Wir haben folgendes Problem entdeckt: Ein User benutzt das Forum von zwei verschiedenen Rechnern aus (Firma / Privat). Wenn er jetzt z. B. auf seinem privaten Rechner das Passwort ändert, kann er trotzdem noch auf seinem Firmenrechner auf das Forum zugreifen (automatisches Login). Fragt das Cookie nicht explizit das Passwort ab?
Kann mir jemand das bitte einmal verständlich erklären?
Vielen Dank und schöne Grüße
Loenne
Wichtige Sicherheits-Frage
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
-
cYbercOsmOnauT
- Ehemaliges Teammitglied
- Beiträge: 3820
- Registriert: 18.02.2004 23:02
- Wohnort: Göttingen
- Kontaktdaten:
Wie es scheint, verwendest Du nicht phpBB 2.0.21, denn dort werden beim Ändern des Passworts die Autologindaten gelöscht.
Ergo: Update ist angesagt.
Gruß,
Tekin
Ergo: Update ist angesagt.
Gruß,
Tekin
• prof. phpbb-Installation, Reparatur, Rettung nach Hackattacken, sowie PHP/JS Programmierung aller Art
• Zend Certified Engineer, Linux Administrator und die Sicherheit von 34 Jahren Programmiererfahrung
• Interesse? Kontakt unter t.birduezen@web-coding.eu
• Zend Certified Engineer, Linux Administrator und die Sicherheit von 34 Jahren Programmiererfahrung
• Interesse? Kontakt unter t.birduezen@web-coding.eu
-
gn#36
- Ehrenadmin
- Beiträge: 9313
- Registriert: 01.10.2006 16:20
- Wohnort: Ganz in der Nähe...
- Kontaktdaten:
Ich vermute das gemeint ist, dass die Gegenstücke zu den Cookies die auf dem Server (oder besser gesagt in der Datenbank) liegen und anhand derer die Cookies überprüft werden können gelöscht werden.
Begegnungen mit dem Chaos sind fast unvermeidlich, Aber nicht katastrophal, solange man den Durchblick behält.
Übertreiben sollte man's im Forum aber nicht mit dem Chaos, denn da sollen ja andere durchblicken und nicht nur man selbst.
Übertreiben sollte man's im Forum aber nicht mit dem Chaos, denn da sollen ja andere durchblicken und nicht nur man selbst.
Was kann/muss ich denn jetzt machen, damit diese Lücke geschlossen wird?