Bereits einige Blogs berichteten über die Auswirkungen einer nicht ganz durchdachten Programmierung bei readster.de, doch wurde dort eher mehr spekuliert als Fakten zu liefern. Gestern wurde eine Lücke im Bewertungssystem von Readster entdeckt, welche das Massenhafte Voten von Artikeln zuließ.
Das System zum voten basiert bei Anonymen Usern ganz und gar auf Cookies und hier lag auch der Fehler. Akzeptierte man keine Cookies konnte man die Bewertung der Artikel fröhlich nach oben pushen. Laut einem Kommentar von Readster auf trends-in.de sollen anonyme Kommentare die Artikel in der Bewertung kaum steigen lassen.
Readster bei trends-in.de
„Zur Ergänzung.
Es waren alle Anonymen Votes. Anonym kann man nur wenig ändern. Registrierte User haben einen vielen größeren Einfluss“
Dennoch war es einem anonymen User kein Problem einige Artikel auf die ersten Plätze zu cheaten. Darunter auch leider einige meiner, was mich aber zum Nachforschen wie dies von statten gegangen ist animierte.
Diese von so gut wie jedem benutzbare Lücke wurde bereits geschlossen. Was auch vollkommen im Interesse der Community steht. Ich persönlich finde, dass Portale wie Readster, Yigg und Co immer für jeden Fair sein sollten und nicht durch solch simple „Ansätze“ „manipulierbar“ sein sollten. Zumal die Bewertungen jederzeit durch Zufall hätten entstehen können, durch einen Nutzer der lediglich keine Cookies akzeptiert. Die Spekulationen auf anderen Blogs es könnte sich um einen Hack handeln sind grundlegend Falsch es ist lediglich ein kleiner Logikfehler in einer essentiell wichtigen Funktion gewesen.
Noch keine Entwarnung!
Die Lücke ist aber noch nicht ganz ausgemerzt. Theoretisch ist es momentan möglich ein Tool zu schreiben mit welchen man Votezahlen in Tausenderhöhe erzeugen kann, Ich bitte die Betreiber von Readster auf das eindringlichste hin diese „Lücke“ zu schließen.
Das System wurde insoweit verbessert als das man mit deaktivierten Cookies nicht mehr Voten kann, und ich vermute auch dass jetzt eine Sessionvariable mit zur Überprüfung auf diese Lücke mit hinzugezogen wurde.
Jedoch wenn man die von Readster gesetzten Cookies löscht und eine neue http Verbindung zur Seite aufbaut kann man ein weiteres Mal Voten. Diese Gegebenheit könnte man theoretisch in Form eines kleinen Tools dazu benutzen um Artikel hoch zu cheaten.
Dieses besagte Tool müsste lediglich folgende Zeilen (wobei der Wert in den <i4> tags der i4 ID eines Artikels entspricht) an die Datei xmlrpc.js schicken und die gesetzten Cookies löschen und mit einer kleinen schleife wäre ein für Blackhats nettes Cheatertool geboren.
Hoffen wir mal auf ein baldiges komplettes Bereinigen der Lücke im Bewertungsystem. Meiner Meinung nach sollte eine Funktion zur temporären Sperre von IPs Abhilfe schaffen.
Loading ...
By Readster on Aug 19, 2008 | Reply
Nein so einfach ist das nun auch nicht.
1. xmlrpc.js ist eine JS-Datei und kann nichts annehmen.
2. Es war kein Logik-Fehler, sondern eine eine Frage der Prioritäten.
3. Du kennst readster nicht gut genug, denn mit unsere JS-API könntest du viel einfacher experimentieren.
http://www.readster.de/story/25806/readster-javascript-api
Die Lücke ist ist jetzt geschlossen. Versuch es bitte ob du noch mal manipulieren kannst.
By SchmaR on Aug 19, 2008 | Reply
Also es ist immernoch möglich auf simpelste Art und Weise, aber etwas aufwendiger als vorher.
1. werten
2. cookies löschen
3. refresh
4. wieder werten
…
Das ich Readster nicht gut kenne will und kann ich nicht bestreiten, ich kenne den Dienst erst seit ca 1 1/2 Wochen.
By Readster on Aug 19, 2008 | Reply
Ja, und das darfst du nur paar mal wiederholen.
By SchmaR on Aug 19, 2008 | Reply
Okay ich habe das ganze nur 3 mal in Folge ausprobiert.