phpBB.de

phpBB.de - Die deutsche phpBB-Community
https://www.phpbb.de/community/

Normal-User in gesperrtem Bereich

https://www.phpbb.de/community/viewtopic.php?t=98630

Seite 1 von 1

Normal-User in gesperrtem Bereich

Verfasst: 23.09.2005 13:21
von Tasso
Ich habe ein phpBB 2.0.17 - Forum laufen mit einigen MOD´s. Vorgestern habe ich das Forum nach larsneo´s Anweisungen ShortURL-fähig gemacht. Heute mußte ich feststellen, dass sich ein User ohne Spezialrang im gesperrten internen Bereich aufhielt. Wie kann sowas passieren und wie kann ich mich dagegen schützen? Ich habe das Forum erstmal bis auf Weiteres deaktiviert, damit nicht noch mehr solche "Zufälle" passieren. Ach ja: .htaccess ist hochgeladen (hat aber wahrscheinlich nichts damit zu tun?). Bitte dringend um Hilfe, da ich sonst das Forum zumachen muß.

Edit: der interne Bereich war eingestellt auf "Moderatoren (versteckt)".

Verfasst: 23.09.2005 13:32
von mad-manne
woran glaubst du denn zu erkenne, dass sich ein User in einem unerlaubten Bereich aufgehalten hat?
Entnimst du das der Anzeige "Wer Ist Online"?

Manne.

Verfasst: 23.09.2005 14:51
von HdZ
Evtl. auch ma hier lesen -> http://www.phpbb.de/doku/kb/artikel.php?artikel=118

Verfasst: 23.09.2005 16:10
von Tasso
Besagter User ist normal registriert und hat nur ganz normale Rechte, wird aber im Interna-Bereich angezeigt, der nur für Mods und Admins freigegeben und auch zu sehen ist. Im ACP wurde mir der User auch im Interna angezeigt. Kann das mit den ShortURL´s zusammenhängen?

Verfasst: 23.09.2005 16:15
von itst
Du solltest auch lesen, worauf man Dich verweist: http://www.phpbb.de/doku/kb/artikel.php?artikel=118

Verfasst: 23.09.2005 16:18
von Tasso
Ok, ich geh dann mal davon aus, dass das seine Richtigkeit hat. Aber wie passiert so etwas denn? Ist für mich irgendwie nicht nachvollziehbar, dass der User im Bereich "Nur für Mods" angezeigt werden kann.
Na ja, hauptsache ist ja, ich bin immer noch geschützt. Danke für die Infos.

Verfasst: 23.09.2005 16:21
von itst
User sind auch nicht doof. Wieso nicht einfach mal aus viewforum.php?f=1 viewforum.php?f=9 machen?

Verfasst: 23.09.2005 16:22
von mad-manne
Also .. das geht so:

In jedem script wird ziemlich am Anfang das session-Management "gestartet" und dieses trägt zuerst mal in die sessions-Tabelle ein, wo der aktuelle Benutzer sich aufhält!

Erst danach sind überhaupt die Daten "vorhanden", anhand denen dann entschieden werden kann, ob der User überhaupt dahin darf wo er hin will.

Darf er nicht, wird ihm das in per message_die() mitgeteilt, oder er ist ein Gast und bekommt einen redirect zur Login-Seite.

Deshalb kann es eben so aussehen, als ob unberechtigte User in Bereichen sind, wo sie gar keinen Zugang haben :wink:

Gruss,
Manne.

Verfasst: 23.09.2005 16:23
von Tasso
Alles klar, nun hab ich auch das verstanden. Vielen Dank nochmal, mad-manne und itst.
Alle Zeiten sind UTC+01:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de