Anzeige der Session ID in der url

Antworten
Benutzeravatar
aeyol
Artguy
Beiträge: 2784
Registriert: 29. Mai 2006, 06:41
Wohnort: Berlin
Kontaktdaten:

Anzeige der Session ID in der url

Beitrag von aeyol » 12. Jun 2006, 21:07

Mh... ließe es sich einrichten, dass die Session ID in der url nicht angezeigt wird? Ich kenn das aus WBB Foren, wo die ausgeblendet wird, afaik aus Sicherheitsgründen (?).
Das sähe dann so aus:
http://www.digitalartforum.de/forum/pos ... &f=13&sid=

Es kommt ja mal vor, dass man Links zu anderen Threads hier im Forum setzen möchte, und wenn man die so direkt kopiert, wird die Session ID direkt übernommen.
Ich weiß natürlich nicht, ob das jetzt tatsächlich (noch) eine Sicherheitslücke darstellt, aber sicherheitshalber frage ich lieber nach. :)
Wenn ich kein Frosch wär´, könnten Vögel fliegen.

Benutzeravatar
Akron
Newbie
Beiträge: 17
Registriert: 29. Mai 2006, 09:01
Wohnort: Bielefeld
Kontaktdaten:

Beitrag von Akron » 12. Jun 2006, 23:19

Dürfte die SID von Typo sein, steht zumindest im fe_typo_user-Cookie. Sollte das tatsächlich die einzige Synchronisation sein, wäre es in der Tat eine potentielle Sicherheitslücke.

fxk
Moderator
Moderator
Beiträge: 1390
Registriert: 12. Apr 2006, 00:12
Wohnort: Pirkenbrunn
Kontaktdaten:

Beitrag von fxk » 18. Jun 2006, 15:10

bedankt euch bei phpBB welches die SID automatisch anhaengt und teilweise benoetigt. ggf. kann ich das noch rauswerfen...
In jedem Falle wird die Session-ID jedoch noch mit der IP verglichen so dass es keine Sicherheitsprobleme geben duerfte
I'm the great Cornholio - I need some TP for my bonghole...

Benutzeravatar
aeyol
Artguy
Beiträge: 2784
Registriert: 29. Mai 2006, 06:41
Wohnort: Berlin
Kontaktdaten:

Beitrag von aeyol » 18. Jun 2006, 15:18

Wenn das so ist, bin ich ja beruhigt. :)
Wenn ich kein Frosch wär´, könnten Vögel fliegen.

Benutzeravatar
Akron
Newbie
Beiträge: 17
Registriert: 29. Mai 2006, 09:01
Wohnort: Bielefeld
Kontaktdaten:

Beitrag von Akron » 19. Jun 2006, 22:22

Sind diese IP-Vergleiche nicht in Zeiten von Dynamischen IP-Zuweisungen, Munchern und VPNs (da wechsel ich ziemlich oft durch - manchmal minütlich! ;)) eher ungünstig? Also - ich muss mich auch jedesmal neu anmelden - wie es schon viele hier beklagten. Eine versteckte SID ohne Gegenkontrolle fände ich da besser. Wird meines Wissens auch üblicherweise so gehandhabt.

Antworten

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder