Geposteter Link mit SessionID: Click ändert Userindentität!?

Probleme bei der regulären Arbeiten mit phpBB, Fragen zu Vorgehensweisen oder Funktionsweise sowie sonstige Fragen zu phpBB im Allgemeinen.
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Antworten
likeatim
Mitglied
Beiträge: 28
Registriert: 26.05.2003 11:48

Geposteter Link mit SessionID: Click ändert Userindentität!?

Beitrag von likeatim »

Hi,

ich habe ein seltsames Problem. Ich benutzte phpBB 2.06 mit spärlichen Modifikationen.
  • User1 postet einen Link zu einem anderen Beitrag in unserem Board inklusive der Session-ID
  • User2 klickt auf diesen Link, um auf den geposteten Beitrag zu antworten.
  • Dann erscheint als Benutzer, der geantwortet hat, User1 !!
Es scheint mir ein Problem mit den Session-ID's zu sein (den Beitrag in der Knowledge Base des phpBB habe ich schon gefunden).
Ich habe auch meine Cookie-Settings angepasst
cookie domain = .yourdomain.com (notice the 2 dots!)
cookie name = something_unique_to_you
cookie path = /forums_addy/ (eg /phpBB/ for phpbb.com)
es hilft aber nicht.

Jetzt wollte ich per Wortzensur alle Session-ID's rausschmeissen.
Original Link (z.B.)

Code: Alles auswählen

http://domain.de/board/viewtopic.php?p=20865&sid=84fec2795f340e5232d82b07fe45f8ac#20865
Mein Eintrag in der Wortzensur

Code: Alles auswählen

*sid=*
replace with
REMOVED
Aber dann kommt das raus:

Code: Alles auswählen

http://domain.de/board/viewtopic.php?p=20865&sidREMOVED=84fec2795f340e5232d82b07fe45f8ac#20865
Meine Fragen:
  1. Hat sonst noch jemand dieses Problem?
  2. Gibt es eine gescheite Lösung?
  3. Wie werde ich die sid im Beitrag per Wortzensur los?
Danke für jede Hilfe!
Nach oben
Benutzeravatar
itst
Ehrenadmin
Beiträge: 7418
Registriert: 21.08.2001 02:00
Wohnort: Büttelborn bei Darmstadt
Kontaktdaten:
Kontaktdaten von itst

Beitrag von itst »

Ich kann dieses Problem nicht nachvollziehen, stecke allerdings auch nicht im Session-Code von phpBB.

Wie hoch ist denn die Session-Lebensdauer bei Dir im Forum?
Sascha A. Carlin,
phpBB.de Ehrenadministrator :o
Nach oben
Morrofighter
Mitglied
Beiträge: 8
Registriert: 05.10.2003 14:50

Beitrag von Morrofighter »

Ehm... Warum postet denn überhaupt einer schlauerweise seine Session Id?
Meine Signatur war zu groß und wurde deshalb gelöscht - Siehe Der kleine phpBB.de Knigge
Nach oben
Gast

Beitrag von Gast »

Lebensdauer der Session-ID ist 3600 Sekunden (standard einstellung).
Die Session ID wurde mitgepostet, weil er einen Beitrag aus dem Board verlinken wollte, in dem er gerade war und die Adresse aus der Adresszeile des IE kopiert hatte.
Nach oben
PhilippK
Vorstand
Vorstand
Beiträge: 14662
Registriert: 13.08.2002 14:10
Wohnort: Stuttgart
Kontaktdaten:
Kontaktdaten von PhilippK

Beitrag von PhilippK »

Das Problem ist folgendes: wird die Session-ID gepostet, so kann der andere durch einen Klick auf den Beitrag genau die Session des postenden Users übernehmen. Dadurch bekommt der andere User die ID des ersten.
Einen Ansatz zur Lösung des Problems gab es in der Version 2.0.4, der hatte allerdings vor allem bei AOL-Usern zu Problemen geführt.

Was du dagegen machen kannst:
1.: weise deine Benutzer darauf hin, dass sie die Session-ID nicht posten sollten. Dies ist vor allem für die Admins und Moderatoren wichtig.
2.: prüfe die Einstellungen für die Cookies. Wenn die Cookies bei deinen Usern akzeptiert werden, so erscheint auch keine Session-ID in der Adresszeile.

Gruß, Philipp
Kein Support per PN!
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods
Nach oben
Antworten

Zurück zu „phpBB 2.0: Administration, Benutzung und Betrieb“