ThWboard Support-Forum (Archiv)

Ort: / Boardübersicht / Archiv / [fixed] 2.84 Session-ids werden nicht überprüft?


Seite 1 von 2 – nächste Seite >>

Medivh schrieb am 09.01.2004 um 16:20 Uhr

Folgender Sachverhalt:

User A ist mit seinem Account eingeloggt, und schickt User B, der ebenfalls eingeloggt ist, über IRC/ICQ etc. einen Link, in dem die Session ID enthalten ist.
Wenn User B diesen jetzt anklickt, ist er mit dem Account von User A eingeloggt.

Beide User haben total unterschiedliche IPs! (213.23.26.xxx und 212.202.49.xxx).
Wenn allerdings ein Gast auf den Link klickt, kommt die richtige Meldung, dass die IP nicht zur Session ID passt.

Für mich ist das ein Bug, den man gut und gerne in die Kategorie "critical" einordnen kann. Gibt es dafür schon einen Fix?

Luki schrieb am 09.01.2004 um 17:32 Uhr

ich teste das mit TheDon zusammen mal aus!!

[Party-Worms] Jürgen schrieb am 09.01.2004 um 17:48 Uhr

die session is immernoch unsicher auch wenns keiner wahrhaben will ...
// edit by Lukas -> wegen dem 24 bit Check meint er!

Luki schrieb am 09.01.2004 um 20:56 Uhr

Sorry, bestätigt - wird hoffentlich sofort gefixt!! - ist ein Problem mit Cookies!

@Jürgen!!!
Du spielst hier sicher darauf an, das es nicht sicher genug ist, die ersten 24 bit zu prüfen.

1.) Gibt es etwas eine noch bessere Lösung deiner Meinung nach - wenn ja welche?
2.) alle anderen Boardsysteme machen das so!!
3.) wenn du in einem Netzwerk per ICQ eine URL hin und her sendest wird es überall Probleme geben, weil man nach aussen alle dieselbe IP haben... ohne Cookies Support läuft da nichts! - probiers aus, bei: freemail.web.de bei yahoo, bei anderen Boardsystemen... - das ist die sicherste Lösung! - es seiden Du weisst es besser!

[Party-Worms] Jürgen schrieb am 09.01.2004 um 23:36 Uhr

na hauptsache du weisst es

fingers schrieb am 10.01.2004 um 05:27 Uhr

the header.inc.php cvs version had no been updated up to the time of this posting-- only the download archive

theDon schrieb am 10.01.2004 um 13:09 Uhr

inc/header.inc.php version 1.46, Fri Jan 9 20:21:05 2004 UTC

http://cvs.sourceforge.net/viewcvs.py/thwb/thwb/inc/header.inc.php?r1=1.45&r2=1.46

Luki schrieb am 10.01.2004 um 13:33 Uhr

[Party-Worms] Jürgen postete
na hauptsache du weisst es

Sorry, ich wollte nicht persönlich werden, aber nach der Arbeit die alle sowohl die Coder als auch Ich hatten - ärger ich mich einfach über solch undankbare Kommentare - es gibt soviele hier die sich Mühe geben! - Verzeih's!

btw. ich weiss es nicht besser, aber ich wusste eine gute Lösung für unser Session / IP Problem was wir hatten! - was ausschlaggebend war, das das THWB 2.84 endlich released wurde!

Medivh schrieb am 10.01.2004 um 16:25 Uhr

Hui, das ging ja schnell.
Werde das neue Header File gleich mal einspielen.

Vielen Dank für die prompte Reaktion!

Luki schrieb am 10.01.2004 um 17:00 Uhr

hehe, ich dachte zwar solch schnell Reaktionen seien nicht mehr typisch für's THWB aber das spricht doch für sich, oder =)

[Party-Worms] Jürgen schrieb am 10.01.2004 um 19:18 Uhr

ich habe auch nie behauptet das es schlechte arbeit ist, ich wollte nur anmerken das es nochmal zu überdenken ist weil es halt ein sicherheitslücke ist, auch wenns klein uns spezifisch ist.

werde die tage mal nen performance fix schicken wenn ich ihn fertig getestet habe.

Bleeding Rose schrieb am 02.02.2004 um 13:51 Uhr

also ich habe jetzt erst frisch das update gemacht, so dass ich ja die neue header.inc haben sollte, alelrdings gehen die styles bei mir trotzdem nicht.

theDon schrieb am 02.02.2004 um 16:44 Uhr

beachte bitte den teil mit den permission, die für templates/styles/ und die *.css darin gesetzt werden müssen. dann ins admincenter gehen und die styles editieren, damit die geschrieben werden.

