Ich habe ein phpBB 2.0.17 - Forum laufen mit einigen MOD´s. Vorgestern habe ich das Forum nach larsneo´s Anweisungen ShortURL-fähig gemacht. Heute mußte ich feststellen, dass sich ein User ohne Spezialrang im gesperrten internen Bereich aufhielt. Wie kann sowas passieren und wie kann ich mich dagegen schützen? Ich habe das Forum erstmal bis auf Weiteres deaktiviert, damit nicht noch mehr solche "Zufälle" passieren. Ach ja: .htaccess ist hochgeladen (hat aber wahrscheinlich nichts damit zu tun?). Bitte dringend um Hilfe, da ich sonst das Forum zumachen muß.
Edit: der interne Bereich war eingestellt auf "Moderatoren (versteckt)".
Normal-User in gesperrtem Bereich
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Normal-User in gesperrtem Bereich
best regards
Tasso
Tasso
-
itst
- Ehrenadmin
- Beiträge: 7418
- Registriert: 21.08.2001 02:00
- Wohnort: Büttelborn bei Darmstadt
- Kontaktdaten:
Du solltest auch lesen, worauf man Dich verweist: http://www.phpbb.de/doku/kb/artikel.php?artikel=118
Sascha A. Carlin,
phpBB.de Ehrenadministrator
phpBB.de Ehrenadministrator
Ok, ich geh dann mal davon aus, dass das seine Richtigkeit hat. Aber wie passiert so etwas denn? Ist für mich irgendwie nicht nachvollziehbar, dass der User im Bereich "Nur für Mods" angezeigt werden kann.
Na ja, hauptsache ist ja, ich bin immer noch geschützt. Danke für die Infos.
Na ja, hauptsache ist ja, ich bin immer noch geschützt. Danke für die Infos.
best regards
Tasso
Tasso
-
mad-manne
- Ehemaliges Teammitglied
- Beiträge: 5403
- Registriert: 18.03.2005 10:00
- Wohnort: Marl im Ruhrgebiet
Also .. das geht so:
In jedem script wird ziemlich am Anfang das session-Management "gestartet" und dieses trägt zuerst mal in die sessions-Tabelle ein, wo der aktuelle Benutzer sich aufhält!
Erst danach sind überhaupt die Daten "vorhanden", anhand denen dann entschieden werden kann, ob der User überhaupt dahin darf wo er hin will.
Darf er nicht, wird ihm das in per message_die() mitgeteilt, oder er ist ein Gast und bekommt einen redirect zur Login-Seite.
Deshalb kann es eben so aussehen, als ob unberechtigte User in Bereichen sind, wo sie gar keinen Zugang haben
Gruss,
Manne.
In jedem script wird ziemlich am Anfang das session-Management "gestartet" und dieses trägt zuerst mal in die sessions-Tabelle ein, wo der aktuelle Benutzer sich aufhält!
Erst danach sind überhaupt die Daten "vorhanden", anhand denen dann entschieden werden kann, ob der User überhaupt dahin darf wo er hin will.
Darf er nicht, wird ihm das in per message_die() mitgeteilt, oder er ist ein Gast und bekommt einen redirect zur Login-Seite.
Deshalb kann es eben so aussehen, als ob unberechtigte User in Bereichen sind, wo sie gar keinen Zugang haben
Gruss,
Manne.
Try not. Do or do not. There is no try. (YODA)
Supportanfragen via E-Mail oder PN werden ignoriert
Supportanfragen via E-Mail oder PN werden ignoriert
