Liebe Community,

am Wochenende sprang unser Monitoring an und gestern erreichten uns die ersten Mitteilungen von Goobi viewer Anwendern, die von einer hohen Anzahl von automatisch registrierten SPAM Benutzeraccounts berichteten.

Wir haben daraufhin das Verhalten analysiert und als erste Konsequenz auf den betreffenden Servern den Emailversand aus dem Goobi viewer heraus deaktiviert. Damit wird effektiv verhindert, dass automatische Accounts registriert werden. Leider betrifft das auch andere Bereiche der Applikationen aus der Emails versendet werden (Feedback-Formular, Merkliste versenden, Benachrichtigung über neue Suchtreffer).

Wir werden an dieser Stelle über die weiteren Erkenntnisse und Maßnahmen berichten.

Viele Grüße und einen schönen Tag wünsche Euch allen,

Jan

Hallo Jan,

können eigentlich automatisiert Benutzeraccounts angelegt werden, ohne dass es eine Freigabe seitens des Viewer-Admins gibt?

Viele Grüße, Andreas

Hallo Andreas,

ich habe mich noch nicht vollständig durch die Kommunikation meiner Kollegen von gestern Nachmittag durchgearbeitet. So wie es aussieht konnte das Formular zum Erstellen eines Benutzeraccounts abgeschickt werden, auch wenn der Link in der Oberfläche nicht angezeigt wurde.

Danach ist aber noch eine Aktivierung des Benutzeraccounts über eine URL notwendig. Wenn Fake-Emailadressen genutzt werden und die in der versendeten Email enthaltene URL nicht aufgerufen wird, ist der Account nicht aktiv und man kann sich nicht anmelden. Er liegt nur in der Datenbank.

Aufgrund der vielen versuche Benutzeraccounts zu registrieren und der vielen Emails kann es aber zu Kollateralschäden, wie dem Blacklisten eines Mailservers kommen. Der viele Emailversand ist das, was auch im Monitoring angesprungen ist.

Viele Grüße,

Jan

Das kann ich bestätigen. Bei uns wird der Link zum Anlegen eines Nutzerkontos nicht direkt auf der Webseite angezeigt, trotzdem kamen seit Sonntag gegen 18 Uhr bis gestern Nacht über 400 e-mails zu Anmeldevorgängen, mehrheitlich von .comcast-Accounts.

Aber es ist doch technisch im Moment so, dass der Nutzer alleine durch das anklicken des Links in der an ihn geschickten e-mail ein Konto anlegen kann? Eine Freigabe seitens eines Goobi-Viewer Admins braucht es nicht?

Richtig. Eine Freigabe eines Goobi viewer Administrators wird nicht benötigt.

Prinzipiell ist das nicht weiter schlimm, da ein Nutzer nur per se durch seine Registrierung keine weiteren Rechte erlangt um zum Beispiel zugriffsgeschützte Werke zu betrachten. Er kann - sofern aktiv - Merklisten und Suchen speichern sowie Kommentare schreiben.

Ich muss mich aber noch genauer mit den Kollegen besprechen um hier wirklich mehr sagen zu können.

Wäre es sinnvoll, den Anmeldevorgang durch ein Captcha abzusichern? Das würde doch dann greifen, bevor irgendwelche e-mails genereriert werden?

Können angelegte Accounts eigentlich nur deaktiviert, nicht aber endgültig gelöscht werden?

Wäre es sinnvoll, den Anmeldevorgang durch ein Captcha abzusichern? Das würde doch dann greifen, bevor irgendwelche e-mails genereriert werden?

Ja, das ist sinnvoll. Im Prinzip gibt es hier ein ganzes Maßnahmenbündel. Wir sammeln und strukturieren gerade noch.

Können angelegte Accounts eigentlich nur deaktiviert, nicht aber endgültig gelöscht werden?

Stand heute ja. Das Löschen von Benutzeraccounts ist aber bereits beauftragt und befindet sich zur Zeit in der Entwicklung. Aller Voraussicht nach wird diese Entwicklung in das Release Ende Mai einfließen.

Update

tl;dr

Ein einschränkter QuickFix ist kurzfristig und schnell möglich.
Eine nachhaltige Lösung ist aktuell in der Entwicklung und wird in das anstehende Release 4.6.0 einfließen.

