Ihr seit alle Blöd
Ihr seit alle Blöd
ja dieser kumpel hat mir mal die url von einem forum beitrag geschickt und da war seine session id mit drin.
und jetzt kann ich in seinem namen artikel posten.
schlecht programmiert wirklich
ALSO DIESE NACHRICHT BITTE WIEDER LÖSCHEN! ALSBENUTZER FEHLT EINEM DAS RECHT DAZU.
Nee, nicht löschen -> mal sehen was die PL Leitung dazu sagt
und jetzt kann ich in seinem namen artikel posten.
schlecht programmiert wirklich
ALSO DIESE NACHRICHT BITTE WIEDER LÖSCHEN! ALSBENUTZER FEHLT EINEM DAS RECHT DAZU.
Nee, nicht löschen -> mal sehen was die PL Leitung dazu sagt
Last edited by mkresin on 16. Sep 2001 12:12, edited 2 times in total.
Re: Ihr seit alle Blöd
Wen interessiert`s ? Hauptsache man bekommt hier als Newbie Hilfestellung zu so manchen Problemen.
MfG
Michael
MfG
Michael
Re: Ihr seit alle Blöd
Wenn irgendjemand etwas in deinem Namen schreibt und damit die ganze Comuntity beleidigt denkst du da mit Sicherheit anders drüber nach. Dein E-Mail Passwort gibst du doch auch niemanden, oder?
der wahre Matze
der wahre Matze
soso . schlecht programmiert
vielleciht ist dir der Vorteil eines Sessionsystems nicht geläufig.
Sind Sicherheitsfirmen blöd, wenn ein Angestellter seinen Tresor-Schlüssel vergibt ?
mfg
Bazant
Dieses Posting bekommt von mir das goldene Freischwimmerabzeichen -> seichter Beitrag
Sind Sicherheitsfirmen blöd, wenn ein Angestellter seinen Tresor-Schlüssel vergibt ?
mfg
Bazant
Dieses Posting bekommt von mir das goldene Freischwimmerabzeichen -> seichter Beitrag
Re: Ihr seit alle Blöd
Es ist doch moeglich die ip in der session mitzuspeichern und einfach abzugleichen..
wuerde sowas verhindern
wuerde sowas verhindern
Re: Ihr seit alle Blöd
Hallo,
normalerweise wechselt die IP-Adresse jedesmal, wenn man sich neu einwählt, außer man hat von seinem Provider eine statische IP-Adresse erhalten (ist übrigens aus Sicherheitsgründen sinnvoll!!! -> Trojaner!!)
Gruß
Matthias
normalerweise wechselt die IP-Adresse jedesmal, wenn man sich neu einwählt, außer man hat von seinem Provider eine statische IP-Adresse erhalten (ist übrigens aus Sicherheitsgründen sinnvoll!!! -> Trojaner!!)
Gruß
Matthias
Re: Ihr seit alle Blöd
Hallo,
normalerweise wechselt die IP-Adresse jedesmal, wenn man sich neu einwählt, außer man hat von seinem Provider eine statische IP-Adresse erhalten (eine wechselnde IP-Adresse ist übrigens aus Sicherheitsgründen sinnvoll, da man so von außen für Angriffe mit z.B. Trojanern nicht so leichte Beute ist!)
Gruß
Matthias
normalerweise wechselt die IP-Adresse jedesmal, wenn man sich neu einwählt, außer man hat von seinem Provider eine statische IP-Adresse erhalten (eine wechselnde IP-Adresse ist übrigens aus Sicherheitsgründen sinnvoll, da man so von außen für Angriffe mit z.B. Trojanern nicht so leichte Beute ist!)
Gruß
Matthias
Re: Ihr seit alle Blöd
Also
wenn ich mich einlogge bei prolinux
dann sollte aus dem prolinuxserver die ipadresse gespeichert werden
und bei jedem aufruf einer prolinuxseite(DI-Center) wird diese serverseitige gespeicherte ip mit der von der die anfrage kommt getestet
falls die nicht gleiche sind -> error
wenn ich mich zwischendurch neu eingewaehlt habe muss ich mich halt neu anmelden
Ich
wenn ich mich einlogge bei prolinux
dann sollte aus dem prolinuxserver die ipadresse gespeichert werden
und bei jedem aufruf einer prolinuxseite(DI-Center) wird diese serverseitige gespeicherte ip mit der von der die anfrage kommt getestet
falls die nicht gleiche sind -> error
wenn ich mich zwischendurch neu eingewaehlt habe muss ich mich halt neu anmelden
Ich
Re: Ihr seit alle Blöd
Es würde ja reichen wenn nach dem Cookie geguckt werden würde das auf meinem Rechner liegt. Das dürfte ja mit Wahrscheinlichkeit bei meinem Kumpel nicht vorhanden sein. Wird ja erstellt wenn man sich mit dem Login Namen und dem Passwort einloggt. Damit wäre das Problem ja dann auch erschlagen.
Die Tatsache mit der Gegenprüfung der IP-Adresse würde eine effektive Lösung für alle Session Systeme darstellen. Wie oft hat man denn schon gehört das die Session-Daten durch irgendwelche Links in HTML Mails, die man bei einem Freemail Provider liesst, übertragen wurden und damit ganze Account übernommen wurden.
Und nun nochmal schnell zum Tresorschlüssel. Ich bin mal der Meinung das der Tressorschlüssel das Passwort ist und das wurde ja nicht weitergegeben. Es ist wohl eher so, das der Weg vom Tressor zum Panzerwagen quer durch eine Ansammlung von Trickdieben verläuft.
Matze
P.S: Trotzdem ist das Board relativ sicher. Wenn man erstmal weiß das es so reagiert, kann man solche Sachen in Zukunft vermeiden. Und (zum Glück) sind ja direkte Links im Nachrichtentext nicht erlaubt/möglich und dadurch wird das Problem der Freemailer vermieden. Bleibt nur die Frage ob man den Referer (mit den Session Daten) bei der Eingabe einer neuen URL auslesen könnte...
Die Tatsache mit der Gegenprüfung der IP-Adresse würde eine effektive Lösung für alle Session Systeme darstellen. Wie oft hat man denn schon gehört das die Session-Daten durch irgendwelche Links in HTML Mails, die man bei einem Freemail Provider liesst, übertragen wurden und damit ganze Account übernommen wurden.
Und nun nochmal schnell zum Tresorschlüssel. Ich bin mal der Meinung das der Tressorschlüssel das Passwort ist und das wurde ja nicht weitergegeben. Es ist wohl eher so, das der Weg vom Tressor zum Panzerwagen quer durch eine Ansammlung von Trickdieben verläuft.
Matze
P.S: Trotzdem ist das Board relativ sicher. Wenn man erstmal weiß das es so reagiert, kann man solche Sachen in Zukunft vermeiden. Und (zum Glück) sind ja direkte Links im Nachrichtentext nicht erlaubt/möglich und dadurch wird das Problem der Freemailer vermieden. Bleibt nur die Frage ob man den Referer (mit den Session Daten) bei der Eingabe einer neuen URL auslesen könnte...
Re: Ihr seit alle Blöd
verstehe ich das jetzt recht???
Du schlägst eine Authentifizierung über Cookies vor???
Cookies sind _nur_ für das identifizieren gedacht. (und Doubleclick;)
Also sorry.....
lasse dir das noch mal durch den Kopf gehen. und gucke dir die Cookies an.
Ach ja, manche Cookies können von jedem Server ausgelesen werden...
(Link hier posten der auf meine Seite zeigt und dort mittels REfferrer ermitteln wer von hier kommt und mal sehen ob der Client die Cookies rausrückt. Nach 10 Minuten hat man dann eine Schachtel mit Keksen....)
Gruss Max
PS erstmal einenn Kaffee trinken...
Du schlägst eine Authentifizierung über Cookies vor???
Cookies sind _nur_ für das identifizieren gedacht. (und Doubleclick;)
Also sorry.....
lasse dir das noch mal durch den Kopf gehen. und gucke dir die Cookies an.
Ach ja, manche Cookies können von jedem Server ausgelesen werden...
