Schlagwort: Sicherheit

DISCORD: Vorsicht vor trügerischer Sicherheit

DISCORD: Vorsicht vor trügerischer Sicherheit

Im Kommunikationstool Discord hat bekanntlich ein sehr komplexes Rollen – und Rechtesystem.
So kann man bestimmten Rollen gestatten Sprachkanäle zu nutzen, Nachrichten zu lesen oder zu schreiben. Alles funktioniert auf den ersten Blick auch sehr gut. Doch es vermittelt eine trügerische Sicherheit,.

Denn es ist auch möglich gewisse Kanäle vermeintlich komplett vor der Öffentlichkeit zu verstecken und diese nur für gewisse Gruppen sichtbar zu machen. Doch Vorsicht, denn dem ist nicht so. Dies funktioniert für den normalen Client wunderbar, doch es ist möglich diese Kanäle durch modifizierte Clients sichtbar zu machen.
Diese Clients können den Namen bis hin zum Thema des Kanals auslesen. Ebenso zeigen sie an, welche Gruppen oder individuelle Nutzer Zugriff auf diese Kanäle haben.
Nur der Inhalt der Kanäle kann meines Wissens bislang nicht ausgelesen werden.

Solltet ihr also solche versteckten Kanäle nutzen, achtet darauf, dass weder im Thema noch im Namen des Kanals Informationen enthalten sind, die nicht für die Öffentlichkeit bestimmt sind.

Doch warum funktioniert das überhaupt?

Das liegt an der Art und Weise, wie das Rechtesystem von Discord arbeitet. Die Einstellungen der Sichtbarkeit der Kanäle werden im Gegensatz zu den Inhalten nicht von den Discord Servern betreut. Vermutlich um Ressourcen zu sparen.
Die API sendet also alle Kanäle eines Servers inklusive Namen und deren Berechtigungen an den Client und dieser entscheidet dann auf Basis dieser Daten, was er wem anzeigen darf. Das macht der normale Client auch sehr ordentlich, aber alles was über eine API gesendet wird, kann auch ausgelesen werden. Genau das macht der besagte, modifizierte Client.

Auch wenn das Modifizieren des Clients gegen die Discord Nutzungsbestimmungen verstößt, ist es nur sehr schwer bis gar nicht nachzuweisen.
Also empfiehlt es sich als Serverbesitzer darauf zu achten, welche Informationen man an welcher Stelle veröffentlicht und keine „geheimen“ Dinge in den Namen oder das Thema des Kanals schreibt.

Archive

Kategorien