Hallo,
User verlinken immer wieder auf ein anderes Forum indem sie die Url einfach kopieren und posten.
Wenn nun einer keine Cookies erlaubt, enthält die Url die SessionID des Users. Folgt nun ein anderer User, der ebenfalls keine Cookies erlaubt
diesem Link, übernimmt er dadurch die Session des Posters und somit auch seine Identität und kann vor allem dessen Profil ändern. Zumindest solange diese Session aktiv ist.
Ist dieses Sicherheitsproblem bekannt ? Habe zumindest nichts ergoogelt und auch hier nichts finden können.
Abhilfen könnte man dem ganzen indem man aus den geposteten Url`s die Session mit regexp wieder rausnimmt, als Beispiel. Aber vieleicht existiert bereits ein Hack ?
Schöne Grüsse
Christine
Session im geposteten Link -> Sicherheitsproblem !
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Re: Session im geposteten Link -> Sicherheitsproblem !
Ist natürlich bekannt, das sind eben die nachteile von HTTP und kaputten usern die Cookies nich erlauben. Ab phpBB-2.0.4 sollte die IP überprüfung sowas aber verhindern.christineF hat geschrieben:Hallo,
User verlinken immer wieder auf ein anderes Forum indem sie die Url einfach kopieren und posten.
Wenn nun einer keine Cookies erlaubt, enthält die Url die SessionID des Users. Folgt nun ein anderer User, der ebenfalls keine Cookies erlaubt
diesem Link, übernimmt er dadurch die Session des Posters und somit auch seine Identität und kann vor allem dessen Profil ändern. Zumindest solange diese Session aktiv ist.
Ist dieses Sicherheitsproblem bekannt ? Habe zumindest nichts ergoogelt und auch hier nichts finden können.
Jap das wäre sinnvoll, nein mir is kein mod bekannt das dies macht.christineF hat geschrieben: Abhilfen könnte man dem ganzen indem man aus den geposteten Url`s die Session mit regexp wieder rausnimmt, als Beispiel. Aber vieleicht existiert bereits ein Hack ?
Jens
