Gravierendes Sicherheitsproblem

[retrojaeger]

Hallo

Ein Kollege hat einen kleinen Bericht verfasst für unser Forum und ich wollte den auf Facebook teilen.
Hab ich auch getan. Ich hab den Link kopiert und bei Facebook eingefügt.
Ein anderer Kollege hat mich, zum Glück, Sekunden später darauf aufmerksam gemacht, das ich durch das teilen des links auch quasi mein kompletten Account geteilt habe, sprich jeder der den Link angeklickt hat, war mit meinem Account angemeldet. Er hat auf ausloggen geklickt und schlimmeres unterbunden.
Wie kann denn bitte sowas passieren?

Muss der Link nicht "versteckt", "verschlüsselt" oder was weis ich nicht wie gesichert sein.
Ist das eine Einstellungssache?

www.bit-nation.de

[Joyce&Luna]

Kann es sein, das du noch eingeloggt in deinem Forum warst, denn dann ist das verhalten beim Link anklicken normal.

Teste es doch bitte noch einmal und logge dich aus deinem Forum vorher aus.

Anke

[retrojaeger]

Ja ich war eingeloggt aber ist das im Endeffekt nicht egal?
Das sind doch meine "Browsereinstellungen"
Wie kann das sein, dass allein ein Link quasi alles kopiert?

Wenn ich z.B. diesen Link hier kopiere, kopiert der doch auch nicht alles sondern nur den "Link"


Ich hab jetzt willkürlich einen Link genommen

viewtopic.php?f=86&t=234035

[Joyce&Luna]

Dann ist es doch völlig normal wenn du ein Link zu deinem Forum setzt und du eingeloggt bist.

Test es doch ganz einfach, logge dich aus und setze ein Link bei Facebook von deinem Forum und du wirst sehen du wirst den Beitrag nur als Gast sehen.
Es sei denn du nimmst einen Link den normal kein Gast sehen kann, dann bekommst du die Anmeldemaske.

Ich glaube du hast momentan einen kleinen Denkfehler

Anke

Edit:
Logge dich hier aus und dann klicke den Link an den du hinein gesetzt hast. Dann siehst du den Beitrag zwar, aber du bist nicht automatisch eingeloggt.

[Lehrling]

Das kann eigentlich nicht sein. Hast du vielleicht irgendwelche Mods verbaut, die für dieses Verhalten verantwortlich sein könnten?

[retrojaeger]

sorry doppelpost

[retrojaeger]

Dann ist es doch völlig normal wenn du ein Link zu deinem Forum setzt und du eingeloggt bist.

Nein eben das ist NICHT normal.
In keinem anderen Forum ist das so, egal ob ich angemeldet bin oder nicht.

Test es doch ganz einfach, logge dich aus und setze ein Link bei Facebook von deinem Forum und du wirst sehen du wirst den Beitrag nur als Gast sehen.

Ich brauch es nicht zu testen Ich weis das es, wenn ich ausgeloggt bin, so ist wie es sein sollte

Es sei denn du nimmst einen Link den normal kein Gast sehen kann, dann bekommst du die Anmeldemaske.

Auch nicht im Sinne des Erfinders, möchte das Forum ja niemanden aufzwingen nur um Berichte zu lesen. Die Leute sollen es doch selbst entscheiden ob eine Anmeldung stattfinden soll oder nicht.

Ich glaube du hast momentan einen kleinen Denkfehler

Anke

Edit:
Logge dich hier aus und dann klicke den Link an den du hinein gesetzt hast. Dann siehst du den Beitrag zwar, aber du bist nicht automatisch eingeloggt.

Ich weis nicht ob wir einander vorbeischreiben aber in den Foren wo ich bisher unterwegs war, egal wo, war es nicht so das gleich der komplette Account mitgeschickt wurde allein mit einem Link.
Der Link den ich hier verschickt habe, hat doch auch nicht meinen kompletten Account mitkopiert oder sehe ich das anders?
Warst Du plötzlich mit meinem Account drin nachdem Du den Link angeklickt hast?

