Goobi viewer: Registrierung von SPAM Benutzeraccounts

Liebe Community,

am Wochenende sprang unser Monitoring an und gestern erreichten uns die ersten Mitteilungen von Goobi viewer Anwendern, die von einer hohen Anzahl von automatisch registrierten SPAM Benutzeraccounts berichteten.

Wir haben daraufhin das Verhalten analysiert und als erste Konsequenz auf den betreffenden Servern den Emailversand aus dem Goobi viewer heraus deaktiviert. Damit wird effektiv verhindert, dass automatische Accounts registriert werden. Leider betrifft das auch andere Bereiche der Applikationen aus der Emails versendet werden (Feedback-Formular, Merkliste versenden, Benachrichtigung √ľber neue Suchtreffer).

Wir werden an dieser Stelle √ľber die weiteren Erkenntnisse und Ma√ünahmen berichten.

Viele Gr√ľ√üe und einen sch√∂nen Tag w√ľnsche Euch allen,

Jan :slight_smile:

Hallo Jan,

können eigentlich automatisiert Benutzeraccounts angelegt werden, ohne dass es eine Freigabe seitens des Viewer-Admins gibt?

Viele Gr√ľ√üe, Andreas

Hallo Andreas,

ich habe mich noch nicht vollständig durch die Kommunikation meiner Kollegen von gestern Nachmittag durchgearbeitet. So wie es aussieht konnte das Formular zum Erstellen eines Benutzeraccounts abgeschickt werden, auch wenn der Link in der Oberfläche nicht angezeigt wurde.

Danach ist aber noch eine Aktivierung des Benutzeraccounts √ľber eine URL notwendig. Wenn Fake-Emailadressen genutzt werden und die in der versendeten Email enthaltene URL nicht aufgerufen wird, ist der Account nicht aktiv und man kann sich nicht anmelden. Er liegt nur in der Datenbank.

Aufgrund der vielen versuche Benutzeraccounts zu registrieren und der vielen Emails kann es aber zu Kollateralschäden, wie dem Blacklisten eines Mailservers kommen. Der viele Emailversand ist das, was auch im Monitoring angesprungen ist.

Viele Gr√ľ√üe,

Jan :slight_smile:

Das kann ich best√§tigen. Bei uns wird der Link zum Anlegen eines Nutzerkontos nicht direkt auf der Webseite angezeigt, trotzdem kamen seit Sonntag gegen 18 Uhr bis gestern Nacht √ľber 400 e-mails zu Anmeldevorg√§ngen, mehrheitlich von .comcast-Accounts.

Aber es ist doch technisch im Moment so, dass der Nutzer alleine durch das anklicken des Links in der an ihn geschickten e-mail ein Konto anlegen kann? Eine Freigabe seitens eines Goobi-Viewer Admins braucht es nicht?

Richtig. Eine Freigabe eines Goobi viewer Administrators wird nicht benötigt.

Prinzipiell ist das nicht weiter schlimm, da ein Nutzer nur per se durch seine Registrierung keine weiteren Rechte erlangt um zum Beispiel zugriffsgesch√ľtzte Werke zu betrachten. Er kann - sofern aktiv - Merklisten und Suchen speichern sowie Kommentare schreiben.

Ich muss mich aber noch genauer mit den Kollegen besprechen um hier wirklich mehr sagen zu können.

W√§re es sinnvoll, den Anmeldevorgang durch ein Captcha abzusichern? Das w√ľrde doch dann greifen, bevor irgendwelche e-mails genereriert werden?

K√∂nnen angelegte Accounts eigentlich nur deaktiviert, nicht aber endg√ľltig gel√∂scht werden?

W√§re es sinnvoll, den Anmeldevorgang durch ein Captcha abzusichern? Das w√ľrde doch dann greifen, bevor irgendwelche e-mails genereriert werden?

Ja, das ist sinnvoll. Im Prinzip gibt es hier ein ganzes Ma√ünahmenb√ľndel. Wir sammeln und strukturieren gerade noch.

K√∂nnen angelegte Accounts eigentlich nur deaktiviert, nicht aber endg√ľltig gel√∂scht werden?

