O kann einen oder alle dieser Ordnerhinweise enthalten.

Jetzt stellt das Unite-Widget nur das zur Verfügung, was dieser Parameter dem Opera-Proxy ermöglicht, über das virtuelle Dateisystem anzuzeigen. Laut Dokumentation wird die Zugriffsebene des Endbenutzers auf dieses Dateisystem jedoch durch die entsprechende Zugriffsebene bestimmt im physischen Dateisystem des Unite-Servers. Und laut einer Warnung in der Dokumentation wird die Sicherung dieses Systems effektiv dem Entwickler überlassen.

„WARNUNG: Nach dem Mounten ist der Mount-Punkt schreibgeschützt, es sei denn, das zugrunde liegende Dateisystem definiert ihn als schreibgeschützt“, heißt es in der Dokumentation. „Seien Sie vorsichtig, um Ihre Daten zu schützen, indem Sie kontrollieren, wie Daten darauf geschrieben werden. Sie sollten eine Art Authentifizierung von Benutzern bereitstellen, die auf diese Verzeichnisse zugreifen, und darauf achten, dass kein Code ausgenutzt wird.“

Wie ein Sprecher von Opera heute Nachmittag gegenüber Betanews sagte: „Opera Unite entspricht einem sicheren Sandbox-Sicherheitsmodell. Die Dienste haben Lese-Schreib-Rechte für alle Ordner (und Unterordner), auf die der Benutzer Zugriff gewährt. Dieser Zugriff ist eingeschränkt nur in diesen Ordner und nichts außerhalb des angegebenen Ordners. Darüber hinaus werden alle Dienste, die Sie von http://unite.opera.com herunterladen, einer Qualitätsprüfung unterzogen, die von der [quality assurance team] in der Oper.“

Ob Änderungen am virtuellen Dateisystem immer vom Proxy zurück auf den Unite-Server übersetzt werden, wurde in der Dokumentation nicht angegeben, obwohl es klar ist, dass Streichung ist eine Option für Mount-Punkte, deren Zugriff dies erlaubt. Auch hier wird der Parameter zum Setzen von Mount-Punkten auf bestimmte Verzeichnisse oder auf freigegebene oder Systemverzeichnisse im Unite-Widget angegeben config.xml file — eine Datei, die normalerweise mit Opera-Widgets verteilt wird und die erraten werden kann. Der Zugriff auf das Dateisystem durch ein Widget ist eine wesentliche Abweichung von das bestehende Sicherheitsmodell für Opera-Widgets, aktualisiert im Mai 2008.

Aber die Datei selbst wird vor dem Zugriff durch das Unite-Widget oder ein anderes Widget geschützt, wie der Sprecher von Opera gegenüber Betanews sagte. „Die config.xml… ist vor dem Unite-Protokoll und anderen Webprotokollen versteckt, auf die der Browser reagiert. Sie kann nicht durch unerwünschte Anfragen geändert werden.“

Nächstes Thema: Könnte ein Opera-Benutzer ein unwilliger File-Sharer werden?



Vorheriger ArtikelVorab: Google macht möglicherweise einen kleinen Schritt in Richtung besserer Sicherheit
Nächster ArtikelEndlich patcht Apple seine Java-Schwachstelle

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein