MyXoops Forum

Aw:: [ungelöst] XOOPS 2.4.x + ijabbar ( ejabberd ) autologin [Entwicklung allgemein] - myXOOPS German Support

Accessdenied5k

"myXOOPs"-Neuling
Gepostet am:12.06.2010
Accessdenied5k
Accessdenied5k Offline (Show more)
"myXOOPs"-Neuling
Posts: 13
Since: 28.05.2010
#26

Aw:: [ungelöst] XOOPS 2.4.x + ijabbar ( ejabberd ) autologin

ah jetzt blick ichs der schreibt sein cookie dann um und macht sein nick da darein ?

alfred

Administrator
Gepostet am:12.06.2010
alfred
alfred Offline (Show more)
Administrator
Posts: 7609
Since: 06.12.2004
#25

Aw:: [ungelöst] XOOPS 2.4.x + ijabbar ( ejabberd ) autologin

Zitat:

Accessdenied5k schrieb:
sag mir mal bitte was da so schwere sicherheitslücke ist nur weil ich setcookie($xoopsConfig['usercookie'], $uname, -1, '/', XOOPS_COOKIE_DOMAIN, 0); geändert habe ?


dem XOOPS schadet das nicht
aber jeder User deiner Seite könnte das Cookie modifizieren und sich unter deinem namen einloggen (die Session ist ja da)

Und nein, nicht in das XOOPS sondern woanders, noch fragen?

Advertisement

Gepostet am:0
Advertisement (Show more)
Posts: 0
Since: 0


Hier könnten Sie Ihre Anzeige aufgeben!
Bitte kontaktieren Sie uns, um mehr darüber zu erfahren.

Accessdenied5k

"myXOOPs"-Neuling
Gepostet am:12.06.2010
Accessdenied5k
Accessdenied5k Offline (Show more)
"myXOOPs"-Neuling
Posts: 13
Since: 28.05.2010
#24

Aw:: [ungelöst] XOOPS 2.4.x + ijabbar ( ejabberd ) autologin

okay soweit habe ich es nun verstanden
xoops_session hier kommt die session rein
xoops_userhier kommt normalerweise der nick rein aber da steht meist ein 0 drin also ich sehe da noch immer kein problemo naja okay so gut soweit vielen dann für denn hinweiss und support :)


Muki

Co-Administrator
Gepostet am:12.06.2010
Muki
Muki Offline (Show more)
Co-Administrator
Posts: 1903
Since: 18.04.2006
#23

Aw:: [ungelöst] XOOPS 2.4.x + ijabbar ( ejabberd ) autologin

In dem Kekes steht normal dein Sessionnummer, die niemand weiß, außer der Server und dieser steht in der Session-Tabelle.
Dieser Sessionnummer wird normal in den Keks geschrieben und so kannst Du für den Server wiedererkannt werden.

Schreibst Du dagegen deinen Usernamen, den jeder lesen kann hinein, ist es ein einfaches sich selbst einen Keks zu erstellen und sich mit deinen Daten einzuloggen. Das ganze kann man auch Programmgesteuert durchziehen, wobei dieses dann wesentlich schneller geht.

Solltest Du noch dazu Adminrechte haben, wäre dies am fatalsten.

Liest sich zwar jetzt wie eine Gebrauchsanleitung, jedoch denke ich nicht, dass irgend jemand solch eine Veränderung vorgenommen hat.

Ich, sowie andere Admins / Moderatoren versuchen immer wieder darauf hinzuweisen, dass man nur Veränderungen am Core vornimmt, wenn man genau weiß was man macht!

Muki
Es gibt keine dummen Fragen, nur dumme Antworten (Ausnahmen bestätigen die Regel).

Accessdenied5k

"myXOOPs"-Neuling
Gepostet am:11.06.2010
Accessdenied5k
Accessdenied5k Offline (Show more)
"myXOOPs"-Neuling
Posts: 13
Since: 28.05.2010
#22

Aw:: [ungelöst] XOOPS 2.4.x + ijabbar ( ejabberd ) autologin

sag mir mal bitte was da so schwere sicherheitslücke ist nur weil ich setcookie($xoopsConfig['usercookie'], $uname, -1, '/', XOOPS_COOKIE_DOMAIN, 0); geändert habe ?

