#26

Aw:: [ungelöst] XOOPS 2.4.x + ijabbar ( ejabberd ) autologin

12.06.2010 20:23 ah jetzt blick ichs der schreibt sein cookie dann um und macht sein nick da darein ?

#25

Aw:: [ungelöst] XOOPS 2.4.x + ijabbar ( ejabberd ) autologin

12.06.2010 20:21 Zitat:

dem XOOPS schadet das nicht
aber jeder User deiner Seite könnte das Cookie modifizieren und sich unter deinem namen einloggen (die Session ist ja da)

Und nein, nicht in das XOOPS sondern woanders, noch fragen?

#24

Aw:: [ungelöst] XOOPS 2.4.x + ijabbar ( ejabberd ) autologin

12.06.2010 12:57 okay soweit habe ich es nun verstanden
xoops_session hier kommt die session rein
xoops_userhier kommt normalerweise der nick rein aber da steht meist ein 0 drin also ich sehe da noch immer kein problemo naja okay so gut soweit vielen dann für denn hinweiss und support :)

#23

Aw:: [ungelöst] XOOPS 2.4.x + ijabbar ( ejabberd ) autologin

12.06.2010 08:41 In dem Kekes steht normal dein Sessionnummer, die niemand weiß, außer der Server und dieser steht in der Session-Tabelle.
Dieser Sessionnummer wird normal in den Keks geschrieben und so kannst Du für den Server wiedererkannt werden.

Schreibst Du dagegen deinen Usernamen, den jeder lesen kann hinein, ist es ein einfaches sich selbst einen Keks zu erstellen und sich mit deinen Daten einzuloggen. Das ganze kann man auch Programmgesteuert durchziehen, wobei dieses dann wesentlich schneller geht.

Solltest Du noch dazu Adminrechte haben, wäre dies am fatalsten.

Liest sich zwar jetzt wie eine Gebrauchsanleitung, jedoch denke ich nicht, dass irgend jemand solch eine Veränderung vorgenommen hat.

Ich, sowie andere Admins / Moderatoren versuchen immer wieder darauf hinzuweisen, dass man nur Veränderungen am Core vornimmt, wenn man genau weiß was man macht!

Muki

#22

Aw:: [ungelöst] XOOPS 2.4.x + ijabbar ( ejabberd ) autologin

11.06.2010 17:40 sag mir mal bitte was da so schwere sicherheitslücke ist nur weil ich setcookie($xoopsConfig['usercookie'], $uname, -1, '/', XOOPS_COOKIE_DOMAIN, 0); geändert habe ?

#21

Aw:: [ungelöst] XOOPS 2.4.x + ijabbar ( ejabberd ) autologin

11.06.2010 17:06 Zitat:
Das kann ich durchaus verstehen, jedoch sollte man verstehen was man selbst tut, wenn man solche einschneidenden Veränderungen am Core vornimmt und diese dann auch noch veröffendlicht.

Wie alfred schon schrieb, können wir nur Support für das Xoops Core leisten und wenn dann noch zeit bleibt, für Xoopsmodule. Das liegt nicht daran, dass wir mehr nicht machen wollen, sondern ganz einfach an dem Faktor Zeit.

Muki

#20

Aw:: [ungelöst] XOOPS 2.4.x + ijabbar ( ejabberd ) autologin

11.06.2010 16:24 hmm okay ich hatte leider nur die lösung da ich noch ein anfänger bin und leider hat mir keiner geholfen

#19

Aw::XOOPS 2.4.x + ijabbar ( ejabberd ) autologin

11.06.2010 10:58 Dein weg dieses so umzuprogrammieren liefert Dir zwar dein erhofftes Ergebnis, jedoch hebelt es die Sicherheit von Xoops komplett aus.

Deswegen stufe ich diese Lösung als massives Sicherheitsproblem ein.
Deswegen rate ich jedem diese Veränderung nicht vorzunehmen.

Eine Alternative wäre gewesen, zusätzlich in den Keks den Usernamen zu schreiben. Inwieweit das dann noch kompatible zu Xoops ist, kann ich nicht sagen, da mir die Zeit fehlt, dieses zu überprüfen.

Muki

#18

Aw::XOOPS 2.4.x + ijabbar ( ejabberd ) autologin

10.06.2010 10:25 /include Datei : checklogin.php
Zeile : 81



ändern




die ijab_config.js



oder

#17

Aw::XOOPS 2.4.x + ijabbar ( ejabberd ) autologin

02.06.2010 15:02 Da kein allgemeines Interesse besteht ist es erledigt
Falls sich doch jemand findet, kann er es ja posten.