Frage an Profis: aus SID Passwort bekommen?

ch.baumi · Beitrag von **ch.baumi** » 21.08.2005 16:45

Ich habe ein pikantes Problem.

Und zwar wurden bei einem Forum, dass ich administriere, gemeldet dass ein User einen Link mit seinem Session-ID weitergegeben hat. Und es geschah Folgendes:

Heute zu Mittag hat eine Person von dießem Account aus viele neue Threads eröffnet!

Daraufhin wurde ich hingewiesen, dass dieß durch die Session-ID (SID) passiert ist.

Ich kann mir dass aber schlecht vorstellen, einige Nutzer meinten aber in der SID sei dass Passwort drinnen verschlüsselt.

Bitte um Hilfe!

lg
ch.baumi

Beitrag von **Dennis63** » 21.08.2005 16:53

Mit der SID wirst Du eingeloggt. Wenn Du die SID weiter gibst, gibst du auch deinen Login-Status weiter. Jeder, der die SID bekommt, kann sich in eine aktive Session einloggen und dann im Namen des Users Posten.

Sage dem User, er möge Cookies aktivieren, damit die SID nicht mehr in der URL steht.
Das Passwort steht nicht in der SID. Aber wenn man sich in eine aktive Session eingeloggt hat, kann man das PW ja ändern.

Grüße
Dennis

ch.baumi · Beitrag von **ch.baumi** » 21.08.2005 17:09

Zum ändern des Passwortes benötige ich aber dass alte Passwort.

Bist du dir in deiner Aussage zu 100% sicher?

Beitrag von **Dennis63** » 21.08.2005 17:25

Ich muss ganz ehrlich zugeben, ich habe mein PW noch nie geändert

Aber da hast Du recht, man muss das alte PW haben um es zu ändern. Sorry, mein Fehler.

Aber er kann mit der Session-ID sich einloggen. Und wenn er Cookies akzeptiert, könnte es sein, daß er dann ein Einlogg-Cookie gesetzt bekommt.

Abhilfe:
- Der User soll umgehend sein Passwort ändern
- Der User soll Cookies aktivieren, damit er keine Session-IDs mehr in der URL hat.

Grüße
Dennis

Beitrag von **itst** » 21.08.2005 17:32

Als Admin kann man jederzeit das Passwort jedes Benutzers ändern. Siehe http://www.phpbb.de/doku/doku.php#kapitel_3_5_3