autologin abschalten

Probleme bei der regulären Arbeiten mit phpBB, Fragen zu Vorgehensweisen oder Funktionsweise sowie sonstige Fragen zu phpBB im Allgemeinen.
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Antworten
Benutzeravatar
yks
Mitglied
Beiträge: 1295
Registriert: 10.07.2004 02:31

Beitrag von yks »

Wenn Du sichergehen willst, mach am besten die Änderung aus der CVS.
urgs - irritiert mich 'etwas' + mich frage was dann besser ist...

cvs, dh lt knowledge-base entwicklerstatus, wird nicht unbedingt empfohlen, etc.

aber andererseits, wenn das === nicht die oben beschriebene lücke stopft, dann ist das doch ein sicherheitsloch ?!
ich bin zwar nicht fit im hacken, aber kapiere beim lesen so viel, daß wer ein bißchen mehr ahnung hat, dort doch zt die perfekte anleitung findet, wie man diese lücke nutzen kann. *graus*
hm, kann doch nicht sein - ?

*nicht verstehe + mich über erklärung freuen würde, yks
Mit subsilver2 macht es noch viel mehr Spaß ! :)
Nach oben
Benutzeravatar
Budman
Mitglied
Beiträge: 327
Registriert: 02.02.2005 10:46

Beitrag von Budman »

Deshalb solltest Du beide Sachen einbauen (also === und den Fix). Sicher ist eben sicher :)

Im übrigen schaden kann es doch auch nicht, oder?
Nach oben
Benutzeravatar
yks
Mitglied
Beiträge: 1295
Registriert: 10.07.2004 02:31

Beitrag von yks »

Im übrigen schaden kann es doch auch nicht, oder?
das kann ich schlecht beurteilen :
Die CVS-Versionen von phpBB stellen immer die jeweils aktuellste Entwicklungsversion dar. Diese ist jedoch nicht unbedingt Fehler- und Bug-frei und wird NICHT zum Einsatz empfohlen!
eben das verstehe ich ja nicht, da ansonsten sicherheitslücken doch gut und sicher gefixt werden - aber hier scheint beides ein risiko zu sein, oder ? :-?
Mit subsilver2 macht es noch viel mehr Spaß ! :)
Nach oben
Christian_W
Ehemaliges Teammitglied
Beiträge: 5703
Registriert: 26.02.2004 00:09

Beitrag von Christian_W »

Also nochmal genauer:
Ich denke, dass auf php.de nicht die aktuelle Version im Einsatz war als sie "gehackt" wurden. Der "Hacker" zeigt in dem Thread nicht gerade viel Sachverstand.
Unabhängig davon gibt es eine mögliche Lücke die in der CVS bereits geschlossen ist. Diese wird aber von den Entwicklern von phpbb nicht so kritisch eingestuft, dass es ein Update rechtfertigen würde.
Ich hab mal versucht mein Cookie zu ändern und konnte trotzdem keine versteckten Benutzer auf dem Index sehen. Vieleicht hab ich auch etwas vergessen und es hat deshalb nicht geklappt.
Wie dem auch sei, die (mögliche) Lücke wird mit dem nächsten update auf genau diese Weise geschlossen:

Code: Alles auswählen

----- öffne -----
includes/sessions.php

----- finde (2x) -----
$user_id = $userdata["user_id"] = ANONYMOUS;

----- füge danach ein -----
$sql = "SELECT * FROM " . USERS_TABLE . " WHERE user_id = " . ANONYMOUS;
$result = $db->sql_query($sql);
$userdata = $db->sql_fetchrow($result);
$db->sql_freeresult($result);
Zunächst mal ist das ja der Code der bereits aktuellen Version und nicht der von Olympus.
Zum anderen installierst Du ja nicht die ganze CVS sondern nutzt nur den Fix der sowieso irgendwann kommt.

Gruß Christian
---
Nach oben
Benutzeravatar
yks
Mitglied
Beiträge: 1295
Registriert: 10.07.2004 02:31

Beitrag von yks »

dank dir christian !
daß der fix bleibt, nicht wußte.

merci :))
Mit subsilver2 macht es noch viel mehr Spaß ! :)
Nach oben
Antworten

Zurück zu „phpBB 2.0: Administration, Benutzung und Betrieb“