Initiative gegen digitale Spaltung -geteilt.de- e. V. DSL bzw. Breitband für alle.

Kein DSL? Dann schließe dich uns an: Das Forum der Interessenvertretung Initiative gegen digitale Spaltung -geteilt.de- e. V. für Betroffene, die über kein DSL oder über eine unzureichende Breitbandversorgung verfügen.
http://www.geteilt.de/forum/

Sicherheit

http://www.geteilt.de/forum/viewtopic.php?f=25&t=740

Seite 1 von 1

Sicherheit

BeitragVerfasst: 23.03.2006 17:46
von M0rGu3
Ich habe vorhin schon wieder einen Link gesehen, der mein Herz fast zum Stillstand gebracht hat.
Möchte dieses Problem hier offen ansprechen und darstellen, was es für Sicherheitsrisikos darstellt. Und zwar folgendes:
FlappyTM hat geschrieben:Offizielle Aktion zum Thema durch geteilt.de hinzugefügt:

http://www.geteilt.de/phpBB2/viewtopic.php?t=727

Dies ist jetzt schon die abgeänderte Form. Wenn hinter dieser URL jedoch noch ein "?sid=" und eine wirre Kombination aus Buchstaben und Zahlen mitgeführt wird, kann das böse enden.
Das sind sogenannte "Session-ID's", welche gelegentlich von PHP angehängt werden. Damit wäre es möglich gewesen, als Gast auf diesen Link zu klicken und die Moderatorenrechte von FlappyTM zu erhalten, da diese SID für Flappy's Anmeldung gültig war.
Solche Parameter in Zukunft also bitte weglöschen. Sie beeinträchtigen keinerlei die Funktion des Links.

Mir ist klar, dass das nicht jeder wissen kann, deshalb hier nochmal erwähnt.

@vauwe: Wenn ich was falsch erklärt habe, dann schreib mal die korrekte Form. Hab nämlich auch keine Ahnung davon :lol:

BeitragVerfasst: 23.03.2006 18:06
von vauwe
Morgue,

Danke für diesen Post! :)

Ich hatte schon überlegt, ob ich das Thema anspreche... Obwohl ich denke, daß phpBB (dank Cookies) so schlau ist, die gefakte Session zu erkennen, sollten die Session-IDs nicht in einem Link mitgeschickt werden.

BeitragVerfasst: 23.03.2006 20:47
von M0rGu3
vauwe hat geschrieben:Morgue,

Danke für diesen Post! :)

Bitte ;)

vauwe hat geschrieben:Ich hatte schon überlegt, ob ich das Thema anspreche... Obwohl ich denke, daß phpBB (dank Cookies) so schlau ist, die gefakte Session zu erkennen, sollten die Session-IDs nicht in einem Link mitgeschickt werden.

Naja, ich hab gedacht ich sag das mal... wo ich gerade sowas gelernt habe und stolz auf mich bin :wink:

BeitragVerfasst: 23.03.2006 23:31
von Danny
M0rGu3 hat geschrieben:Naja, ich hab gedacht ich sag das mal... wo ich gerade sowas gelernt habe und stolz auf mich bin :wink:


Wir sind doch alle stolz auf Dich.... :wink: Ach, eine Frage hätte ich, habe mich gerade im Forum umgeschaut, sag mal bist Du unter die Spammer gegangen...? :lol:

BeitragVerfasst: 24.03.2006 11:19
von M0rGu3
Danny hat geschrieben:Ach, eine Frage hätte ich, habe mich gerade im Forum umgeschaut, sag mal bist Du unter die Spammer gegangen...? :lol:

Ähm, ich nehme an du meinst einige Beiträge wo ich die erste Antwort geschrieben habe, das innerhalb weniger Minuten.

BeitragVerfasst: 24.03.2006 12:26
von Danny
Ach scheiße, den Post mit dieser Bitte hat mein Firefox mal wieder nicht gemeldet, bzw. nicht als neu angezeigt... Sorry. :oops: Außerdem war die Frage auch nicht ganz erst gemeint, sieht man an dem Smiley. :wink:

BeitragVerfasst: 24.03.2006 12:54
von FlappyTM
Danke für den Hinweis. Werd in Zukunft darauf achten.
Alle Zeiten sind UTC + 1 Stunde
Seite 1 von 1
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/