autologin abschalten

[yks]

hallo,

hm, habe mich gerade durch ein paar threads gewühlt und habe das gefühl es fehlen noch einige infos...
aber daher würde mich nun mal interessieren, wie man den autologin abschalten kann.

was muß man wo ändern ?
nur in einer datei ? oder nur in der db ?

danke + viele grüße, yks

[Dave]

wieso willste das abschalten?

[yks]

hallo,

@ dave
aus sicherheitsgründen - zumindest bis ich überblicke, ob es nötig ist oder nicht.
hm, wenn du es weißt, wäre es auch nett, wenn du es posten würdest

vielleicht kann auch sonst noch jemand etwas dazu sagen ?
es waren vor einigen tagen einige links aktuell, die sich auch auf das autologin bezogen.

oder ist mit 2.0.13 das problem gelöst ?
mir nicht sicher bin, da ich woanders noch eine andere beschreibung fand (raussuchen kann, wenn nötig)

viele grüße, yks

[shwepsi]

mit autologin ist eigentlich nur ein Problem wenn mehrere User an einem PC gehen ... Internetkaffee ....
allerdings tritt das Problem auch auf wenn sich jemand innerhalb von 1 Stunde nach dem Login der vorhergehenden Seite auf die Seite bewegt...
login gilt nach dem letzten Session update (durch Seiten aufruf) eine Stunde
(3600 Sekunden, im ACP, kann man runtersetzen, aber werte unter 900 sind ... ungeschickt.... sehr ungeschickt ... 1800 wäre vielleicht sind eine halbe Stunde)
das autologin loggt sich halt dann alleine ein, aber das ist ansich auch kein großes Risiko ... da im Cookie steht welche Seiten darauf zugreifen dürfen
und nicht auf der Internetseite welche Cookies sie haben will

[yks]

nein, dieses problem meine ich nicht.
geht mir um autologin + cookies ändern + andere rechte

[FatFreddy]

Vermutlich bezieht sich yks auf Diskussionen in anderen Boards. Demnach ist PHPBB durch ein gefaktes Cookie angreifbar. Soweit ich mich erinnere, ist dabei das Autologin die entscheidende Lücke.

Das Thema wird auch hier gerade behandelt.

FatFreddy

[yks]

danke freddy, genau das und die weiterführenden links meinte ich.

hm, wundere mich etwas, daß außer einer frage, warum ich es wissen will, nichts mehr dazu geschrieben wird...

[Christian_W]

http://www.phpbb.de/viewtopic.php?p=461649#461649

Gruß Christian

[yks]

danke christian :) *fand den letzten link nicht mehr*

meine frage ging in die richtung, ob demnach das update auf 2.0.13 mit == ändern auf === das gleiche bewirkt wie :

The fix is quite simple, add $userdata['user_level'] = USER; after every $userdata['user_id']= ANONYMOUS; in session.php.

in diesem teil der sessions.php

if ( $user_id != ANONYMOUS )
{
$auto_login_key = $userdata['user_password'];

if ( $auto_create )
{
if ( isset($sessiondata['autologinid']) && $userdata['user_active'] )
{
// We have to login automagically
if( $sessiondata['autologinid'] === $auto_login_key )
{
// autologinid matches password
$login = 1;
$enable_autologin = 1;
}
else
{
// No match; don't login, set as anonymous user
$login = 0;
$enable_autologin = 0;
$user_id = $userdata['user_id'] = ANONYMOUS;
}
}
else
{
// Autologin is not set. Don't login, set as anonymous user
$login = 0;
$enable_autologin = 0;
$user_id = $userdata['user_id'] = ANONYMOUS;
}
}
else
{
$login = 1;
}
}
else
{
$login = 0;
$enable_autologin = 0;
}

sorry, aber da fehlten mir einfach die php-kenntnisse, um zu erkennen, ob das das gleiche ist oder nicht.

denke mal es ist so *hoff* - dann vielen dank :))

viele grüße, yks

[Christian_W]

danke christian *fand den letzten link nicht mehr*

meine frage ging in die richtung, ob demnach das update auf 2.0.13 mit == ändern auf === das gleiche bewirkt wie :

The fix is quite simple, add $userdata['user_level'] = USER; after every $userdata['user_id']= ANONYMOUS; in session.php.

in diesem teil der sessions.php

Nein, das hat nichts miteinander zu tun.
Wenn Du sichergehen willst, mach am besten die Änderung aus der CVS.

Gruß Christian