Diesen Thread durchsuchen:   1 Anonyme Benutzer



BottomBottom  Vorheriges Thema Vorheriges Thema  Nächstes Thema Nächstes Thema   Zum Post anmelden

(1) 2 3 »


Aw:: [ungelöst] XOOPS 2.4.x + ijabbar ( ejabberd ) autologin
#26
"myXOOPs"-Neuling
"myXOOPs"-Neuling


Siehe Benutzerinformationen
ah jetzt blick ichs der schreibt sein cookie dann um und macht sein nick da darein ?

Gepostet am:12.06.2010
 Top  Bericht


Aw:: [ungelöst] XOOPS 2.4.x + ijabbar ( ejabberd ) autologin
#25
Administrator
Administrator


Siehe Benutzerinformationen
Zitat:

Accessdenied5k schrieb:
sag mir mal bitte was da so schwere sicherheitslücke ist nur weil ich setcookie($xoopsConfig['usercookie'], $uname, -1, '/', XOOPS_COOKIE_DOMAIN, 0); geändert habe ?


dem XOOPS schadet das nicht
aber jeder User deiner Seite könnte das Cookie modifizieren und sich unter deinem namen einloggen (die Session ist ja da)

Und nein, nicht in das XOOPS sondern woanders, noch fragen?

Gepostet am:12.06.2010
 Top  Bericht


Advertisement


Hier könnten Sie Ihre Anzeige aufgeben!
Bitte kontaktieren Sie uns, um mehr darüber zu erfahren.
 Top 


Aw:: [ungelöst] XOOPS 2.4.x + ijabbar ( ejabberd ) autologin
#24
"myXOOPs"-Neuling
"myXOOPs"-Neuling


Siehe Benutzerinformationen
okay soweit habe ich es nun verstanden
xoops_session hier kommt die session rein
xoops_userhier kommt normalerweise der nick rein aber da steht meist ein 0 drin also ich sehe da noch immer kein problemo naja okay so gut soweit vielen dann für denn hinweiss und support :)



Gepostet am:12.06.2010
 Top  Bericht


Aw:: [ungelöst] XOOPS 2.4.x + ijabbar ( ejabberd ) autologin
#23
Co-Administrator
Co-Administrator


Siehe Benutzerinformationen
In dem Kekes steht normal dein Sessionnummer, die niemand weiß, außer der Server und dieser steht in der Session-Tabelle.
Dieser Sessionnummer wird normal in den Keks geschrieben und so kannst Du für den Server wiedererkannt werden.

Schreibst Du dagegen deinen Usernamen, den jeder lesen kann hinein, ist es ein einfaches sich selbst einen Keks zu erstellen und sich mit deinen Daten einzuloggen. Das ganze kann man auch Programmgesteuert durchziehen, wobei dieses dann wesentlich schneller geht.

Solltest Du noch dazu Adminrechte haben, wäre dies am fatalsten.

Liest sich zwar jetzt wie eine Gebrauchsanleitung, jedoch denke ich nicht, dass irgend jemand solch eine Veränderung vorgenommen hat.

Ich, sowie andere Admins / Moderatoren versuchen immer wieder darauf hinzuweisen, dass man nur Veränderungen am Core vornimmt, wenn man genau weiß was man macht!

Muki

Gepostet am:12.06.2010
Es gibt keine dummen Fragen, nur dumme Antworten (Ausnahmen bestätigen die Regel).
 Top  Bericht


Aw:: [ungelöst] XOOPS 2.4.x + ijabbar ( ejabberd ) autologin
#22
"myXOOPs"-Neuling
"myXOOPs"-Neuling


Siehe Benutzerinformationen
sag mir mal bitte was da so schwere sicherheitslücke ist nur weil ich setcookie($xoopsConfig['usercookie'], $uname, -1, '/', XOOPS_COOKIE_DOMAIN, 0); geändert habe ?

Gepostet am:11.06.2010
 Top  Bericht


Aw:: [ungelöst] XOOPS 2.4.x + ijabbar ( ejabberd ) autologin
#21
Co-Administrator
Co-Administrator


Siehe Benutzerinformationen
Zitat:

Accessdenied5k schrieb:
hmm okay ich hatte leider nur die lösung da ich noch ein anfänger bin und leider hat mir keiner geholfen

Das kann ich durchaus verstehen, jedoch sollte man verstehen was man selbst tut, wenn man solche einschneidenden Veränderungen am Core vornimmt und diese dann auch noch veröffendlicht.

Wie alfred schon schrieb, können wir nur Support für das Xoops Core leisten und wenn dann noch zeit bleibt, für Xoopsmodule. Das liegt nicht daran, dass wir mehr nicht machen wollen, sondern ganz einfach an dem Faktor Zeit.

Muki

Gepostet am:11.06.2010
Es gibt keine dummen Fragen, nur dumme Antworten (Ausnahmen bestätigen die Regel).
 Top  Bericht


Aw:: [ungelöst] XOOPS 2.4.x + ijabbar ( ejabberd ) autologin
#20
"myXOOPs"-Neuling
"myXOOPs"-Neuling


Siehe Benutzerinformationen
hmm okay ich hatte leider nur die lösung da ich noch ein anfänger bin und leider hat mir keiner geholfen

Gepostet am:11.06.2010
 Top  Bericht


Aw::XOOPS 2.4.x + ijabbar ( ejabberd ) autologin
#19
Co-Administrator
Co-Administrator


Siehe Benutzerinformationen
Dein weg dieses so umzuprogrammieren liefert Dir zwar dein erhofftes Ergebnis, jedoch hebelt es die Sicherheit von Xoops komplett aus.

Deswegen stufe ich diese Lösung als massives Sicherheitsproblem ein.
Deswegen rate ich jedem diese Veränderung nicht vorzunehmen.


Eine Alternative wäre gewesen, zusätzlich in den Keks den Usernamen zu schreiben. Inwieweit das dann noch kompatible zu Xoops ist, kann ich nicht sagen, da mir die Zeit fehlt, dieses zu überprüfen.

Muki

Gepostet am:11.06.2010
Es gibt keine dummen Fragen, nur dumme Antworten (Ausnahmen bestätigen die Regel).
 Top  Bericht


Aw::XOOPS 2.4.x + ijabbar ( ejabberd ) autologin
#18
"myXOOPs"-Neuling
"myXOOPs"-Neuling


Siehe Benutzerinformationen
/include Datei : checklogin.php
Zeile : 81

setcookie($xoopsConfig['usercookie'], 0, -1'/'XOOPS_COOKIE_DOMAIN0);


ändern

setcookie($xoopsConfig['usercookie'], $uname, -1'/'XOOPS_COOKIE_DOMAIN0);



die ijab_config.js

username_cookie_field:"xoops_user",
token_cookie_field:"xoops_session",


oder
token_cookie_field:"PHPSESSID",

Gepostet am:10.06.2010
 Top  Bericht


Aw::XOOPS 2.4.x + ijabbar ( ejabberd ) autologin
#17
Administrator
Administrator


Siehe Benutzerinformationen
Da kein allgemeines Interesse besteht ist es erledigt
Falls sich doch jemand findet, kann er es ja posten.

Gepostet am:02.06.2010
 Top  Bericht




(1) 2 3 »




[Erweiterte Suche]


Design by: XOOPS UI/UX Team