Adminbereich 2ten Login entfernen!

wanted · Beitrag von **wanted** » 11.03.2008 16:11

Hallo Leute,

Ich habe die Suche verwendet aber leider nichts passendes gefunden!
Ich bräuchte somit eure Hilfe!

Es ist ja so, wenn ich als Admin eingeloggt bin und ich klick im Footer auf Administration muss ich mich erneut einloggen sodass ich in den Adminbereich komme. Diesen zweiten Login möchte ich aber nun gerne deaktivivieren bzw. entfernen!

Kann mir bitte jemand helfen und mir sagen wie ich das hinbekomme?

Ich danke euch!

Lg
wanted

wanted · Beitrag von **wanted** » 12.03.2008 13:17

Kann mir denn wirklich niemand helfen?

Lg
wanted

Andi1111 · Beitrag von **Andi1111** » 12.03.2008 13:23

lösch das mal in der admin/pagestart.php

if (!$userdata['session_admin'])
{

redirect(append_sid("../login.$phpEx?redirect=admin/index.$phpEx&admin =1", true));

}

ist aber ne sicherheitslücke, besser wärs wenn du es drin lässt.

wanted · Beitrag von **wanted** » 12.03.2008 23:41

Hat super funktioniert!
Dank dir vielmals!

Dieser Schritt ist bei mir nötig warum und weshalb ist lange zu erklären aber auf jedenfall ein dickes dankeschön

wanted

Beitrag von **cYbercOsmOnauT** » 13.03.2008 01:17

Du bist Dir aber hoffentlich auch im Klaren, dass Du damit die Sicherheit Deines Boards erheblich verringert hast...

Andi1111 · Beitrag von **Andi1111** » 13.03.2008 02:31

dazu habe ich mal ne frage, ich habe das mir der sicherheitslücke eigendlich auch nur zitiert. mir ist nicht ganz klar warum es die sicherheit verringert, wenn jemand es geschafft hat sich als admin einzuloggen kennt er doch das passwort, also was soll das nochmal eingeben an zusätzlicher sicherheit bringen?

Jens G. · Beitrag von **Jens G.** » 13.03.2008 07:47

Soweit ich weiss kann man sich irgendwie über die Daten deiner Session mit deinem Account anmelden ohne dein PW zu kennne.

Bin aber nicht sehr versiert in diesen Dingen und kann auch nur sagen, was ich mal gehört habe...

Beitrag von **cYbercOsmOnauT** » 13.03.2008 10:53

Jens G. hat geschrieben:Soweit ich weiss kann man sich irgendwie über die Daten deiner Session mit deinem Account anmelden ohne dein PW zu kennne.

Richtig. Ohne den doppelten Login kann einer "einfach" eine Adminsession klauen und mit diesem sich im ACP bewegen. Hierzu muss man dann das Passwort nicht kennen.

xxsteezyxx · Beitrag von **xxsteezyxx** » 11.04.2008 06:47

dafür gibt es ja htaccess oder?

Beitrag von **cYbercOsmOnauT** » 11.04.2008 09:52

Mit einer .htaccess wärst Du sozusagen wieder beim doppelten Login. Ich hab am Liebsten beide Sicherheiten zusammen.