Ganz Spaßbefreit: es gibt ja schon extra Kiosk-Konfiguration der Browser, die solche Sicherheitslücken verstecken (aber halt nicht wirklich helfen). @ulid000 @mschoe @fluepke
Bin jetzt kein #SPD-Experte und kenne auch die Software nicht, aber dafür gibt es eine banale Erklärung:
Es ist möglich Abstimmungen so zu konfigurieren, dass Teilnehmer:innen unterschiedliches Stimmengewicht haben. Wenn relevant, wird das der Nutzer:in auch angezeigt. Deswegen gibt es im Datenmodell ein Feld dafür.
Falls es sich um eine demokratische Partei handelt, haben alle das Gewicht 1.
@ratschkatl @j_j Das Preismodell für Stimmgewichtung ist auch cool: "Die Kosten betragen 1,75€ zzgl. MwSt. pro Stimm- bzw. Wahlberechtigten. " Echter Schnapper bei 365K Mitgliedern.
Immerhin, credit where credit is due, polyas hasht das (Einmal-)Passwort offenbar sogar, bevor der XHR zum Login über die Strippe geht. Sieht man auch nicht überall.
@christopherkunz hier ist einer der extrem seltenen Fällen wo das tatsächlich Sinn ergibt. In nahezu allen sonstigen Fällen gibt es dadurch keinen Sicherheitsgewinn.
Komisch finde ich aber, dass die Expiry des JWT auf die aktuelle Uhrzeit gesetzt wird bei Anmeldung. Danach wird der JWT mit einem /keepalive am Leben erhalten, wie ein klassischer Session Cookie. Das ist zwar kein Bug, aber schon ein bisschen schräg, weil unüblich und so nicht gedacht.
Weil dieser Toot vergleichsweise viel Reichweite erhalten hat, möchte ich meinen Shitpost mal erklären und etwas einordnen:
Bei der SPD entscheiden die Parteimitglieder:innen über die Zustimmung zum Koalitionsvertrag. Mitbestimmung, cool, Daumen hoch.
Für die Austragung dieses wichtigen Votums hat sich die Partei für ein Onlineverfahren mit Abstimmung im Browser entschieden und setzt dafür ein Produkt der POLYAS GmbH ein.
Ein persönlich adressierter Brief informiert die Stimmberechtigten über die Internetadresse (URL) der Abstimmungswebseite und enthält nebst einem persönlichen Passwort (80 Bit Entropie) eine Bedienungsanleitung.
Demnach wird für die Teilnahme auch die Mitgliedsnummer benötigt. Letztere fehlt in dem Brief. Gut so. Die Mitgliedsnummer ist durch Ausprobieren zwar erratbar, sie nicht abzudrucken erschwert dennoch den Missbrauch der Zugangsdaten, sollte der Brief im Internet landen.
Politische Wahlen reichen ebenso wie Wahlbetrug bis weit vor unsere Zeitrechnung zurück. Genug Zeit, Wahlen sicher zu bekommen. Nicht so beim E-Voting.
Der Screenshot oben ist durch Mitschneiden der Kommunikation meines Browser mit dem Backend entstanden. Dabei entdeckte ich eine bekannte und dokumentierte Funktion, jedoch keine Schwachstelle, in Polyas: Die Möglichkeit einzelnen Stimmberechtigten eine unterschiedliche Stimmgewichtung zuzuweisen.
I repeat: Das ist keine Schwachstelle und ich habe das weder angedeutet noch behauptet, aber meinen Shitposts fehlt halt leider oft der Kontext… Wie auch auf 500 Zeichen?
Warum ich trotzdem Bauchschmerzen wegen dieser Funktion habe: Woher weiß ich sicher, dass andere Stimmberechtigte nicht ein höherwertigeres Stimmrecht als ich haben?
me·ta·phil, der
Als Antwort auf Flüpke • • •Flüpke
Als Antwort auf Flüpke • • •Holger Hellinger
Als Antwort auf Flüpke • • •Ich leake mal die Multiplikatoren 🤡 - wobei es eigentlich nicht witzig ist.
hellinger.wtf/@holger/11434372…
Holger Hellinger
2025-04-15 19:51:54
DerSchulze
Als Antwort auf Flüpke • • •Markus
Als Antwort auf Flüpke • • •Arne Babenhauserheide
Als Antwort auf Markus • • •@mschoe Optimist ☺
@fluepke
Uli Deiters
Als Antwort auf Markus • • •Arne Babenhauserheide
Als Antwort auf Uli Deiters • • •Scholz am Telefon mit Alice und Bob vom Wahlteam: 😤📞👨👩
- „Oh nein, der Koalitionsvertrag könnte abgelehnt werden!“
- „Das ist ein Notfall! Drück den F12-Hacking-Key!“
- „Die anderen haben auch F12 auf der Tastatur! Wir sehen hundertmal so viele Stimmen, wie wir Mitglieder haben!“
- „Schickt die Polizei zu ihnen! Entfernt F12 aus ihren Tastaturen! Wenn sie sie nicht drücken können, können sie auch nicht hacken!“
- „Die rechte Maustaste auch?“
- „ALLE MAUSTASTEN!“ 🐁
@mschoe @fluepke
teilten dies erneut
Arne Babenhauserheide und FlippoFlip 🏴☠️ haben dies geteilt.
percolator25
Als Antwort auf Arne Babenhauserheide • • •Das erklärt, war der Chrome auf meinem MacBook immer abstürzt, wenn ich die Dev-Konsole aufrufe - Ich habe die SPD-Edition 😄
Arne Babenhauserheide
Als Antwort auf percolator25 • • •@percolator25 Klingt plausibel ☺
Ganz Spaßbefreit: es gibt ja schon extra Kiosk-Konfiguration der Browser, die solche Sicherheitslücken verstecken (aber halt nicht wirklich helfen).
