News - Features - Downloads - Forum - Team - Support - Switch View: Screen
Login - Registrierung - Passwort vergessen

Antworten: 19
Seite [1]
kaleido


Rock the board





Beiträge: 88
# Thema - 06.02.2008 um 13:59 Uhr
hi zusammen,

bei uns sind manchmal user verkehrt-herum eingeloggt, d.h. als jemand anderes.
beispiel: user A loggt sich ein, taucht aber als user B auf & schreibt fälschlicherweise auch posts als user B im forum.

mir ist es selbst noch nicht passiert, aber wenn das passieren kann, wäre dies ein sicherheitsproblem, nicht?
kann das mit den cookies zusammenhängen? ist bisher bei 2 usern, von denen ichs weiss, vorgekommen.

hat jemand eine idee?

viele grüße & danke im voraus,
kaleido


// edit: ich habe mal den thread-title aktualisiert, weil es mE eine schwerwiegende sicherheitslücke ist.
// edit2: ist wohl im aktuellen SVN gefixt.


------------------
Signatur +-


Zuletzt editiert von kaleido am 08.09.2008 um 12:02 Uhr (2x Editiert)
Inaktiv
h4ze


Geekboy




Herkunft: Itzehoe
Beiträge: 1433
# Antwort: 1 - 06.02.2008 um 14:29 Uhr
sind das geschwister und nutzen den selben pc?

sowas ist nicht bekannt und technisch auch - soweit ich weiss - ausgeschlossen. hab von sowas noch nie was gehört. würde das daher als erstes mal auf manschliche fehler schieben?

ot: fakeaccount? ^^


------------------
gembee.com - Upload your Life!
A Social Filesharing Network
"Wie YouTube, nur für alle Datei-Typen"


Inaktiv
|
kaleido
Thread-Ersteller


Rock the board





Beiträge: 88
# Antwort: 2 - 06.02.2008 um 21:47 Uhr
^^ nein.
bei beiden fällen völlig unterschiedliche rechner an unterschiedlichen stellen. ich kenne die betroffenen personen gut, also fakeaccount ausgeschlossen.

komische sache. wir haben die tage von ne subdomain auf ne richtige domain umgestellt. kanns daran liegen?


------------------
Signatur +-


Inaktiv
|
sgraewe ClanSphere Team

Supporter
Supporter




Beiträge: 6116
# Antwort: 3 - 06.02.2008 um 21:59 Uhr
Das war hier auf der seite auch schon
da war aufeinmal jemand in meinem acc -.-

is nen monat her oder so


Inaktiv
|
Deathmatix


Rock the board



Herkunft: Husum
Beiträge: 42
# Antwort: 4 - 06.02.2008 um 22:07 Uhr
auf meiner Page war das auch so, er schreibt mich icq an und meinte er hätte einen Post von einem anderen user geschrieben.. Sind beide ungefähr 300 km von einander entfernt. Bin nicht dahinter gekommen.
Kam aber erst, nachdem ich die 4.4 aufgesetzt habe.


------------------
MFG Deathmatix

(__/)
(O.o )
(> < )

This is Bunny. Copy Bunny into your signature to help him on his way to world domination.

Fun +-

-Ich rauche nicht, ich trinke nicht, ich fluche nicht! Verdammt nochmal, jetzt ist mir die Kippe ins Schnapsglas gefallen!
- Wenn Dummheit wachsen wuerde , koenntest Du knieend aus der Dachrinne saufen !
- Was ist Tierqu?lerei? Einer Schlange Viagra zu geben.
- Vegetarier essen das Essen meines Essens weg !



-->FERTISCH<--
ABWISCHEN !!!

Inaktiv
|
maikoldi


Going for pro




Herkunft: Ottersberg
Beiträge: 545
# Antwort: 5 - 06.02.2008 um 23:51 Uhr
jo ... kann mich auch gut erinnern das man hier irgendwie mal als admin eingeloggt war, als man von der demopage hier her geswitcht hat


------------------
Visit:http://www.roundowner.de
Puplicons +-



Inaktiv
|
Fr33z3m4n ClanSphere Team


Medal of Honor




Herkunft: Hamm
Beiträge: 11094
# Antwort: 6 - 07.02.2008 um 09:53 Uhr
hmm seltsame geschichte. Problem, ohne direkten Vergleich in diesem Moment, ist es schwer den Fehler zu finden. Ob vlt. der Server falsch versendet. ClanSphere Cookies falsch setzt. Oder ob diejenigen die gleichen Passwörter benutzen, so das es bei der SQL Abfrage zu einem Fehler kommen könnte.


------------------
mfg
Patrick "Fr33z3m4n" Jaskulski

Antoine de Saint-Exupéry: Wenn Du ein Schiff bauen willst, so trommle nicht Männer zusammen, um Holz zu beschaffen, Aufgaben zu verteilen, sondern lehre die Männer die Sehnsucht nach dem endlosen weiten Meer.

Inaktiv
|
kaleido
Thread-Ersteller


Rock the board





Beiträge: 88
# Antwort: 7 - 08.09.2008 um 11:46 Uhr
ok, ich kann das problem rekonstruieren & es ist mE ne schwerwiegende sicherheitslücke in eurem CMS! (habe den threadtitel aktualisiert). die lücke kann dazu ausgenutzt werden admin-zugriff zu bekommen.

//EDIT: Anleitung entfernt, Wir wollen hier keinen anzuregen, dieses auszunutze, o.ä. Fr33z3m4n

wenn ihr den thread ins interne verschiebt (was ev. angebracht wäre), haltet uns bitte auf dem laufenden. danke!


------------------
Signatur +-


Zuletzt editiert von Fr33z3m4n ClanSphere Team am 08.09.2008 um 12:00 Uhr (3x Editiert)
Inaktiv
|
Fr33z3m4n ClanSphere Team


Medal of Honor




Herkunft: Hamm
Beiträge: 11094
# Antwort: 8 - 08.09.2008 um 11:57 Uhr
Fix ist seit ca. 2 Wochen im SVN.

musst mal die letzten Changesets durchgucken.


------------------
mfg
Patrick "Fr33z3m4n" Jaskulski

Antoine de Saint-Exupéry: Wenn Du ein Schiff bauen willst, so trommle nicht Männer zusammen, um Holz zu beschaffen, Aufgaben zu verteilen, sondern lehre die Männer die Sehnsucht nach dem endlosen weiten Meer.

Inaktiv
|
kaleido
Thread-Ersteller


Rock the board





Beiträge: 88
# Antwort: 9 - 08.09.2008 um 12:02 Uhr
oh prima. danke. habe mittlerweile auch herausgefunden, dass beide user-ids die gleichen sind, können aber andere user sein.

aber ist da nicht ein hotfix oder wenigstens ne news angebracht? die wenigsten nutzen die SVN version...


------------------
Signatur +-


Inaktiv
|
Fr33z3m4n ClanSphere Team


Medal of Honor




Herkunft: Hamm
Beiträge: 11094
# Antwort: 10 - 08.09.2008 um 12:03 Uhr
wie ich dir bereits per PM Geschrieben habe, ist dies halt nicht wirklich von außen möglich.

hotfixes gibbet nicht, wenn nur releases, sind ja hier nicht bei bugspell, die dir x verschiedene Versionen um die Ohren hauen, und dann noch zu jeder Version 100 Hotfixes ^^


------------------
mfg
Patrick "Fr33z3m4n" Jaskulski

Antoine de Saint-Exupéry: Wenn Du ein Schiff bauen willst, so trommle nicht Männer zusammen, um Holz zu beschaffen, Aufgaben zu verteilen, sondern lehre die Männer die Sehnsucht nach dem endlosen weiten Meer.

Zuletzt editiert von Fr33z3m4n ClanSphere Team am 08.09.2008 um 12:04 Uhr (1x Editiert)
Inaktiv
|
kaleido
Thread-Ersteller


Rock the board





Beiträge: 88
# Antwort: 11 - 08.09.2008 um 13:54 Uhr
na sicherheitsprobleme habt ihr ja eh extrem selten & da euch sicherheit ja am herzen liegt, sollte euch die info für die user wichtiger sein als der etwaige image-schaden (sofern man da bei euch überhaupt von reden kann).

sieh es mal aus der sicht: wenns die info gegeben hätte (z.b. als news), hätte ich die SVN-version oder den fix wohl schon eingespielt & hätte nun nicht wochenlang ein u.U. kompromitiertes system gehabt.

aber das liegt bei euch, ich sag dir nur wie es bei großen projekten optimalerweise gehandhabt wird.