Bleeding Rose schrieb am 02.02.2004 um 20:15 Uhr

also die rechte sind definitiv gesetzt. wie meinst du das mit dem editieren der styles? muss ich irgendwas abändern oder geht es nur darum, dass die neu gespeichert werden?

Bleeding Rose schrieb am 02.02.2004 um 20:18 Uhr

hat sich erldeigt, jetzt geht es

Beater schrieb am 03.02.2004 um 04:11 Uhr

ich muss ehrlich sagen.. wer seine session-id weitergibt gehoert einfach erschossen.. kann ich gleich mein user/pass weitergeben.

MrNase schrieb am 03.02.2004 um 07:37 Uhr

Erzähl das mal den Anfängern, die ihr Passwort weitergeben ;)
Man kann es halt nicht verhindern :(

erhard schrieb am 14.02.2004 um 01:12 Uhr

Hallöchen zusammen, komme gerade von unserem Stammtisch und habe da etwas gesagt bekommen was mir sehr zu denken gibt. Folgende Situation: ich habe unser Forum so eingerichtet das ein neuer User erstmal in die Standard Gruppe reinkommt und keine Profile von anderen Stammmitgliedern einsehen kann. Heute abend kommt ein neuer USer und behauptet das er von seinem Geschäfts - Pc alle Userprofile einsehen kann, auch ohne eingeloggt zu sein !!!! Dazu hat er einen Ausdruck gemacht und mir gezeigt. Ich war ehrlich gesagt sprachlos. Bei seinem PC daheim behauptet er, müsse er sich einloggen und kann auch die Userprofile nicht sehen, weil er in der Standard Gruppe drinnen ist. Wie kann das sein !!!! Hätte ich nicht gesehen das er die NAmen und Telefonnummern aufgeschrieben hat, würde ich es nicht glauben. Was ist das für ein Bug ? Ich verstehs nicht. Unsere Adresse: www.freiburger-biker.de/thwb

Ich hänge sehr an dem THWB aber werde wohl bald umsteigen auf ein anderes Forum wenn diese Bugs nicht ausgemerzt werden können.

Gruss und mit der Bitte um baldige Hilfe Erhard

Forum 2.81

Lars007 schrieb am 14.02.2004 um 10:19 Uhr

Ich kann Profile auch sehen, wenn ich die URL direkt eingebe:

http://www.freiburger-biker.de/thwb/v_profile.php?userid=1

Du müsstest in die v_profile.php unter

[CODE]include "./inc/header.inc.php";[/CODE]

folgendes einfügen:

[CODE]if( $g_user['groupids'] == 2)
{
message("Keine Berechtigung", "Gäste dürfen die Profile nicht betrachten");
}[/CODE]

Die 2 dürfte die UserID für die Gästegroup sein.

erhard schrieb am 14.02.2004 um 16:23 Uhr

Hi Lars, vielen Dank für den Hinweis. Hab das jetzt gleich geändert. Und es funktioniert. Die andere Sache das er über sein Geschäfts-PC trotzdem alles sehen kann ist für mich nicht nachvollziehbar. Hab mal alle Einstellungen durchprobiert. Auch über den Router (DSL) mal alle Ports geöffnet etc...ich schaffe es nicht. Aber glauben muss ich es ihm wohl. Naja...ich schau mal weiter..
Gruss und ein schönes Wochenende noch..

Erhard

chris2000 schrieb am 07.03.2004 um 14:11 Uhr

Nur mal aus Interesse....

Prüft ihr also bei jeder Session, ob die IP dazu passt? Was ist, wenn ein Benutzer einen Proxy oder sogar einen Zwangsproxy bzw. "transparenten Proxy" einer Schule, Uni oder Provider (Freenet, AOL?) benutzt? Da kann sich doch durchaus *während* einer Session mal die IP ändern. Hat der dann einfach Pech gehabt? Wie ist das bei anderen PHP-Scripts?

theDon schrieb am 07.03.2004 um 17:04 Uhr

read teh changelog

._°

chris2000 schrieb am 07.03.2004 um 17:20 Uhr

theDon postete
read teh changelog

Achso die werden nur aus Links entfernt und der Timeout lässt sich umstellen. oK.

theDon schrieb am 07.03.2004 um 18:41 Uhr

da steht auch was drin von wegen ip.

che schrieb am 15.03.2004 um 19:37 Uhr

theDon postete
read teh changelog

._°

was bitte ist teh changelog?

Seite 1 von 2 – nächste Seite >>