@ulid000 @mschoe @fluepke
Jan
Als Antwort auf Flüpke • • •Bin jetzt kein #SPD-Experte und kenne auch die Software nicht, aber dafür gibt es eine banale Erklärung:
Es ist möglich Abstimmungen so zu konfigurieren, dass Teilnehmer:innen unterschiedliches Stimmengewicht haben. Wenn relevant, wird das der Nutzer:in auch angezeigt. Deswegen gibt es im Datenmodell ein Feld dafür.
Falls es sich um eine demokratische Partei handelt, haben alle das Gewicht 1.
Ratschkatl
Als Antwort auf Jan • • •Stimmgewichtung einrichten - POLYAS Hilfecenter
POLYAS HilfecenterDr. Christopher Kunz
Als Antwort auf Ratschkatl • • •Dr. Christopher Kunz
Als Antwort auf Flüpke • • •Flüpke
Als Antwort auf Dr. Christopher Kunz • • •@christopherkunz hier ist einer der extrem seltenen Fällen wo das tatsächlich Sinn ergibt. In nahezu allen sonstigen Fällen gibt es dadurch keinen Sicherheitsgewinn.
Komisch finde ich aber, dass die Expiry des JWT auf die aktuelle Uhrzeit gesetzt wird bei Anmeldung. Danach wird der JWT mit einem /keepalive am Leben erhalten, wie ein klassischer Session Cookie. Das ist zwar kein Bug, aber schon ein bisschen schräg, weil unüblich und so nicht gedacht.
Flüpke
Als Antwort auf Flüpke • • •Weil dieser Toot vergleichsweise viel Reichweite erhalten hat, möchte ich meinen Shitpost mal erklären und etwas einordnen:
Bei der SPD entscheiden die Parteimitglieder:innen über die Zustimmung zum Koalitionsvertrag. Mitbestimmung, cool, Daumen hoch.
Für die Austragung dieses wichtigen Votums hat sich die Partei für ein Onlineverfahren mit Abstimmung im Browser entschieden und setzt dafür ein Produkt der POLYAS GmbH ein.
Flüpke
Als Antwort auf Flüpke • • •Ein persönlich adressierter Brief informiert die Stimmberechtigten über die Internetadresse (URL) der Abstimmungswebseite und enthält nebst einem persönlichen Passwort (80 Bit Entropie) eine Bedienungsanleitung.
Demnach wird für die Teilnahme auch die Mitgliedsnummer benötigt. Letztere fehlt in dem Brief. Gut so. Die Mitgliedsnummer ist durch Ausprobieren zwar erratbar, sie nicht abzudrucken erschwert dennoch den Missbrauch der Zugangsdaten, sollte der Brief im Internet landen.
Flüpke
Als Antwort auf Flüpke • • •Im Schreiben wird zur Geheimhaltung der URL aufgefordert. Die URL enthält keine personenbezogenen Daten.
Vermutlich hat die Partei Angst vor Hackern oder Sabotage, nutzt trotzdem E-Voting und glaubt vielleicht sogar sich damit zu schützen? Fail.
Das Passwort muss geheim bleiben, aber kein Hinweis dazu. Fail.
Der Brief ist von außen eindeutig als Einladung zum Mitgliedervotum zu erkennen. Fail.
Noch dazu enthält der Brief kein Nummernmeer zum Schutz des Passworts gegen Durchleuchten. Fail.
Flüpke
Als Antwort auf Flüpke • • •Politische Wahlen reichen ebenso wie Wahlbetrug bis weit vor unsere Zeitrechnung zurück. Genug Zeit, Wahlen sicher zu bekommen. Nicht so beim E-Voting.
Der Screenshot oben ist durch Mitschneiden der Kommunikation meines Browser mit dem Backend entstanden. Dabei entdeckte ich eine bekannte und dokumentierte Funktion, jedoch keine Schwachstelle, in Polyas: Die Möglichkeit einzelnen Stimmberechtigten eine unterschiedliche Stimmgewichtung zuzuweisen.
Flüpke
Als Antwort auf Flüpke • • •I repeat: Das ist keine Schwachstelle und ich habe das weder angedeutet noch behauptet, aber meinen Shitposts fehlt halt leider oft der Kontext… Wie auch auf 500 Zeichen?
Warum ich trotzdem Bauchschmerzen wegen dieser Funktion habe: Woher weiß ich sicher, dass andere Stimmberechtigte nicht ein höherwertigeres Stimmrecht als ich haben?