Der 2FA Bug ist böse - kein
Tokenabfrage, wenn die Sitzung ausgelaufen ist. Nur kann man sich halt zum Login mit einer nicht existierenden Phantasie-SessionID begeben und Nextcloud glaubt, dass kein 2FA nötig sei.
Die Passwörter beziehen sich zum Glück eher auf Spezialfälle, wenn User externen Speicher einrichten. IIRC muss ein Admin es auch überhaupt erst erlauben, dass User externe Speicher anbinden dürfen? So wie ich es verstehe, muss dazu ein Angreifer Zugriff auf meine aktive Session haben und dann einen Speicher auf seinem Server mit meiner Usersession einbinden. Also entweder XSS, CSRF oder ich hab vergessen mich auszuloggen oder physischer Zugriff auf mein Gerät. Die ersteren beiden benötigen weitere Lücken, mit physischem Zugriff auf mein Gerät kann er noch mehr anstellen.
Der 2FA Bug ist böse - kein Tokenabfrage, wenn die Sitzung ausgelaufen ist. Nur kann man sich halt zum Login mit einer nicht existierenden Phantasie-SessionID begeben und Nextcloud glaubt, dass kein 2FA nötig sei.
Die Passwörter beziehen sich zum Glück eher auf Spezialfälle, wenn User externen Speicher einrichten. IIRC muss ein Admin es auch überhaupt erst erlauben, dass User externe Speicher anbinden dürfen? So wie ich es verstehe, muss dazu ein Angreifer Zugriff auf meine aktive Session haben und dann einen Speicher auf seinem Server mit meiner Usersession einbinden. Also entweder XSS, CSRF oder ich hab vergessen mich auszuloggen oder physischer Zugriff auf mein Gerät. Die ersteren beiden benötigen weitere Lücken, mit physischem Zugriff auf mein Gerät kann er noch mehr anstellen.
Externen Speicher hab ich halt auch eingebunden lol