Das System zum voten basiert bei Anonymen Usern ganz und gar auf Cookies und hier lag auch der Fehler. Akzeptierte man keine Cookies konnte man die Bewertung der Artikel fröhlich nach oben pushen. Laut einem Kommentar von Readster auf trends-in.de sollen anonyme Kommentare die Artikel in der Bewertung kaum steigen lassen.

Readster bei trends-in.de
„Zur Ergänzung.
Es waren alle Anonymen Votes. Anonym kann man nur wenig ändern. Registrierte User haben einen vielen größeren Einfluss“

Dennoch war es einem anonymen User kein Problem einige Artikel auf die ersten Plätze zu cheaten. Darunter auch leider einige meiner, was mich aber zum Nachforschen wie dies von statten gegangen ist animierte.

Diese von so gut wie jedem benutzbare Lücke wurde bereits geschlossen. Was auch vollkommen im Interesse der Community steht. Ich persönlich finde, dass Portale wie Readster, Yigg und Co immer für jeden Fair sein sollten und nicht durch solch simple „Ansätze“ „manipulierbar“ sein sollten. Zumal die Bewertungen jederzeit durch Zufall hätten entstehen können, durch einen Nutzer der lediglich keine Cookies akzeptiert. Die Spekulationen auf anderen Blogs es könnte sich um einen Hack handeln sind grundlegend Falsch es ist lediglich ein kleiner Logikfehler in einer essentiell wichtigen Funktion gewesen.

Noch keine Entwarnung!

Die Lücke ist aber noch nicht ganz ausgemerzt. Theoretisch ist es momentan möglich ein Tool zu schreiben mit welchen man Votezahlen in Tausenderhöhe erzeugen kann, Ich bitte die Betreiber von Readster auf das eindringlichste hin diese „Lücke“ zu schließen.

Das System wurde insoweit verbessert als das man mit deaktivierten Cookies nicht mehr Voten kann, und ich vermute auch dass jetzt eine Sessionvariable mit zur Überprüfung auf diese Lücke mit hinzugezogen wurde.

Jedoch wenn man die von Readster gesetzten Cookies löscht und eine neue http Verbindung zur Seite aufbaut kann man ein weiteres Mal Voten. Diese Gegebenheit könnte man theoretisch in Form eines kleinen Tools dazu benutzen um Artikel hoch zu cheaten.

Dieses besagte Tool müsste lediglich folgende Zeilen (wobei der Wert in den <i4> tags der i4 ID eines Artikels entspricht) an die Datei xmlrpc.js schicken und die gesetzten Cookies löschen und mit einer kleinen schleife wäre ein für Blackhats nettes Cheatertool geboren.

<?xml version="1.0"?>
 
<methodCall>
 
<methodName>NZ_MyNews.rate</methodName>
<params>
<param>
 
<value><i4>27167</i4></value>
</param>
<param>
 
<value><string>up</string></value>
</param>
</params>
 
</methodCall>

Hoffen wir mal auf ein baldiges komplettes Bereinigen der Lücke im Bewertungsystem. Meiner Meinung nach sollte eine Funktion zur temporären Sperre von IPs Abhilfe schaffen.

Der Bug ist in der sf-avatars.php zu finden. Hier wurde in der IF-clause vergessen die „SFAVATARS“ Konstante anzugeben. Diese Konstante enthält den Pfad zu dem Speicherort der Avatare. Die IF-clause beinhaltet die PHP funktion file_exists() welche überprüft ob eine bestimmte Datei vorhanden ist. Da aber der Pfad zu dem Speicherort der Avatare fehlt werden die „alten“ Dateien nicht gelöscht sondern nur die neue Datei hochgeladen, was letztendlich und vor allem bei größerer Useranzahl zu einem Durcheinander und Speicherplatzverschwendung wird.

Hier ist das entsprechende Codefragment

// delete old avatar if it exists
$oldfilename = sf_get_member_item($userid, 'avatar');
if (file_exists($oldfilename)) {
unlink(SFAVATARS.$oldfilename);
}

Diese kleine „Fehlfunktion" ist sehr einfach durch das hinzufügen der Konstante „SFAVATARS“ zu beheben.

// delete old avatar if it exists
$oldfilename = sf_get_member_item($userid, 'avatar');
if (file_exists(SFAVATARS.$oldfilename)) {
unlink(SFAVATARS.$oldfilename);
}

Einen Bugreport habe ich bereits geschrieben und der Entwickler wollte sich um das Problem kümmern, sodass bei der nächsten Version nicht mehr auftritt.