Was bisher geschah

Wir haben das Problem eingehend analysiert. Das Formular zum Anlegen von Benutzeraccounts wurde mehr oder weniger gleichzeitig in einer zweistelligen Anzahl verschiedener Goobi viewer Installationen automatisch mit der Registrierung einer vielzahl neuer Benutzeraccounts abgesendet.
Daraufhin zeigten sich in den verwendeten Mailservern längere Mailqueues weil die Emails für die Aktivierung nicht zugestellt werden konnten.
Wir haben daraufhin probiert die Benutzeranmeldung zu deaktivieren, mussten dann aber feststellen, dass der Schalter in der Konfigurationsdatei zwar visuell den gewünschten Erfolg bringt, in dem Seitenquelltext aber weiterhin das Formular enthalten war. Aus diesem Grund musste der Mailversand komplett deaktiviert werden.

Diesen Umstand haben wir gestern in den develop Branch behoben und gleichzeitig noch eine zusätzliche Abfrage in dem Java Stack selbst implementiert sowie die Entropie bei dem zufällig erzeugten Aktivierungslink erhöht:

• https://github.com/intranda/goobi-viewer-core/commit/6f025b6392c11ad61734ca9d5e9d26e485275ce4
• https://github.com/intranda/goobi-viewer-core/commit/170d0fa50e34fb108541b5ede00d3a8bae154fe8
• https://github.com/intranda/goobi-viewer-core/commit/e596c37780f30624953098825409efc330a70128
• https://github.com/intranda/goobi-viewer-core/commit/7a521d85a1d9dacf4d2e5e92a104f7e3359563e4

Mit diesen Bugfixes kann die Registrierung neuer Benutzeraccounts in der Konfigurationsdatei deaktiviert und die weiteren Funktionen die einen Mailversand benötigen weiter betrieben werden.
Vor allem der erste verlinkte Commit ist dafür notwendig. Dieser kann auf Goobi viewer Systemen selbst oder im Rahmen des Supports durch uns kurzfristig eingepflegt werden.

Wie es weiter geht

Das Deaktivieren der Benutzerregistrierung ist keine Lösung. Deswegen haben wir das Formular evaluiert und Vorschläge erarbeitet wie es in Zukunft gegen diese Art von Attacken abgesichert werden kann.
Eine Einrichtung aus der Community hat daraufhin kurzfristig die Übernahme der veranschlagten Aufwände für die Entwicklungen zugesagt. Das bedeutet für uns, dass wir das Release der Version 4.6.0 und die Veröffentlichung des Digests um wenige Tage nach hinten schieben werden, damit die neuen Entwicklungen zur Benutzerauthentifizierung noch mit aufgenommen werden können.

Hallo Jan,

es gibt ja Einrichtungen, bei denen die Generierung einer PDF nur nach Eingabe einer e-mail Adresse funktioniert. Der Nutzer erhält dann einen Downloadlink per e-mail. Ist diese Benachrichtigung im Moment aus den obigen Gründen ebenfalls deaktiviert?

Beste Grüße, Andreas

Ja. Der komplette Mailversand ist zur Zeit deaktiviert. Wir können das aber wie oben geschrieben kurzfristig wieder in Betrieb nehmen für deaktivierte Benutzerregistrierung. Parallel läuft gerade die Entwicklung der nachhaltigen Lösung.

Gibt es einen Zeitplan? Ich würde unseren viewer lieber auf die nachhaltige Lösung updaten, und dann erst die Funktionen wieder freigeben.

Ich hoffe, dass wir Übermorgen, also am Freitag, die Version 4.6.0 veröffentlichen können. Zur Zeit sieht es danach aus.

Update

Die Entwicklungen sind abgeschlossen und wurden erfolgreich getestet. Wir bereiten nun das Release vor.

Gute Nachrichten

Spielt Ihr das Update automatisch aus, oder braucht Ihr eine Beauftragung?

Wie installieren das Update nicht automatisch, da die Aufwände von Installation zu Installation unterschiedlich sind.

Mehr dazu im gerade frisch veröffentlichten Post zum Goobi viewer Digest für April 2020