Antworten: 19
Seite [1] |
|
kaleido Rock the board Beiträge: 88 |
# Thema - 06.02.2008 um 13:59 Uhr
hi zusammen, bei uns sind manchmal user verkehrt-herum eingeloggt, d.h. als jemand anderes. beispiel: user A loggt sich ein, taucht aber als user B auf & schreibt fälschlicherweise auch posts als user B im forum. mir ist es selbst noch nicht passiert, aber wenn das passieren kann, wäre dies ein sicherheitsproblem, nicht? kann das mit den cookies zusammenhängen? ist bisher bei 2 usern, von denen ichs weiss, vorgekommen. hat jemand eine idee? viele grüße & danke im voraus, kaleido // edit: ich habe mal den thread-title aktualisiert, weil es mE eine schwerwiegende sicherheitslücke ist. // edit2: ist wohl im aktuellen SVN gefixt. ------------------ Signatur Zuletzt editiert von kaleido am 08.09.2008 um 12:02 Uhr (2x Editiert)
|
Inaktiv |
|
h4ze Geekboy Herkunft: Itzehoe Beiträge: 1433 |
# Antwort: 1 - 06.02.2008 um 14:29 Uhr
sind das geschwister und nutzen den selben pc? sowas ist nicht bekannt und technisch auch - soweit ich weiss - ausgeschlossen. hab von sowas noch nie was gehört. würde das daher als erstes mal auf manschliche fehler schieben? ot: fakeaccount? ^^ ------------------ |
Inaktiv |
|
kaleido Thread-Ersteller Rock the board Beiträge: 88 |
# Antwort: 2 - 06.02.2008 um 21:47 Uhr
^^ nein. bei beiden fällen völlig unterschiedliche rechner an unterschiedlichen stellen. ich kenne die betroffenen personen gut, also fakeaccount ausgeschlossen. komische sache. wir haben die tage von ne subdomain auf ne richtige domain umgestellt. kanns daran liegen? ------------------ Signatur |
Inaktiv |
|
sgraewe Supporter Beiträge: 6116 |
# Antwort: 3 - 06.02.2008 um 21:59 Uhr
Das war hier auf der seite auch schon da war aufeinmal jemand in meinem acc -.- is nen monat her oder so |
Inaktiv |
|
Deathmatix Rock the board Herkunft: Husum Beiträge: 42 |
# Antwort: 4 - 06.02.2008 um 22:07 Uhr
auf meiner Page war das auch so, er schreibt mich icq an und meinte er hätte einen Post von einem anderen user geschrieben.. Sind beide ungefähr 300 km von einander entfernt. Bin nicht dahinter gekommen. Kam aber erst, nachdem ich die 4.4 aufgesetzt habe. ------------------ MFG Deathmatix (__/) (O.o ) (> < ) This is Bunny. Copy Bunny into your signature to help him on his way to world domination. Fun -Ich rauche nicht, ich trinke nicht, ich fluche nicht! Verdammt nochmal, jetzt ist mir die Kippe ins Schnapsglas gefallen! - Wenn Dummheit wachsen wuerde , koenntest Du knieend aus der Dachrinne saufen ! - Was ist Tierqu?lerei? Einer Schlange Viagra zu geben. - Vegetarier essen das Essen meines Essens weg ! -->FERTISCH<-- ABWISCHEN !!! |
Inaktiv |
|
maikoldi Going for pro Herkunft: Ottersberg Beiträge: 545 |
# Antwort: 5 - 06.02.2008 um 23:51 Uhr
jo ... kann mich auch gut erinnern das man hier irgendwie mal als admin eingeloggt war, als man von der demopage hier her geswitcht hat ------------------ Visit:http://www.roundowner.de Puplicons |
Inaktiv |
|
Fr33z3m4n Medal of Honor Herkunft: Hamm Beiträge: 11094 |
