sid in der URL

Fragen und Anregungen zum Forum.
Beiträge die Community betreffend
Benutzeravatar
NicTheQuick
Ein Admin
Beiträge: 8675
Registriert: 29.08.2004 20:20
Computerausstattung: Ryzen 7 5800X, 32 GB DDR4-3200
Ubuntu 22.04.3 LTS
GeForce RTX 3080 Ti
Wohnort: Saarbrücken
Kontaktdaten:

sid in der URL

Beitrag von NicTheQuick »

Hallo Leute,

hat das Forum bei euch auch die letzte Zeit den Macken in der URL die SessionID mitzuliefern, obwohl es nicht nötig ist?
Bild
Benutzeravatar
RSBasic
Admin
Beiträge: 8022
Registriert: 05.10.2006 18:55
Wohnort: Gernsbach
Kontaktdaten:

Re: sid in der URL

Beitrag von RSBasic »

Warum eigentlich in letzter Zeit? phpBB macht das schon immer so.
Aus privaten Gründen habe ich leider nicht mehr so viel Zeit wie früher. Bitte habt Verständnis dafür.
Bild
Bild
Benutzeravatar
NicTheQuick
Ein Admin
Beiträge: 8675
Registriert: 29.08.2004 20:20
Computerausstattung: Ryzen 7 5800X, 32 GB DDR4-3200
Ubuntu 22.04.3 LTS
GeForce RTX 3080 Ti
Wohnort: Saarbrücken
Kontaktdaten:

Re: sid in der URL

Beitrag von NicTheQuick »

Weil es bei mir üblicherweise nicht in der URL steht und ich das auch nicht will. Wenn ich mal nicht aufpasse, verschicke ich aus Versehen einen Link mit meiner SessionID.
Bild
Shamos
Beiträge: 32
Registriert: 12.11.2014 09:44

Re: sid in der URL

Beitrag von Shamos »

NicTheQuick hat geschrieben:Weil es bei mir üblicherweise nicht in der URL steht und ich das auch nicht will. Wenn ich mal nicht aufpasse, verschicke ich aus Versehen einen Link mit meiner SessionID.
Ist in der Tat sehr unsicher! Da es reicht wenn jemand von Extern ein Bild oder sonstige Dateien im Forum einbindet, jemand anderes das dann anzeigt, und somit sinen REFERRER mit diesem aufruf samt der SessionID mitliefert, da diese ja auch in der REFERRER-URL enthalten ist. Böswillige Gestalten könnten auf diese Weise von JEDEM USER (Auch von Admins und Moderatoren) dann die Session übernehmen und somit im Namen dieser Fremden ID Arbeiten. Genau das ist auch der Grund warum man Eigentlich keine SID mehr in der URL Einbindet, sondern diese im HTTP-Header einbindet.

Daher ist es zu empfehlen den Referrer prinzipiell zu löschen. Wenn du FireFox benutzen solltest, dann kann ich dir das Addon "Referrer Control" empfehlen,
das schaltet die URL ab, oder wenn Du willst ersetzt es diese auch durch jeden beliebigen anderen Text. Für andere Browser gibt es sicherlich ähnliche Plugins.
Windows 8.1 x64 | PureBasic 5.31 x64 | Dell Inspiron 3847 | i5-4440 3.1Ghz | 8GB DDR3 | Nvidia Geforce 625
Benutzeravatar
Tommy
Spassvogel
Beiträge: 319
Registriert: 17.10.2013 14:36

Re: sid in der URL

Beitrag von Tommy »

Sicher? Wenn jemand meine SID kennt is er noch lange nicht automatisch angemeldet und hat Zugriff auf mein Acc. Ich hab auch schon mal URL mit SID aufgerufen und war trotzdem nicht angemeldet.
Zuletzt geändert von Tommy am 27.01.2015 10:46, insgesamt 2-mal geändert.
PB 5.41 x64
Benutzeravatar
man-in-black
Beiträge: 362
Registriert: 21.08.2006 17:39

Re: sid in der URL

Beitrag von man-in-black »

@Tommy,

die Sessions laufen idR nach ner gewissen inaktiven Zeit ab.
(hab alles, kann alles, weiß alles!!^^)

Bild
Benutzeravatar
Vera
Beiträge: 928
Registriert: 18.03.2009 14:47
Computerausstattung: Win XP SP2, Suse 11.1
Wohnort: Essen

Re: sid in der URL

Beitrag von Vera »

Mir ist aufgefallen, dass im nicht eingeloggten Zustand:
A - wenn die URL keine SID hat, dann aber alle Links auf den Seiten
B - wenn die SID in der URL ist, dann sind die SeitenLinks ohne
Nach dem Einloggen ist der Effekt weg.

Ich sehe aber öfter, dass ForenLinks von Mitgliedern deren SID enthalten (was mich aber nicht ausloggt, wenn ich sie benutze). Auch habe ich die Vermutung, das könnte mit dem EinlogWeg zu tun haben - also ob ich von der alten Addresse komme. Hab' das aber nie weiter verfolgt.

Problematisch ist das vielleicht für Mitglieder, die 24h eingeloggt bleiben, spätestens danach müßte es doch eine neue SID geben, wenn sich die IP ändert. (oder nicht?)

Ich achte bei jedem Link darauf, was er enthält ... und manchmal muß man halbe Romane da raus löschen, bevor man den direkten Link hat :lol:
°
<°)))o><
~~~~~~~~~
echo "Don't worry"
echo "Keep quiet"
@echo off
format forum:\
Benutzeravatar
CodeCommander
Beiträge: 213
Registriert: 02.03.2014 16:06

Beitrag von CodeCommander »

~ DELETE ~
Zuletzt geändert von CodeCommander am 18.01.2015 14:44, insgesamt 1-mal geändert.
~ DELETE ~
Benutzeravatar
Vera
Beiträge: 928
Registriert: 18.03.2009 14:47
Computerausstattung: Win XP SP2, Suse 11.1
Wohnort: Essen

Re: sid in der URL

Beitrag von Vera »

CodeCommander hat geschrieben:Dafür hat man n Cookie. Es ist egal welche IP solange sich dein gespeichertes Cookie auf der Platte befindet.
Danke - gut zu wissen, dass die Kekse dabei nicht zerbröseln :mrgreen:
... naja - bei mir halten die eh nie lange, bis ich sie verputze.



(20.11.) Addendum:
die Tage sind mir wieder solche URLs mit SID begegnet und jedesmal war es mit der alten forums.Addresse.
°
<°)))o><
~~~~~~~~~
echo "Don't worry"
echo "Keep quiet"
@echo off
format forum:\
Antworten