Stand heute ja. Das Löschen von Benutzeraccounts ist aber bereits beauftragt und befindet sich zur Zeit in der Entwicklung. Aller Voraussicht nach wird diese Entwicklung in das Release Ende Mai einfließen.

1 Like

Update

tl;dr

Ein einschränkter QuickFix ist kurzfristig und schnell möglich.
Eine nachhaltige Lösung ist aktuell in der Entwicklung und wird in das anstehende Release 4.6.0 einfließen.

Was bisher geschah

Wir haben das Problem eingehend analysiert. Das Formular zum Anlegen von Benutzeraccounts wurde mehr oder weniger gleichzeitig in einer zweistelligen Anzahl verschiedener Goobi viewer Installationen automatisch mit der Registrierung einer vielzahl neuer Benutzeraccounts abgesendet.
Daraufhin zeigten sich in den verwendeten Mailservern l√§ngere Mailqueues weil die Emails f√ľr die Aktivierung nicht zugestellt werden konnten.
Wir haben daraufhin probiert die Benutzeranmeldung zu deaktivieren, mussten dann aber feststellen, dass der Schalter in der Konfigurationsdatei zwar visuell den gew√ľnschten Erfolg bringt, in dem Seitenquelltext aber weiterhin das Formular enthalten war. Aus diesem Grund musste der Mailversand komplett deaktiviert werden.

Diesen Umstand haben wir gestern in den develop Branch behoben und gleichzeitig noch eine zusätzliche Abfrage in dem Java Stack selbst implementiert sowie die Entropie bei dem zufällig erzeugten Aktivierungslink erhöht:

Mit diesen Bugfixes kann die Registrierung neuer Benutzeraccounts in der Konfigurationsdatei deaktiviert und die weiteren Funktionen die einen Mailversand benötigen weiter betrieben werden.
Vor allem der erste verlinkte Commit ist daf√ľr notwendig. Dieser kann auf Goobi viewer Systemen selbst oder im Rahmen des Supports durch uns kurzfristig eingepflegt werden.

Wie es weiter geht

Das Deaktivieren der Benutzerregistrierung ist keine Lösung. Deswegen haben wir das Formular evaluiert und Vorschläge erarbeitet wie es in Zukunft gegen diese Art von Attacken abgesichert werden kann.
Eine Einrichtung aus der Community hat daraufhin kurzfristig die √úbernahme der veranschlagten Aufw√§nde f√ľr die Entwicklungen zugesagt. Das bedeutet f√ľr uns, dass wir das Release der Version 4.6.0 und die Ver√∂ffentlichung des Digests um wenige Tage nach hinten schieben werden, damit die neuen Entwicklungen zur Benutzerauthentifizierung noch mit aufgenommen werden k√∂nnen.

Hallo Jan,

es gibt ja Einrichtungen, bei denen die Generierung einer PDF nur nach Eingabe einer e-mail Adresse funktioniert. Der Nutzer erh√§lt dann einen Downloadlink per e-mail. Ist diese Benachrichtigung im Moment aus den obigen Gr√ľnden ebenfalls deaktiviert?

Beste Gr√ľ√üe, Andreas

Ja. Der komplette Mailversand ist zur Zeit deaktiviert. Wir k√∂nnen das aber wie oben geschrieben kurzfristig wieder in Betrieb nehmen f√ľr deaktivierte Benutzerregistrierung. Parallel l√§uft gerade die Entwicklung der nachhaltigen L√∂sung.

Gibt es einen Zeitplan? Ich w√ľrde unseren viewer lieber auf die nachhaltige L√∂sung updaten, und dann erst die Funktionen wieder freigeben.

Ich hoffe, dass wir Übermorgen, also am Freitag, die Version 4.6.0 veröffentlichen können. Zur Zeit sieht es danach aus.

Update

Die Entwicklungen sind abgeschlossen und wurden erfolgreich getestet. Wir bereiten nun das Release vor.

1 Like

Gute Nachrichten :slight_smile:

Spielt Ihr das Update automatisch aus, oder braucht Ihr eine Beauftragung?

Wie installieren das Update nicht automatisch, da die Aufwände von Installation zu Installation unterschiedlich sind.

Mehr dazu im gerade frisch ver√∂ffentlichten Post zum Goobi viewer Digest f√ľr April 2020 :slight_smile: