Ihr seit alle Blöd

[mkresin]

ja dieser kumpel hat mir mal die url von einem forum beitrag geschickt und da war seine session id mit drin.

und jetzt kann ich in seinem namen artikel posten.

schlecht programmiert wirklich

ALSO DIESE NACHRICHT BITTE WIEDER LÖSCHEN! ALSBENUTZER FEHLT EINEM DAS RECHT DAZU.

Nee, nicht löschen -> mal sehen was die PL Leitung dazu sagt

[Michael]

Wen interessiert`s ? Hauptsache man bekommt hier als Newbie Hilfestellung zu so manchen Problemen.


MfG
Michael

[mkresin]

Wenn irgendjemand etwas in deinem Namen schreibt und damit die ganze Comuntity beleidigt denkst du da mit Sicherheit anders drüber nach. Dein E-Mail Passwort gibst du doch auch niemanden, oder?

der wahre Matze

[Bazant]

vielleciht ist dir der Vorteil eines Sessionsystems nicht geläufig.
Sind Sicherheitsfirmen blöd, wenn ein Angestellter seinen Tresor-Schlüssel vergibt ?

mfg
Bazant

Dieses Posting bekommt von mir das goldene Freischwimmerabzeichen -> seichter Beitrag

[Ich]

Es ist doch moeglich die ip in der session mitzuspeichern und einfach abzugleichen..
wuerde sowas verhindern

[MG]

Hallo,

normalerweise wechselt die IP-Adresse jedesmal, wenn man sich neu einwählt, außer man hat von seinem Provider eine statische IP-Adresse erhalten (ist übrigens aus Sicherheitsgründen sinnvoll!!! -> Trojaner!!)
Gruß

Matthias

[MG]

Hallo,

normalerweise wechselt die IP-Adresse jedesmal, wenn man sich neu einwählt, außer man hat von seinem Provider eine statische IP-Adresse erhalten (eine wechselnde IP-Adresse ist übrigens aus Sicherheitsgründen sinnvoll, da man so von außen für Angriffe mit z.B. Trojanern nicht so leichte Beute ist!)
Gruß

Matthias

[Ich]

Also
wenn ich mich einlogge bei prolinux
dann sollte aus dem prolinuxserver die ipadresse gespeichert werden
und bei jedem aufruf einer prolinuxseite(DI-Center) wird diese serverseitige gespeicherte ip mit der von der die anfrage kommt getestet
falls die nicht gleiche sind -> error
wenn ich mich zwischendurch neu eingewaehlt habe muss ich mich halt neu anmelden

Ich

[mkresin]

Es würde ja reichen wenn nach dem Cookie geguckt werden würde das auf meinem Rechner liegt. Das dürfte ja mit Wahrscheinlichkeit bei meinem Kumpel nicht vorhanden sein. Wird ja erstellt wenn man sich mit dem Login Namen und dem Passwort einloggt. Damit wäre das Problem ja dann auch erschlagen.

Die Tatsache mit der Gegenprüfung der IP-Adresse würde eine effektive Lösung für alle Session Systeme darstellen. Wie oft hat man denn schon gehört das die Session-Daten durch irgendwelche Links in HTML Mails, die man bei einem Freemail Provider liesst, übertragen wurden und damit ganze Account übernommen wurden.

Und nun nochmal schnell zum Tresorschlüssel. Ich bin mal der Meinung das der Tressorschlüssel das Passwort ist und das wurde ja nicht weitergegeben. Es ist wohl eher so, das der Weg vom Tressor zum Panzerwagen quer durch eine Ansammlung von Trickdieben verläuft.

Matze

P.S: Trotzdem ist das Board relativ sicher. Wenn man erstmal weiß das es so reagiert, kann man solche Sachen in Zukunft vermeiden. Und (zum Glück) sind ja direkte Links im Nachrichtentext nicht erlaubt/möglich und dadurch wird das Problem der Freemailer vermieden. Bleibt nur die Frage ob man den Referer (mit den Session Daten) bei der Eingabe einer neuen URL auslesen könnte...

[Max]

verstehe ich das jetzt recht???
Du schlägst eine Authentifizierung über Cookies vor???
Cookies sind _nur_ für das identifizieren gedacht. (und Doubleclick;)
Also sorry.....
lasse dir das noch mal durch den Kopf gehen. und gucke dir die Cookies an.
Ach ja, manche Cookies können von jedem Server ausgelesen werden...
(Link hier posten der auf meine Seite zeigt und dort mittels REfferrer ermitteln wer von hier kommt und mal sehen ob der Client die Cookies rausrückt. Nach 10 Minuten hat man dann eine Schachtel mit Keksen....)

Gruss Max

PS erstmal einenn Kaffee trinken...

[mkresin]

Da habe ich mich wohl etwas unverständlich ausgedrückt. Nun nochmal: Beim absenden eines Artikel sollte gepüft werden ob der Name im PL-Forum Cookie mit dem in der Session verankerten übereinstimmt. Gut das würde auch nicht gegen das Szenario helfen welches du geschildert hast. Nur funktioniert das nicht momentan genauso gut? Wenn ich auf einen Link hier im Forum klicke, kann man doch auch den Referrer auslesen. Und zwar einen Referrer mit Session ID...

Matze

[Max]

sagen wir es mal so....
Es stört mich nicht sonderlich.
Im Gegenteil.
Ich kenne noch ein anderes UltraBoard, auf das man überhaupt kein Zugriff auf irgendein Board hat.
Man muss sich immer einloggen.
Ich bin hier auch angemeldet mit gleichen Nick, nutze das aber nicht weil ich mich sonst laufend anmelden müsste.
Ich kann jetzt genauso gut unter Matze,HJB oder demon posten.
Was solls.
Sowas kommt hier zum Glück sehr selten vor.
Deswegen pfeiff drauf, solange es nur um ein Forum geht.

Gruss Max

[demon]

Wir haben das Ding nicht slber gemacht, von dhr kein suppotr voin unz

[Dieter Freimark]

Hallo,

An Matze & Co. die meinen das das Board nicht sicher ist:

1. könntet Ihr euch besser ausdrücken
2. Schon mal was von deutscher Rechtschreibung gehört? > seit < Ich dachte immer das wird mit > d < geschrieben. Muss ich mich wohl geirrt haben. *am Mo mal in der Schule nachfragt ob das nach der neuen Rechtschreibung mit > t < geschrieben wird*
3. könnt Ihr ja ein Board entwickeln das besser funktioniert, aber ohne Sicherheitslücken, und es dann kostenlos dem Pro-Linux-Team zur Verfügung stellen.
4. Könntet Ihr Euch ja an die Ultra-Board-Hersteller wenden und denen Fehler im Programm melden, anstatt hier Leute zu beleidigen, die es nicht ändern können. Es wird hier schon mehr als genug gute Arbeit vom Pro-Linux-Team geleistet.

Das musste ich jetzt raus lassen.

Dieter