Seite 1 von 2
autologin abschalten
Verfasst: 15.03.2005 22:43
von yks
hallo,
hm, habe mich gerade durch ein paar threads gewühlt und habe das gefühl es fehlen noch einige infos...
aber daher würde mich nun mal interessieren, wie man den autologin abschalten kann.
was muß man wo ändern ?
nur in einer datei ? oder nur in der db ?
danke + viele grüße, yks
Verfasst: 15.03.2005 22:46
von Dave
wieso willste das abschalten?
Verfasst: 17.03.2005 15:39
von yks
hallo,
@ dave
aus sicherheitsgründen - zumindest bis ich überblicke, ob es nötig ist oder nicht.
hm, wenn du es weißt, wäre es auch nett, wenn du es posten würdest
vielleicht kann auch sonst noch jemand etwas dazu sagen ?
es waren vor einigen tagen einige links aktuell, die sich auch auf das autologin bezogen.
oder ist mit 2.0.13 das problem gelöst ?
mir nicht sicher bin, da ich woanders noch eine andere beschreibung fand (raussuchen kann, wenn nötig)
viele grüße, yks
Verfasst: 17.03.2005 16:09
von shwepsi
mit autologin ist eigentlich nur ein Problem wenn mehrere User an einem PC gehen ... Internetkaffee ....
allerdings tritt das Problem auch auf wenn sich jemand innerhalb von 1 Stunde nach dem Login der vorhergehenden Seite auf die Seite bewegt...
login gilt nach dem letzten Session update (durch Seiten aufruf) eine Stunde
(3600 Sekunden, im ACP, kann man runtersetzen, aber werte unter 900 sind ... ungeschickt.... sehr ungeschickt ... 1800 wäre vielleicht sind eine halbe Stunde)
das autologin loggt sich halt dann alleine ein, aber das ist ansich auch kein großes Risiko ... da im Cookie steht welche Seiten darauf zugreifen dürfen
und nicht auf der Internetseite welche Cookies sie haben will
Verfasst: 17.03.2005 16:26
von yks
nein, dieses problem meine ich nicht.
geht mir um autologin + cookies ändern + andere rechte
Verfasst: 17.03.2005 16:37
von FatFreddy
Vermutlich bezieht sich yks auf Diskussionen in anderen Boards. Demnach ist PHPBB durch ein gefaktes Cookie angreifbar. Soweit ich mich erinnere, ist dabei das Autologin die entscheidende Lücke.
Das Thema wird auch
hier gerade behandelt.
FatFreddy
Verfasst: 19.03.2005 07:33
von yks
danke freddy, genau das und die weiterführenden links meinte ich.
hm, wundere mich etwas, daß außer einer frage,
warum ich es wissen will, nichts mehr dazu geschrieben wird...
Verfasst: 19.03.2005 14:07
von Christian_W
Verfasst: 19.03.2005 22:13
von yks
danke christian :) *fand den letzten link nicht mehr*
meine frage ging in die richtung, ob demnach das update auf 2.0.13 mit == ändern auf === das gleiche bewirkt wie :
The fix is quite simple, add $userdata['user_level'] = USER; after every $userdata['user_id']= ANONYMOUS; in session.php.
in diesem teil der sessions.php
if ( $user_id != ANONYMOUS )
{
$auto_login_key = $userdata['user_password'];
if ( $auto_create )
{
if ( isset($sessiondata['autologinid']) && $userdata['user_active'] )
{
// We have to login automagically
if( $sessiondata['autologinid'] === $auto_login_key )
{
// autologinid matches password
$login = 1;
$enable_autologin = 1;
}
else
{
// No match; don't login, set as anonymous user
$login = 0;
$enable_autologin = 0;
$user_id = $userdata['user_id'] = ANONYMOUS;
}
}
else
{
// Autologin is not set. Don't login, set as anonymous user
$login = 0;
$enable_autologin = 0;
$user_id = $userdata['user_id'] = ANONYMOUS;
}
}
else
{
$login = 1;
}
}
else
{
$login = 0;
$enable_autologin = 0;
}
sorry, aber da fehlten mir einfach die php-kenntnisse, um zu erkennen, ob das das gleiche ist oder nicht.
denke mal es ist so *hoff* - dann vielen dank :))
viele grüße, yks
Verfasst: 19.03.2005 22:23
von Christian_W
yks hat geschrieben:danke christian
*fand den letzten link nicht mehr*
meine frage ging in die richtung, ob demnach das update auf 2.0.13 mit == ändern auf === das gleiche bewirkt wie :
The fix is quite simple, add $userdata['user_level'] = USER; after every $userdata['user_id']= ANONYMOUS; in session.php.
in diesem teil der sessions.php
Nein, das hat nichts miteinander zu tun.
Wenn Du sichergehen willst, mach am besten die Änderung aus der CVS.
Gruß Christian