------------------
Signatur +-


Inaktiv
|
Fr33z3m4n ClanSphere Team


Medal of Honor




Herkunft: Hamm
Beiträge: 11094
# Antwort: 12 - 08.09.2008 um 14:05 Uhr
jo klar, danke für den Vorschlag. Weden darüber mal beratschlagen


------------------
mfg
Patrick "Fr33z3m4n" Jaskulski

Antoine de Saint-Exupéry: Wenn Du ein Schiff bauen willst, so trommle nicht Männer zusammen, um Holz zu beschaffen, Aufgaben zu verteilen, sondern lehre die Männer die Sehnsucht nach dem endlosen weiten Meer.

Inaktiv
|
kaleido
Thread-Ersteller


Rock the board





Beiträge: 88
# Antwort: 13 - 08.09.2008 um 14:07 Uhr
kein ursache.
ihr macht das schon prima so wie ihr das macht!


------------------
Signatur +-


Inaktiv
|
duRiel ClanSphere Team


Weltmeister




Herkunft: Cambridge
Beiträge: 7300
# Antwort: 14 - 08.09.2008 um 16:57 Uhr
hey das waren meine lorbeeren, mein fix


Inaktiv
|
Fr33z3m4n ClanSphere Team


Medal of Honor




Herkunft: Hamm
Beiträge: 11094
# Antwort: 15 - 08.09.2008 um 17:30 Uhr
Sollen ja auch deine Lorbeeren bleiben ^^


------------------
mfg
Patrick "Fr33z3m4n" Jaskulski

Antoine de Saint-Exupéry: Wenn Du ein Schiff bauen willst, so trommle nicht Männer zusammen, um Holz zu beschaffen, Aufgaben zu verteilen, sondern lehre die Männer die Sehnsucht nach dem endlosen weiten Meer.

Inaktiv
|
kaleido
Thread-Ersteller


Rock the board





Beiträge: 88
# Antwort: 16 - 08.09.2008 um 21:07 Uhr
thx duRiel fürs fixen^^

gibt aber noch ein kleines problem: SVN eingespielt -> man kann sich nichtmehr einloggen, d.h. es kommt wieder die seite wo man sich einloggen soll. wenn ich das backup wieder einspiele klappt da einloggen wieder.

das scheint die änderung im SVN zu sein:
http://clansphere.net/trac/clansphere/changeset/1171


------------------
Signatur +-


Zuletzt editiert von kaleido am 08.09.2008 um 21:30 Uhr (1x Editiert)
Inaktiv
|
sgraewe ClanSphere Team

Supporter
Supporter




Beiträge: 6116
# Antwort: 17 - 08.09.2008 um 21:58 Uhr
haste das sql-update ausgeführt?
und alle datein ersetzt?


Inaktiv
|
kaleido
Thread-Ersteller


Rock the board





Beiträge: 88
# Antwort: 18 - 09.09.2008 um 09:13 Uhr
ok, klappt nun. das sql-update vom SVN hatte ich vergessen einzuspielen.
danke!


------------------
Signatur +-


Inaktiv
|
duRiel ClanSphere Team


Weltmeister




Herkunft: Cambridge
Beiträge: 7300
# Antwort: 19 - 09.09.2008 um 12:51 Uhr
dass du dich danach nicht mehr einloggen konntest hatte mit der login änderung gar nichts zu tun sondern hing mit ajax zusammen, dafür braucht man eine neue spalte in der benutzertabelle.

weil das thema endlich durch ist freue ich mich darüber, es jetzt schließen zu können


Inaktiv
|

Dieses Thema wurde von duRiel ClanSphere Team PM geschlossen.

Antworten: 19
Seite [1]




ClanSphere Project - Mailus - Imprint - Disclaimer - Scriptinfo