Startseite » Off topic » Alles über die Foren-Software » Forum-Software hat ein Sicherheitsproblem
Forum-Software hat ein Sicherheitsproblem [Beitrag #351409] :: Fri, 27 November 2015 13:53 Zum nächsten Beitrag gehen
Beim einloggen wird kein Cookie gesetzt, sonder das Forum erkennt den User scheinbar anhand der IP.
Nun war ich über TOR im Forum und es passiert nicht nur, dass wenn ich (wieder) über dieselbe TOR-IP im Forum bin, ich auch wieder eingeloggt bin (ohne mich einzuloggen), sondern auch, dass wenn jemand anderer über dieselbe TOR-IP im Forum war, ich nun als dieser andere jemand eingeloggt bin..
Das bedeutet (allgemein), erwischt man dieselbe dynamische IP, die ein anderer User davor hatte und sich wahrscheinlich nicht ausgeloggt hat, kann man seine ID übernehmen..
Klar das falsche Weg in einem Szenario, in dem die IP Adressen nicht statisch sind..


[Aktualisiert am: Fri, 27 November 2015 14:08]




Time, the great one, destroyer of worlds

Den Beitrag einem Moderator melden

 Eine private Nachricht an diesen Benutzer verschicken  
 
Aw: Forum-Software hat ein Sicherheitsproblem [Beitrag #351415 ist eine Antwort auf Beitrag #351409] :: Fri, 27 November 2015 14:19 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
es wird auch ein cookie gesetzt...

wenn ich den lösche, muss ich mich neu anmelden...

allein über ipv4 würde nicht funktionieren, ipv6 schon

es gibt aber noch viel mehr was dein browser so übermittelt Smile




„Der Selbstbewusste fühlt sich überlegen, der Unsichere wie ein Wurm. Der Narzisst fühlt sich wie ein überlegener Wurm.“

-Wolfgang Joop-


Den Beitrag einem Moderator melden

 Eine private Nachricht an diesen Benutzer verschicken  
 
Aw: Forum-Software hat ein Sicherheitsproblem [Beitrag #351420 ist eine Antwort auf Beitrag #351415] :: Fri, 27 November 2015 14:43 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
andal schrieb am Fri, 27 November 2015 14:19
es wird auch ein cookie gesetzt...

Bei mir (grundsätzlich) nicht. Wie könnte ich auch sonst als jmd anderer eingeloggt sein beim bloßen Aufruf der Seite mit dem Tor Browser?





Time, the great one, destroyer of worlds

Den Beitrag einem Moderator melden

 Eine private Nachricht an diesen Benutzer verschicken  
 
Aw: Forum-Software hat ein Sicherheitsproblem [Beitrag #351427 ist eine Antwort auf Beitrag #351415] :: Fri, 27 November 2015 14:55 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
andal schrieb am Fri, 27 November 2015 14:19
es wird auch ein cookie gesetzt...

wenn ich den lösche, muss ich mich neu anmelden...

allein über ipv4 würde nicht funktionieren, ipv6 schon

es gibt aber noch viel mehr was dein browser so übermittelt Smile



mach doch folgendes,

schreib dem betreffenden eine pn, und frag ihn, wann er das letzte mal über tor eingeloggt war....
so nähern wir uns langsam an...

gruss





„Der Selbstbewusste fühlt sich überlegen, der Unsichere wie ein Wurm. Der Narzisst fühlt sich wie ein überlegener Wurm.“

-Wolfgang Joop-


Den Beitrag einem Moderator melden

 Eine private Nachricht an diesen Benutzer verschicken  
 
Aw: Forum-Software hat ein Sicherheitsproblem [Beitrag #351428 ist eine Antwort auf Beitrag #351427] :: Fri, 27 November 2015 15:02 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
andal schrieb am Fri, 27 November 2015 14:55

mach doch folgendes

Brauche ich nicht, da wie oben beschrieben, ich auch mal (nicht immer!) als ich am nächsten Tag eingeloggt war, d.h., nachdem mein System zwischenzeitlich heruntergefahren war. Der Tor Browser speichert auf höchster Sicherheitsstufe nichts und auch wenn wird alles beim schließen des Browsers gelöscht..


[Aktualisiert am: Fri, 27 November 2015 15:04]




Time, the great one, destroyer of worlds

Den Beitrag einem Moderator melden

 Eine private Nachricht an diesen Benutzer verschicken  
 
Aw: Forum-Software hat ein Sicherheitsproblem [Beitrag #351429 ist eine Antwort auf Beitrag #351428] :: Fri, 27 November 2015 15:06 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
also habs soeben getestet, bei mir nicht reproduzierbar....





„Der Selbstbewusste fühlt sich überlegen, der Unsichere wie ein Wurm. Der Narzisst fühlt sich wie ein überlegener Wurm.“

-Wolfgang Joop-


Den Beitrag einem Moderator melden

 Eine private Nachricht an diesen Benutzer verschicken  
 
Aw: Forum-Software hat ein Sicherheitsproblem [Beitrag #351431 ist eine Antwort auf Beitrag #351429] :: Fri, 27 November 2015 15:16 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
andal schrieb am Fri, 27 November 2015 15:06
also habs soeben getestet, bei mir nicht reproduzierbar....

Was reprod.?





Time, the great one, destroyer of worlds

Den Beitrag einem Moderator melden

 Eine private Nachricht an diesen Benutzer verschicken  
 
Aw: Forum-Software hat ein Sicherheitsproblem [Beitrag #351432 ist eine Antwort auf Beitrag #351431] :: Fri, 27 November 2015 15:25 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
ich probier gerade verschiedene ips... Very Happy

ich verwende tor eigentlich nicht, sondern vpn, daher dauerts Uh Oh

was ich bisher gefunden hab

Password fields present in a form with an insecure (http://) form action. This is a security risk that allows user login credentials to be stolen

auch nicht perfekt, aber gut....