# Antwort: 6 - 07.02.2008 um 09:53 Uhr
hmm seltsame geschichte. Problem, ohne direkten Vergleich in diesem Moment, ist es schwer den Fehler zu finden. Ob vlt. der Server falsch versendet. ClanSphere Cookies falsch setzt. Oder ob diejenigen die gleichen Passwörter benutzen, so das es bei der SQL Abfrage zu einem Fehler kommen könnte. ------------------ mfg Patrick "Fr33z3m4n" Jaskulski Antoine de Saint-Exupéry: Wenn Du ein Schiff bauen willst, so trommle nicht Männer zusammen, um Holz zu beschaffen, Aufgaben zu verteilen, sondern lehre die Männer die Sehnsucht nach dem endlosen weiten Meer. |
Inaktiv |
|
kaleido Thread-Ersteller Rock the board Beiträge: 88 |
# Antwort: 7 - 08.09.2008 um 11:46 Uhr
ok, ich kann das problem rekonstruieren & es ist mE ne schwerwiegende sicherheitslücke in eurem CMS! (habe den threadtitel aktualisiert). die lücke kann dazu ausgenutzt werden admin-zugriff zu bekommen. //EDIT: Anleitung entfernt, Wir wollen hier keinen anzuregen, dieses auszunutze, o.ä. Fr33z3m4n wenn ihr den thread ins interne verschiebt (was ev. angebracht wäre), haltet uns bitte auf dem laufenden. danke! ------------------ Signatur Zuletzt editiert von Fr33z3m4n am 08.09.2008 um 12:00 Uhr (3x Editiert) |
Inaktiv |
|
Fr33z3m4n Medal of Honor Herkunft: Hamm Beiträge: 11094 |
# Antwort: 8 - 08.09.2008 um 11:57 Uhr
Fix ist seit ca. 2 Wochen im SVN. musst mal die letzten Changesets durchgucken. ------------------ mfg Patrick "Fr33z3m4n" Jaskulski Antoine de Saint-Exupéry: Wenn Du ein Schiff bauen willst, so trommle nicht Männer zusammen, um Holz zu beschaffen, Aufgaben zu verteilen, sondern lehre die Männer die Sehnsucht nach dem endlosen weiten Meer. |
Inaktiv |
|
kaleido Thread-Ersteller Rock the board Beiträge: 88 |
# Antwort: 9 - 08.09.2008 um 12:02 Uhr
oh prima. danke. habe mittlerweile auch herausgefunden, dass beide user-ids die gleichen sind, können aber andere user sein. aber ist da nicht ein hotfix oder wenigstens ne news angebracht? die wenigsten nutzen die SVN version... ------------------ Signatur |
Inaktiv |
|
Fr33z3m4n Medal of Honor Herkunft: Hamm Beiträge: 11094 |
# Antwort: 10 - 08.09.2008 um 12:03 Uhr
wie ich dir bereits per PM Geschrieben habe, ist dies halt nicht wirklich von außen möglich. hotfixes gibbet nicht, wenn nur releases, sind ja hier nicht bei bugspell, die dir x verschiedene Versionen um die Ohren hauen, und dann noch zu jeder Version 100 Hotfixes ^^ ------------------ mfg Patrick "Fr33z3m4n" Jaskulski Antoine de Saint-Exupéry: Wenn Du ein Schiff bauen willst, so trommle nicht Männer zusammen, um Holz zu beschaffen, Aufgaben zu verteilen, sondern lehre die Männer die Sehnsucht nach dem endlosen weiten Meer. Zuletzt editiert von Fr33z3m4n am 08.09.2008 um 12:04 Uhr (1x Editiert) |
Inaktiv |
|
kaleido Thread-Ersteller Rock the board Beiträge: 88 |