Das kann eigentlich nicht sein. Hast du vielleicht irgendwelche Mods verbaut, die für dieses Verhalten verantwortlich sein könnten?

Soweit bin ich noch gar nicht mit Mods installieren etc. ^^
Da muss ich mich noch reinfuchsen und dementsprechend kann es nicht daran liegen

[Pfiffy]

Und wie das normal ist. phpBB hat auf deinem Rechner ein Cookie gesetzt beim Einloggen.

Du loggst dich nicht aus, das Cookie ist vorhanden.

Du klickst auf einen Link, der irgendwo außerhalb deines phpBB gespeichert ist -> und du bist wieder da, wo der Link hin geht.

Absolut logisch.

Loggst du dich vor dem Anklicken des Links aus, dann musst du dich nach dem Anklicken des Links auch wieder einloggen!

Grücce
Pfiffy

[SeewolfPK]

@retrojaeger: Das Verhalten eines Links, den du schilderst, habe ich noch nie gehabt.
Bin in mehreren Foren und erstelle meine Wohnmobil-Reiseberichte mittels dieser Forensoftware, da sie sehr gut anpassungsfähig ist.

Ich glaube auch, das da ein Denkfehler vorliegt. Jeder der im Forum eingeloggt ist, wird beim klicken auf den Link mit seinem Account im Forum sein.
Als Fremder werde ich bestimmt nicht mit deinem Account in dein Forum kommen.

Ich will das gerne mal testen. Schicke mir einen Link per Mail, den du aus deinem Forum eingeloggt kopierst.
Dann kann ich dir anschließend sagen ob ich als Gast oder mit deinem Account im Forum bin.
Letzteres glaube ich überhaupt nicht.

[retrojaeger]

Und wie das normal ist. phpBB hat auf deinem Rechner ein Cookie gesetzt beim Einloggen.

Du loggst dich nicht aus, das Cookie ist vorhanden.

Du klickst auf einen Link, der irgendwo außerhalb deines phpBB gespeichert ist -> und du bist wieder da, wo der Link hin geht.

Absolut logisch.

Loggst du dich vor dem Anklicken des Links aus, dann musst du dich nach dem Anklicken des Links auch wieder einloggen!

Grücce
Pfiffy

Richtig ein Cookie auf MEINEM Rechner. Ich glaub wir verstehen uns nicht ganz.

Ich hab den Link einem anderen geschickt und er war auf SEINEM Rechner auf einmal mit MEINEM Account drin

@retrojaeger: Das Verhalten eines Links, den du schilderst, habe ich noch nie gehabt.
Bin in mehreren Foren und erstelle meine Wohnmobil-Reiseberichte mittels dieser Forensoftware, da sie sehr gut anpassungsfähig ist.

Ich glaube auch, das da ein Denkfehler vorliegt. Jeder der im Forum eingeloggt ist, wird beim klicken auf den Link mit seinem Account im Forum sein.
Als Fremder werde ich bestimmt nicht mit deinem Account in dein Forum kommen.

Ich will das gerne mal testen. Schicke mir einen Link per Mail, den du aus deinem Forum eingeloggt kopierst.
Dann kann ich dir anschließend sagen ob ich als Gast oder mit deinem Account im Forum bin.
Letzteres glaube ich überhaupt nicht.

Das ist das Problem was ich habe. Ich sende einen Link und entweder er wird dann mit seinen Daten den Thread öffnen wenn die Person dort in dem Forum einen Account hat oder eben als Gast aber doch nicht mit meinem Account.

Nimms mir nicht übel wenn ich keinen direkten Link versenden möchte.
Ich kann aber den Link etwas bearbeiten dann kann man ca sehen wie das aussieht.

http://orter.iphpbb3.com/forum/94563276 ... ?sid=VIELE BUCHSTABEN UND ZAHLEN

Kann es sein, dass er mein "Sicherheitstoken" oder wie das heisst mit kopiert und die Leute deswegen den Zugriff haben??