phpBB.de

Hallo phpBB Gemeinde, ich wende mich mal mit einer Sache an euch die einigen Usern und mir aufgefallen ist,
und was wir für eine Sicherheitslücke halten....

Wie kann es sein das wenn User A im Forum eingeloggt ist, sich ein anderer User von einem anderen Rechner mit einer anderen IP
unter den Userdaten von User A anmelden kann, und User A danach 2x im Forum unterwegs ist ?

Wie kann es sein, das wenn User A sich ausloggt und seine SessionID abgelaufen ist, User 2 mit den Daten von User A weiterhin angemeldet
bleibt und eine eigenen SessionID bekommt und die ihre Gültigkeit bis zu seinem Logout behält ?

Ich finde das darf nicht möglich sein, die Software müßte wenn User A eingeloggt ist verhindern das sich ein anderer User unter dem gleichen
Namen anmelden kann....Wenn ich das selbst machen könnte würde ich das tun, weil theoretisch würde eine Routine reichen die die
eingeloggten Usernamen mit dem beim Login eingegebenen vergleicht, und ne Meldung auswirft von wegen m,an ist schon eingeloggt....
Was übrigens funktioniert wenn man versucht sich von einem Rechner mit 2 verschiedenen Browsern auf ein und denselben Account einzuloggen.....
Was wiederrum nicht funktioniert man kann sich von einem Rechner mit 2 Accounts in 2 Browsern anmelden.....
Fragen über Fragen auf die ich mir Antwort erhoffe.....

MFG AbiDez

AbiDez hat geschrieben:Wie kann es sein das wenn User A im Forum eingeloggt ist, sich ein anderer User von einem anderen Rechner mit einer anderen IP
unter den Userdaten von User A anmelden kann, und User A danach 2x im Forum unterwegs ist ?

Oo... halte ich an sich auch für bedenklich! Bleibt die Frage, warum das überhaupt gemacht wird/wurde?
LogIN-Klau? Freiw. Weitergabe der LogIn-Daten? Zwei voneinander unabhängige Internetanschlüße über die sich eine Person auf verschiedenen PCs angemeldet hat? etc.pp.

Wie kann es sein, das wenn User A sich ausloggt und seine SessionID abgelaufen ist, User 2 mit den Daten von User A weiterhin angemeldet
bleibt und eine eigenen SessionID bekommt und die ihre Gültigkeit bis zu seinem Logout behält ?

Das ist IMO normal, da die Cookies (in der diese Daten gespeichert werden) eine lokale Angelegenheit sind.

Ich finde das darf nicht möglich sein, die Software müßte wenn User A eingeloggt ist verhindern das sich ein anderer User unter dem gleichen
Namen anmelden kann....

K.A., denke aber, daß hängt damit zusammen, weil die Software anhand der IP unterscheidet und (ausser bei der Registrierung) nicht nach Usernamen.

Der Rest ergibt sich aus oben.

BaerchenHH hat geschrieben:

AbiDez hat geschrieben:Wie kann es sein das wenn User A im Forum eingeloggt ist, sich ein anderer User von einem anderen Rechner mit einer anderen IP
unter den Userdaten von User A anmelden kann, und User A danach 2x im Forum unterwegs ist ?

Oo... halte ich an sich auch für bedenklich! Bleibt die Frage, warum das überhaupt gemacht wird/wurde?
LogIN-Klau? Freiw. Weitergabe der LogIn-Daten? Zwei voneinander unabhängige Internetanschlüße über die sich eine Person auf verschiedenen PCs angemeldet hat? etc.pp.

Nunja, 1x war ich von zuhause aus eingeloggt und habe mich dann von einem Rechner eines Freundes bei ihm
auch nochmal auf den Account eingelogt...
Aber eigentlich weil angeblich ein User meinte wir hätten ne sicherheitslücke, von wegen über ein gefaktes Cookie sei er an eine
SessionID eines eingeloggten Users gekommen und von da auf seinen Zugriff und in seinen Account.....
So wirklich verstehe ich das nicht, nur weil einige Leute halt leider Unsinn machen und auch leider anscheinend Ab und An Axx tauschen
wäre natürlich ein Namensvergleich der eingeloggten User praktisch...

Oo... halte ich an sich auch für bedenklich! Bleibt die Frage, warum das überhaupt gemacht wird/wurde?

ist mE nicht bedenklich, sondern liegt in der "natur der sache":
username ok -> passwort ok -> willkommen im board.
sessions on the fly von einem rechner klauen bedeutet, das der trojaner etc. schon auf selbigem hockt (evtl. wäre auch eine "man in the middle attacke" oä möglich). dafür kann man das board aber nicht verantwortlich machen, sondern den pc des betreffenden users. andere storys in die richtung sind als hoax einzustufen.

AbiDez hat geschrieben:Nunja, 1x war ich von zuhause aus eingeloggt und habe mich dann von einem Rechner eines Freundes bei ihm
auch nochmal auf den Account eingelogt...

Also keine (wirkliche) Sicherheitslücke...

BaerchenHH hat geschrieben:Das ist IMO normal, da die Cookies (in der diese Daten gespeichert werden) eine lokale Angelegenheit sind.

weil die Software anhand der IP unterscheidet und (ausser bei der Registrierung) nicht nach Usernamen.