autologin in sicherheitslücke - cookie

gott · Beitrag von **gott** » 04.09.2005 13:46

hallo,

wie kann ich verhinden, dass Leute mein Forum durch meine ADMIn- md5 ID ins cookie einsetzen und somit automatisch sich als ADMIN einloggen können?

Ich habe es vorhin ausprobiert und es klappt; egal welcher Browser! Das find ich nicht so dolle, habe ja die Verantwortung über die user- Daten.

Welche Zeile muss ich WO verändern damit dies nicht mehr so einfach möglich ist?? in session php habe ich schon autologin === gefixt; aber ein login ist IMMER NOCH möglich!

DANKE und gruß
jens

Beitrag von **itst** » 21.09.2005 16:18

Das Autologin-Verhalten wie von Dir beschrieben ist korrekt. (Siehe auch http://www.phpbb.de/doku/kb/cookie_daten.)

Um Autologin auszuschalten:
Suche in sessions.php

Code: Alles auswählen

function session_begin($user_id, $user_ip, $page_id, $auto_create = 0, $enable_autologin = 0)

und ersetzte durch

Code: Alles auswählen

function session_begin($user_id, $user_ip, $page_id, $auto_create = FALSE, $enable_autologin = 0)

Das müsste es tun.

speedy00 · Beitrag von **speedy00** » 21.09.2005 16:48

und wie kommen die Leute aus deinem Forum an die Info?

Beitrag von **itst** » 21.09.2005 16:58

Per Remotezugriff auf seinen gehackten PC

speedy00 · Beitrag von **speedy00** » 21.09.2005 17:10

itst hat geschrieben:Per Remotezugriff auf seinen gehackten PC

ahja, alles andere hätte mich auch schon sehr gewundert.
Danke für die Info.