Muki

Co-Administrator
Gepostet am:11.06.2010
Muki
Muki Offline (Show more)
Co-Administrator
Posts: 1903
Since: 18.04.2006
#21

Aw:: [ungelöst] XOOPS 2.4.x + ijabbar ( ejabberd ) autologin

Zitat:

Accessdenied5k schrieb:
hmm okay ich hatte leider nur die lösung da ich noch ein anfänger bin und leider hat mir keiner geholfen

Das kann ich durchaus verstehen, jedoch sollte man verstehen was man selbst tut, wenn man solche einschneidenden Veränderungen am Core vornimmt und diese dann auch noch veröffendlicht.

Wie alfred schon schrieb, können wir nur Support für das Xoops Core leisten und wenn dann noch zeit bleibt, für Xoopsmodule. Das liegt nicht daran, dass wir mehr nicht machen wollen, sondern ganz einfach an dem Faktor Zeit.

Muki
Es gibt keine dummen Fragen, nur dumme Antworten (Ausnahmen bestätigen die Regel).

Accessdenied5k

"myXOOPs"-Neuling
Gepostet am:11.06.2010
Accessdenied5k
Accessdenied5k Offline (Show more)
"myXOOPs"-Neuling
Posts: 13
Since: 28.05.2010
#20

Aw:: [ungelöst] XOOPS 2.4.x + ijabbar ( ejabberd ) autologin

hmm okay ich hatte leider nur die lösung da ich noch ein anfänger bin und leider hat mir keiner geholfen

Muki

Co-Administrator
Gepostet am:11.06.2010
Muki
Muki Offline (Show more)
Co-Administrator
Posts: 1903
Since: 18.04.2006
#19

Aw::XOOPS 2.4.x + ijabbar ( ejabberd ) autologin

Dein weg dieses so umzuprogrammieren liefert Dir zwar dein erhofftes Ergebnis, jedoch hebelt es die Sicherheit von Xoops komplett aus.

Deswegen stufe ich diese Lösung als massives Sicherheitsproblem ein.
Deswegen rate ich jedem diese Veränderung nicht vorzunehmen.


Eine Alternative wäre gewesen, zusätzlich in den Keks den Usernamen zu schreiben. Inwieweit das dann noch kompatible zu Xoops ist, kann ich nicht sagen, da mir die Zeit fehlt, dieses zu überprüfen.

Muki
Es gibt keine dummen Fragen, nur dumme Antworten (Ausnahmen bestätigen die Regel).

Accessdenied5k

"myXOOPs"-Neuling
Gepostet am:10.06.2010
Accessdenied5k
Accessdenied5k Offline (Show more)
"myXOOPs"-Neuling
Posts: 13
Since: 28.05.2010
#18

Aw::XOOPS 2.4.x + ijabbar ( ejabberd ) autologin

/include Datei : checklogin.php
Zeile : 81

setcookie($xoopsConfig['usercookie'], 0, -1'/'XOOPS_COOKIE_DOMAIN0);


ändern

setcookie($xoopsConfig['usercookie'], $uname, -1'/'XOOPS_COOKIE_DOMAIN0);



die ijab_config.js

username_cookie_field:"xoops_user",
token_cookie_field:"xoops_session",


oder
token_cookie_field:"PHPSESSID",

alfred

Administrator
Gepostet am:02.06.2010
alfred
alfred Offline (Show more)
Administrator
Posts: 7609
Since: 06.12.2004
#17

Aw::XOOPS 2.4.x + ijabbar ( ejabberd ) autologin

Da kein allgemeines Interesse besteht ist es erledigt
Falls sich doch jemand findet, kann er es ja posten.
Diesen Thread durchsuchen:  1 Anonyme Benutzer