„Der Selbstbewusste fühlt sich überlegen, der Unsichere wie ein Wurm. Der Narzisst fühlt sich wie ein überlegener Wurm.“

-Wolfgang Joop-


Den Beitrag einem Moderator melden

 Eine private Nachricht an diesen Benutzer verschicken  
 
Aw: Forum-Software hat ein Sicherheitsproblem [Beitrag #351434 ist eine Antwort auf Beitrag #351409] :: Fri, 27 November 2015 15:34 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Man muß angemeldet bleiben nehme ich an. Offensichtlich funktioniert es über TOR.





Time, the great one, destroyer of worlds

Den Beitrag einem Moderator melden

 Eine private Nachricht an diesen Benutzer verschicken  
 
Aw: Forum-Software hat ein Sicherheitsproblem [Beitrag #351437 ist eine Antwort auf Beitrag #351434] :: Fri, 27 November 2015 15:52 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
http://www.proxy-listen.de/Proxy/Proxychecker.html

schau da mal mit deinem tor-browser rein....

denke die moderation kennt die forumsoftware, und kann sich dazu äußern, bei mir verhält es sich so wie es sollte....

man könnte jetzt noch einen testaccount über proxy ip anlegen, dann mit anderem browser etc. etc.

denke das führt zuweit





„Der Selbstbewusste fühlt sich überlegen, der Unsichere wie ein Wurm. Der Narzisst fühlt sich wie ein überlegener Wurm.“

-Wolfgang Joop-


Den Beitrag einem Moderator melden

 Eine private Nachricht an diesen Benutzer verschicken  
 
Aw: Forum-Software hat ein Sicherheitsproblem [Beitrag #351460 ist eine Antwort auf Beitrag #351409] :: Fri, 27 November 2015 18:58 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Nein, der User-Check erfolgt NICHT nach der IP.

Standardmäßig über Cookies, soweit diese blockiert sind über Sessions die zeitlich limitiert sind.




Alopezie.de -
Foren Haarausfall und Haartransplantation

Den Beitrag einem Moderator melden

 Eine private Nachricht an diesen Benutzer verschicken  
 
Aw: Forum-Software hat ein Sicherheitsproblem [Beitrag #351484 ist eine Antwort auf Beitrag #351409] :: Sat, 28 November 2015 04:47 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
SSL / HTTPS wäre cool Nod




Fin seit 2009 (1.25mg/Woche); Minox seit 2011; Ket seit 2012 (1%/Tag)
Abgesetzt: Dut 2011-2017 (0.05mg/Woche); RU 2014-2017 (3%/Tag)

Den Beitrag einem Moderator melden

 Eine private Nachricht an diesen Benutzer verschicken  
 
Aw: Forum-Software hat ein Sicherheitsproblem [Beitrag #358204 ist eine Antwort auf Beitrag #351409] :: Tue, 16 February 2016 11:22 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
Ich wollte Bescheid geben, dass ich in einem neu geöffneten Inkognito-Fenster von IE11 mit einem Klick auf Allg.Forum "automatisch angemeldet" werde, was in dem Modus eigentlich nicht möglich sein dürfte. Win10Pro


Den Beitrag einem Moderator melden

 Eine private Nachricht an diesen Benutzer verschicken  
 
Aw: Forum-Software hat ein Sicherheitsproblem [Beitrag #358231 ist eine Antwort auf Beitrag #358204] :: Tue, 16 February 2016 18:06 Zum vorherigen Beitrag gehenZum nächsten Beitrag gehen
das ist aber kein problem mit der forum software, eher von IE11/Win10 von M$...

probier mal nen anderen browser, bzw. check deine browser config.

ich verwende u.a. chrome, da passiert das nicht, gibt natürlich noch anderes/besseres...

ehrlich kann das *Sicherheitsbestreben* hier nicht wirklich nachvollziehen...

es gibt websites, da kommt es sehr viel mehr drauf an, aber gut...

hoffe du kennst dich etwas aus, sonst sind WIN10 +IE11 nicht das richtige für dich, wenn dir deine *Sicherheit+ Privatsphäre* wichtig sind...

lg




„Der Selbstbewusste fühlt sich überlegen, der Unsichere wie ein Wurm. Der Narzisst fühlt sich wie ein überlegener Wurm.“

-Wolfgang Joop-


Den Beitrag einem Moderator melden

 Eine private Nachricht an diesen Benutzer verschicken  
 
Aw: Forum-Software hat ein Sicherheitsproblem [Beitrag #358234 ist eine Antwort auf Beitrag #358204] :: Tue, 16 February 2016 18:40 Zum vorherigen Beitrag gehen
Auch im Anonymous-Mode gibt es Cookies und Formularerkennung. Wie das im einzelnen bei jedem Browser verarbeitet wird liegt nicht in unserer Hand, eher in den Einstellungen der jeweiligen Software




Alopezie.de -
Foren Haarausfall und Haartransplantation

Den Beitrag einem Moderator melden

 Eine private Nachricht an diesen Benutzer verschicken  
 
Vorheriges Thema: Ich möchte einen Bug melden
Nächstes Thema: Problem "leere Beiträge" behoben
Gehe zum Forum:
  


aktuelle Zeit: Fri Mar 29 02:26:10 CET 2024

Insgesamt benötigte Zeit, um die Seite zu erzeugen: 0.04179 Sekunden
Partner Hairforlife FUE EUROPE