(Link hier posten der auf meine Seite zeigt und dort mittels REfferrer ermitteln wer von hier kommt und mal sehen ob der Client die Cookies rausrückt. Nach 10 Minuten hat man dann eine Schachtel mit Keksen....)
Gruss Max
PS erstmal einenn Kaffee trinken...
Cookies zu authentifizierung
Da habe ich mich wohl etwas unverständlich ausgedrückt. Nun nochmal: Beim absenden eines Artikel sollte gepüft werden ob der Name im PL-Forum Cookie mit dem in der Session verankerten übereinstimmt. Gut das würde auch nicht gegen das Szenario helfen welches du geschildert hast. Nur funktioniert das nicht momentan genauso gut? Wenn ich auf einen Link hier im Forum klicke, kann man doch auch den Referrer auslesen. Und zwar einen Referrer mit Session ID...
Matze
Matze
Re: Ihr seit alle Blöd
sagen wir es mal so....
Es stört mich nicht sonderlich.
Im Gegenteil.
Ich kenne noch ein anderes UltraBoard, auf das man überhaupt kein Zugriff auf irgendein Board hat.
Man muss sich immer einloggen.
Ich bin hier auch angemeldet mit gleichen Nick, nutze das aber nicht weil ich mich sonst laufend anmelden müsste.
Ich kann jetzt genauso gut unter Matze,HJB oder demon posten.
Was solls.
Sowas kommt hier zum Glück sehr selten vor.
Deswegen pfeiff drauf, solange es nur um ein Forum geht.
Gruss Max
Es stört mich nicht sonderlich.
Im Gegenteil.
Ich kenne noch ein anderes UltraBoard, auf das man überhaupt kein Zugriff auf irgendein Board hat.
Man muss sich immer einloggen.
Ich bin hier auch angemeldet mit gleichen Nick, nutze das aber nicht weil ich mich sonst laufend anmelden müsste.
Ich kann jetzt genauso gut unter Matze,HJB oder demon posten.
Was solls.
Sowas kommt hier zum Glück sehr selten vor.
Deswegen pfeiff drauf, solange es nur um ein Forum geht.
Gruss Max
Re: Ihr seit alle Blöd
Wir haben das Ding nicht slber gemacht, von dhr kein suppotr voin unz
Re: Ihr seit alle Blöd
Hallo,
An Matze & Co. die meinen das das Board nicht sicher ist:
1. könntet Ihr euch besser ausdrücken
2. Schon mal was von deutscher Rechtschreibung gehört? > seit < Ich dachte immer das wird mit > d < geschrieben. Muss ich mich wohl geirrt haben. *am Mo mal in der Schule nachfragt ob das nach der neuen Rechtschreibung mit > t < geschrieben wird*
3. könnt Ihr ja ein Board entwickeln das besser funktioniert, aber ohne Sicherheitslücken, und es dann kostenlos dem Pro-Linux-Team zur Verfügung stellen.
4. Könntet Ihr Euch ja an die Ultra-Board-Hersteller wenden und denen Fehler im Programm melden, anstatt hier Leute zu beleidigen, die es nicht ändern können. Es wird hier schon mehr als genug gute Arbeit vom Pro-Linux-Team geleistet.
Das musste ich jetzt raus lassen.
Dieter
An Matze & Co. die meinen das das Board nicht sicher ist:
1. könntet Ihr euch besser ausdrücken
2. Schon mal was von deutscher Rechtschreibung gehört? > seit < Ich dachte immer das wird mit > d < geschrieben. Muss ich mich wohl geirrt haben. *am Mo mal in der Schule nachfragt ob das nach der neuen Rechtschreibung mit > t < geschrieben wird*
3. könnt Ihr ja ein Board entwickeln das besser funktioniert, aber ohne Sicherheitslücken, und es dann kostenlos dem Pro-Linux-Team zur Verfügung stellen.
4. Könntet Ihr Euch ja an die Ultra-Board-Hersteller wenden und denen Fehler im Programm melden, anstatt hier Leute zu beleidigen, die es nicht ändern können. Es wird hier schon mehr als genug gute Arbeit vom Pro-Linux-Team geleistet.
Das musste ich jetzt raus lassen.
Dieter