diaspora的安全问题是什么？

Question

我听到很多关于散居的安全问题的议论，有人能总结一下是什么吗？

Answer 1

自那以后，他们已经修补了许多漏洞，但实际上整个项目几乎是书中每一个基于web的安全漏洞的混乱。以下是alpha代码发布后第一天出现的问题的简要介绍：

1. 他们从未验证过给定用户是否拥有执行任何操作的权限。因此，当用户可以去/image/123/delete/删除他们自己的图片(其ID恰好是123)时，他们可以手动键入URL /image/1/delete/来删除ID为1的图片，即使该图片不是他们的。
2. 他们使用了Ruby on Rails中的快捷功能，允许您将发布的属性批量分配给数据库表，而无需验证这些属性是否真的在表单中。因此，虽然个人资料更新页面可能只有一些字段来更改头像图像和简历描述，但任何有一点经验的人都可以在帖子数据被发送到服务器之前摆弄它，还可以发送用户名、密码、会话ID等列/值对。再结合#1点，你可以修改任何人的数据，只要你知道网址，你就可以设置任何人的私人信息。
3. 他们使用MongoDB作为后端。对于不知情的人，Mongo使用Javascript来实现它的一些查询功能。他们获取原始的搜索查询字符串，并在他们的Mongo后端执行它们，这将允许任何人发送格式良好的Javascript作为查询，以真正对数据库执行他们想要的任何操作。

如果您对技术细节感兴趣，请随时访问educate yourself.