GLF

aha, diese Lücke hatte ich schon im Mai gepostet. Ich glaube langsam, dass ich mich unverständlich ausdrücke. Dabei gebe ich mir immer so viel Mühe

http://www.girlloverforum.net/forum/vie ... f=1&t=1114

Annika hat geschrieben:aha, diese Lücke hatte ich schon im Mai gepostet. Ich glaube langsam, dass ich mich unverständlich ausdrücke. Dabei gebe ich mir immer so viel Mühe

http://www.girlloverforum.net/forum/vie ... f=1&t=1114

nein tust du nicht, hier wird nur einiges einfach ignoriert!

Stewy

Gibt es denn Möglichkeiten, diese "Sicherheitslücke" auszunutzen?
FF äh.. MF hatte mir ja die komplette Adresszeile kopiert und als Link geschickt. Daraufhin war ich von meinem Rechner aus in seinem Account.
Allerdings nur solange bis er oder ich auf "Abmelden" klicken, weil ja dann die Session-ID verfällt.

Gibt es Möglichkeiten an laufende Session-ID's zu kommen, ohne dass derjenige das mitbekommt?

Wenn nicht, dann sehe ich das nicht als Sicherheitslücke. So müssen zumindest keine Coockies gespeichert werden

ja, durch tracking cookies oder scripts lassen sich sid's auslesen, und auch cookies auslesen.

Bockwurst hat geschrieben:Gibt es Möglichkeiten an laufende Session-ID's zu kommen, ohne dass derjenige das mitbekommt?

Die Sessions werden in der Datenbank gespeichert, aber nach jeweils 5 Minuten wieder aktualisiert. Daher werden in der Fußzeile des Forums die User der letzten 5 Minuten angezeigt, also alle, deren Session-IDs in einer Tabelle der Datenbank noch drin sind.
Das ist kein Sicherheitsrisiko, denn das Forum ist öffentlich und die User lesen nicht mehr als das was für jeden Angemeldeten lesbar ist.
Anders sähe es bei den Moderatoren/Admins aus, aber um an Informationen zu kommen, die nur diesen Gruppen zugänglich sind, ist eine weitere Anmeldung mit Passwort erforderlich.
Und wer so doof ist, seine eigene aktuelle Session-ID mit in eine Mail zu packen, der soll ruhig etwas Adrenalin verdauen müssen ;-]

Sakura

Und wer so doof ist, seine eigene aktuelle Session-ID mit in eine Mail zu packen, der soll ruhig etwas Adrenalin verdauen müssen ;-]

Jemandem ist das hier mal mit einem Account von einem bekannten Internetshop passiert und man konnte dort einfach an seine dort hinterlegten Daten gelangen. Es ist also kein zu vernachlässigendes Problem. Da man mit nem glf acc nicht wirklich viel schaden anrichtigen kann, sehe ich es auch generell recht gelassen zumal die session id nicht angeizeigt wird. Bei anderen Diensten permanent?

anonymer hat geschrieben:Da man mit nem glf acc nicht wirklich viel schaden anrichtigen kann

Wirklich nicht? Natürlich nicht. Nicht mehr Schaden, als wenn Du Zugriff auf meine Bank- oder E-Mail-Accounts hättest.

[color=#BF0000]Sakura[/color] hat geschrieben:Und wer so doof ist, seine eigene aktuelle Session-ID mit in eine Mail zu packen

Damit ist eigentlich schon fast mehr gesagt, als es Wert ist, über dieses Problem zu sagen. Vor Blödheit kann keine Sicherheitsmaßnahme des Forums schützen.

anonymer hat geschrieben:Jemandem ist das hier mal mit einem Account von einem bekannten Internetshop passiert und man konnte dort einfach an seine dort hinterlegten Daten gelangen.

Nicht ausgeloggt? User/Passwort im Browser-Cache? Keylogging-Software auf dem Rechner? Surfen von fremden Rechnern aus kann immer ein hohes Sicherheitsrisiko bedeuten.

anonymer hat geschrieben:Es ist also kein zu vernachlässigendes Problem.

Aber ein Problem, das auf User-Seite zu lösen ist. Session-Id's, Passwörter, etc. gibt man einfach nicht weiter.