# Antwort: 11 - 08.09.2008 um 13:54 Uhr
na sicherheitsprobleme habt ihr ja eh extrem selten & da euch sicherheit ja am herzen liegt, sollte euch die info für die user wichtiger sein als der etwaige image-schaden (sofern man da bei euch überhaupt von reden kann). sieh es mal aus der sicht: wenns die info gegeben hätte (z.b. als news), hätte ich die SVN-version oder den fix wohl schon eingespielt & hätte nun nicht wochenlang ein u.U. kompromitiertes system gehabt. aber das liegt bei euch, ich sag dir nur wie es bei großen projekten optimalerweise gehandhabt wird. ------------------ Signatur |
Inaktiv |
|
Fr33z3m4n Medal of Honor Herkunft: Hamm Beiträge: 11094 |
# Antwort: 12 - 08.09.2008 um 14:05 Uhr
jo klar, danke für den Vorschlag. Weden darüber mal beratschlagen ------------------ mfg Patrick "Fr33z3m4n" Jaskulski Antoine de Saint-Exupéry: Wenn Du ein Schiff bauen willst, so trommle nicht Männer zusammen, um Holz zu beschaffen, Aufgaben zu verteilen, sondern lehre die Männer die Sehnsucht nach dem endlosen weiten Meer. |
Inaktiv |
|
kaleido Thread-Ersteller Rock the board Beiträge: 88 |
# Antwort: 13 - 08.09.2008 um 14:07 Uhr
kein ursache. ihr macht das schon prima so wie ihr das macht! ------------------ Signatur |
Inaktiv |
|
duRiel Weltmeister Herkunft: Cambridge Beiträge: 7300 |
# Antwort: 14 - 08.09.2008 um 16:57 Uhr
hey das waren meine lorbeeren, mein fix |
Inaktiv |
|
Fr33z3m4n Medal of Honor Herkunft: Hamm Beiträge: 11094 |
# Antwort: 15 - 08.09.2008 um 17:30 Uhr
Sollen ja auch deine Lorbeeren bleiben ^^ ------------------ mfg Patrick "Fr33z3m4n" Jaskulski Antoine de Saint-Exupéry: Wenn Du ein Schiff bauen willst, so trommle nicht Männer zusammen, um Holz zu beschaffen, Aufgaben zu verteilen, sondern lehre die Männer die Sehnsucht nach dem endlosen weiten Meer. |
Inaktiv |
|
kaleido Thread-Ersteller Rock the board Beiträge: 88 |
# Antwort: 16 - 08.09.2008 um 21:07 Uhr
thx duRiel fürs fixen^^ gibt aber noch ein kleines problem: SVN eingespielt -> man kann sich nichtmehr einloggen, d.h. es kommt wieder die seite wo man sich einloggen soll. wenn ich das backup wieder einspiele klappt da einloggen wieder. das scheint die änderung im SVN zu sein: http://clansphere.net/trac/clansphere/changeset/1171 ------------------ Signatur Zuletzt editiert von kaleido am 08.09.2008 um 21:30 Uhr (1x Editiert) |
Inaktiv |
|
sgraewe Supporter Beiträge: 6116 |
# Antwort: 17 - 08.09.2008 um 21:58 Uhr
haste das sql-update ausgeführt? und alle datein ersetzt? |
Inaktiv |
|
kaleido Thread-Ersteller Rock the board Beiträge: 88 |
# Antwort: 18 - 09.09.2008 um 09:13 Uhr
ok, klappt nun. das sql-update vom SVN hatte ich vergessen einzuspielen. danke! ------------------ Signatur |
Inaktiv |
|
duRiel Weltmeister Herkunft: Cambridge Beiträge: 7300 |
# Antwort: 19 - 09.09.2008 um 12:51 Uhr
dass du dich danach nicht mehr einloggen konntest hatte mit der login änderung gar nichts zu tun sondern hing mit ajax zusammen, dafür braucht man eine neue spalte in der benutzertabelle. weil das thema endlich durch ist freue ich mich darüber, es jetzt schließen zu können |
Inaktiv |
|
Dieses Thema wurde von duRiel geschlossen. |
|
Antworten: 19
Seite [1] |