aha, diese Lücke hatte ich schon im Mai gepostet. Ich glaube langsam, dass ich mich unverständlich ausdrücke. Dabei gebe ich mir immer so viel Mühe
http://www.girlloverforum.net/forum/vie ... f=1&t=1114
- Annika
- Beiträge: 4493
- Registriert: 08.10.2008, 21:38
- AoA: 90's bitch
- Wohnort: Kein Busen ist so flach wie das Niveau dieser Party!
Re: Sakura - andere Admin WTF
Dumm fickt gut. Noch Fragen ??
-
- Beiträge: 2507
- Registriert: 08.10.2008, 19:52
Re: Sakura - andere Admin WTF
nein tust du nicht, hier wird nur einiges einfach ignoriert!Annika hat geschrieben:aha, diese Lücke hatte ich schon im Mai gepostet. Ich glaube langsam, dass ich mich unverständlich ausdrücke. Dabei gebe ich mir immer so viel Mühe
http://www.girlloverforum.net/forum/vie ... f=1&t=1114
Stewy
Re: Sakura - andere Admin WTF
Gibt es denn Möglichkeiten, diese "Sicherheitslücke" auszunutzen?
FF äh.. MF hatte mir ja die komplette Adresszeile kopiert und als Link geschickt. Daraufhin war ich von meinem Rechner aus in seinem Account.
Allerdings nur solange bis er oder ich auf "Abmelden" klicken, weil ja dann die Session-ID verfällt.
Gibt es Möglichkeiten an laufende Session-ID's zu kommen, ohne dass derjenige das mitbekommt?
Wenn nicht, dann sehe ich das nicht als Sicherheitslücke. So müssen zumindest keine Coockies gespeichert werden
FF äh.. MF hatte mir ja die komplette Adresszeile kopiert und als Link geschickt. Daraufhin war ich von meinem Rechner aus in seinem Account.
Allerdings nur solange bis er oder ich auf "Abmelden" klicken, weil ja dann die Session-ID verfällt.
Gibt es Möglichkeiten an laufende Session-ID's zu kommen, ohne dass derjenige das mitbekommt?
Wenn nicht, dann sehe ich das nicht als Sicherheitslücke. So müssen zumindest keine Coockies gespeichert werden
Wir sind die, vor denen uns unsere Eltern immer gewarnt haben.
- sus
- Beiträge: 2180
- Registriert: 26.11.2009, 19:17
- AoA: [1,3!]*[2,2]-[1,2]
- Wohnort: Ein Vulkan. Zumindest so ähnlich. Eigentlich nur der Ozean ...
Re: Sakura - andere Admin WTF
ja, durch tracking cookies oder scripts lassen sich sid's auslesen, und auch cookies auslesen.
Ich frage mich, wie unendlich schön es sein muss, alles Leben auf der Welt zu überdauern. Asche ist soooo~ schön. Ich wünschte, die Welt würde noch heute anfangen zu brennen c.c
- Sakura
- Beiträge: 5396
- Registriert: 07.10.2008, 12:18
- AoA: nicht definiert
- Wohnort: In der Stadt mit den zahlreichsten süßesten und zugänglichsten Mädchen
Re: Sakura - andere Admin WTF
Die Sessions werden in der Datenbank gespeichert, aber nach jeweils 5 Minuten wieder aktualisiert. Daher werden in der Fußzeile des Forums die User der letzten 5 Minuten angezeigt, also alle, deren Session-IDs in einer Tabelle der Datenbank noch drin sind.Bockwurst hat geschrieben:Gibt es Möglichkeiten an laufende Session-ID's zu kommen, ohne dass derjenige das mitbekommt?
Das ist kein Sicherheitsrisiko, denn das Forum ist öffentlich und die User lesen nicht mehr als das was für jeden Angemeldeten lesbar ist.
Anders sähe es bei den Moderatoren/Admins aus, aber um an Informationen zu kommen, die nur diesen Gruppen zugänglich sind, ist eine weitere Anmeldung mit Passwort erforderlich.
Und wer so doof ist, seine eigene aktuelle Session-ID mit in eine Mail zu packen, der soll ruhig etwas Adrenalin verdauen müssen ;-]
Sakura
"Destiny is always revised. Anytime, everywhere." (Siddhartha)
Re: Sakura - andere Admin WTF
Jemandem ist das hier mal mit einem Account von einem bekannten Internetshop passiert und man konnte dort einfach an seine dort hinterlegten Daten gelangen. Es ist also kein zu vernachlässigendes Problem. Da man mit nem glf acc nicht wirklich viel schaden anrichtigen kann, sehe ich es auch generell recht gelassen zumal die session id nicht angeizeigt wird. Bei anderen Diensten permanent?Und wer so doof ist, seine eigene aktuelle Session-ID mit in eine Mail zu packen, der soll ruhig etwas Adrenalin verdauen müssen ;-]
War eine Zeit, da war ein Gott verliebt; In eine Taube weiß und rein; Hat sie gejagt, jedoch die Taube flog; In einen Wald ganz tief hinein © http://www.ostmusik.de/bernsteinlegende.htm Text: Kurt Demmler
- Smaragd aus Oz
- Beiträge: 12755
- Registriert: 09.05.2009, 10:34
- Kontaktdaten:
Re: Sakura - andere Admin WTF
Wirklich nicht? Natürlich nicht. Nicht mehr Schaden, als wenn Du Zugriff auf meine Bank- oder E-Mail-Accounts hättest.anonymer hat geschrieben:Da man mit nem glf acc nicht wirklich viel schaden anrichtigen kann
Damit ist eigentlich schon fast mehr gesagt, als es Wert ist, über dieses Problem zu sagen. Vor Blödheit kann keine Sicherheitsmaßnahme des Forums schützen.[color=#BF0000]Sakura[/color] hat geschrieben:Und wer so doof ist, seine eigene aktuelle Session-ID mit in eine Mail zu packen
... Und hab’s Pflücken nicht gemacht.
- Perma
- Beiträge: 7399
- Registriert: 19.08.2009, 21:42
- AoA: 8-14
- Wohnort: [email protected]
- Kontaktdaten:
Re: Sakura - andere Admin WTF
anonymer hat geschrieben:Jemandem ist das hier mal mit einem Account von einem bekannten Internetshop passiert und man konnte dort einfach an seine dort hinterlegten Daten gelangen.
Nicht ausgeloggt? User/Passwort im Browser-Cache? Keylogging-Software auf dem Rechner? Surfen von fremden Rechnern aus kann immer ein hohes Sicherheitsrisiko bedeuten.
anonymer hat geschrieben:Es ist also kein zu vernachlässigendes Problem.
Aber ein Problem, das auf User-Seite zu lösen ist. Session-Id's, Passwörter, etc. gibt man einfach nicht weiter.
Bei einem Pädo wäre das nicht passiert.
Für flächendeckende BPZs (BPZ = Beschneidungs-Präventions-Zentrum) - Zum Schutz der Kinder - Jetzt.
Torchat: qobnlkvyv5zk6bhk
https://childloverforum.net
http://visionsofalice.com/forum
Für flächendeckende BPZs (BPZ = Beschneidungs-Präventions-Zentrum) - Zum Schutz der Kinder - Jetzt.
Torchat: qobnlkvyv5zk6bhk
https://childloverforum.net
http://visionsofalice.com/forum