[NEWS] Informationen zum potenziellen Missbrauch des Bild-Uploads in OJS

security
ojs
Tags: #<Tag:0x007f05923676c8> #<Tag:0x007f05923674e8>

#1

Informationen zum potenziellen Missbrauch des Bild-Uploads in OJS

Bezugnehmend auf den kürzlich veröffentlichten Blog-Eintrag durch PKP (siehe dazu den Blogeintrag von PKP) zum Missbrauch von OJS-Funktionen richten wir uns mit folgenden Informationen an Sie.

Leider kann die in OJS regulär implementierte Funktion des öffentlichen Bild-Uploads missbraucht werden, um unsachgemäße Bilder/Inhalte in einer Zeitschrift (unter einer bestimmten URL) zu veröffentlichen. Öffentliche Bilder können über den TinyMCE (z.B. im Rahmen der Selbstregistrierung neuer Nutzer) hochgeladen und auch als Profilbild im Profil den Nutzers eingestellt werden. OJS speichert diese Bilder im Ordner “public”.

Zusätzlich zu den von PKP beschriebenen Maßnahmen (entsprechenden Nutzer und Bild löschen sowie Captcha verwenden) sind auch folgende Optionen denkbar: Als Sofortmaßnahme kann durch die Abschaltung der Selbstregistrierung neuer Nutzer zunächst der Bild-Upload durch neue Nutzer komplett unterbunden werden. Wählen Sie hierzu innerhalb von OJS 2.4.x die Option “Zeitschriftenverwalter/innen registrieren alle Benutzer/innen; Redakteur/innen und Rubrikredakteur/innen können nur Gutachter/innen registrieren.” im Setup Schritt 4.1. Durch die Abschaltung des TinyMCE-Plugins kann darüber hinaus die Bild-Upload-Funktion im TinyMCE unterbunden werden - wobei der Bild-Upload im Profil immer noch möglich ist.

Diese Maßnahmen können die Funktionalität von OJS an wichtigen Stellen einschränken. So wird z.B. die Option der Selbstregistrierung häufig verwendet. Aus diesem Grund sollte über entsprechende funktionelle Problemlösungen nachgedacht werden. Denkbar sind hier zum einen die Einschränkung der Bild-Upload-Funktion (TinyMCE und im Profil) auf bestimmte Nutzergruppen, sowie die Ergänzung einer optionalen Freischaltung neuer Nutzer durch die Zeitschriftenverwalter (bereits durch uns bei PKP vorgeschlagen).

Generell sollte auch das Directoy Browsing auf Serverebene ausgeschaltet sein, damit die öffentlichen Bilder im Browser nicht aufgelistet werden.

Ebenfalls kann die Kommentarfunktion in OJS missbraucht werden, da auch hier das TinyMCE-Plugin verwendet wird. Durch Abschalten der Kommentarfunktion kann dies unterbunden werden.

Weitere Fragen können Sie hier im Forum unter dieser Information stellen oder aber sich direkt an das OJS-de.net-Projekt wenden.


#2

Die Verwendung des Google-Dienstes “ReCaptcha” ist unter Datenschutz- und Datensparsamkeits-Aspekten sehr kritisch zu sehen; zudem scheint die Aktivierung von “ReCaptcha” nicht ohne aktiviertes JavaScript auszukommen. Gibt es in der deutschen Community alternative Ansätze für ein Captcha?


#3

Ich würde dabei noch hinzufügen, dass Captchas meist ein Problem mit Blick auf accessibility darstellen.