sid in der URL
- NicTheQuick
- Ein Admin
- Beiträge: 8675
- Registriert: 29.08.2004 20:20
- Computerausstattung: Ryzen 7 5800X, 32 GB DDR4-3200
Ubuntu 22.04.3 LTS
GeForce RTX 3080 Ti - Wohnort: Saarbrücken
- Kontaktdaten:
sid in der URL
Hallo Leute,
hat das Forum bei euch auch die letzte Zeit den Macken in der URL die SessionID mitzuliefern, obwohl es nicht nötig ist?
hat das Forum bei euch auch die letzte Zeit den Macken in der URL die SessionID mitzuliefern, obwohl es nicht nötig ist?
Re: sid in der URL
Warum eigentlich in letzter Zeit? phpBB macht das schon immer so.
- NicTheQuick
- Ein Admin
- Beiträge: 8675
- Registriert: 29.08.2004 20:20
- Computerausstattung: Ryzen 7 5800X, 32 GB DDR4-3200
Ubuntu 22.04.3 LTS
GeForce RTX 3080 Ti - Wohnort: Saarbrücken
- Kontaktdaten:
Re: sid in der URL
Weil es bei mir üblicherweise nicht in der URL steht und ich das auch nicht will. Wenn ich mal nicht aufpasse, verschicke ich aus Versehen einen Link mit meiner SessionID.
Re: sid in der URL
Ist in der Tat sehr unsicher! Da es reicht wenn jemand von Extern ein Bild oder sonstige Dateien im Forum einbindet, jemand anderes das dann anzeigt, und somit sinen REFERRER mit diesem aufruf samt der SessionID mitliefert, da diese ja auch in der REFERRER-URL enthalten ist. Böswillige Gestalten könnten auf diese Weise von JEDEM USER (Auch von Admins und Moderatoren) dann die Session übernehmen und somit im Namen dieser Fremden ID Arbeiten. Genau das ist auch der Grund warum man Eigentlich keine SID mehr in der URL Einbindet, sondern diese im HTTP-Header einbindet.NicTheQuick hat geschrieben:Weil es bei mir üblicherweise nicht in der URL steht und ich das auch nicht will. Wenn ich mal nicht aufpasse, verschicke ich aus Versehen einen Link mit meiner SessionID.
Daher ist es zu empfehlen den Referrer prinzipiell zu löschen. Wenn du FireFox benutzen solltest, dann kann ich dir das Addon "Referrer Control" empfehlen,
das schaltet die URL ab, oder wenn Du willst ersetzt es diese auch durch jeden beliebigen anderen Text. Für andere Browser gibt es sicherlich ähnliche Plugins.
Windows 8.1 x64 | PureBasic 5.31 x64 | Dell Inspiron 3847 | i5-4440 3.1Ghz | 8GB DDR3 | Nvidia Geforce 625
Re: sid in der URL
Sicher? Wenn jemand meine SID kennt is er noch lange nicht automatisch angemeldet und hat Zugriff auf mein Acc. Ich hab auch schon mal URL mit SID aufgerufen und war trotzdem nicht angemeldet.
Zuletzt geändert von Tommy am 27.01.2015 10:46, insgesamt 2-mal geändert.
PB 5.41 x64
- man-in-black
- Beiträge: 362
- Registriert: 21.08.2006 17:39
Re: sid in der URL
@Tommy,
die Sessions laufen idR nach ner gewissen inaktiven Zeit ab.
die Sessions laufen idR nach ner gewissen inaktiven Zeit ab.
- Vera
- Beiträge: 928
- Registriert: 18.03.2009 14:47
- Computerausstattung: Win XP SP2, Suse 11.1
- Wohnort: Essen
Re: sid in der URL
Mir ist aufgefallen, dass im nicht eingeloggten Zustand:
A - wenn die URL keine SID hat, dann aber alle Links auf den Seiten
B - wenn die SID in der URL ist, dann sind die SeitenLinks ohne
Nach dem Einloggen ist der Effekt weg.
Ich sehe aber öfter, dass ForenLinks von Mitgliedern deren SID enthalten (was mich aber nicht ausloggt, wenn ich sie benutze). Auch habe ich die Vermutung, das könnte mit dem EinlogWeg zu tun haben - also ob ich von der alten Addresse komme. Hab' das aber nie weiter verfolgt.
Problematisch ist das vielleicht für Mitglieder, die 24h eingeloggt bleiben, spätestens danach müßte es doch eine neue SID geben, wenn sich die IP ändert. (oder nicht?)
Ich achte bei jedem Link darauf, was er enthält ... und manchmal muß man halbe Romane da raus löschen, bevor man den direkten Link hat
A - wenn die URL keine SID hat, dann aber alle Links auf den Seiten
B - wenn die SID in der URL ist, dann sind die SeitenLinks ohne
Nach dem Einloggen ist der Effekt weg.
Ich sehe aber öfter, dass ForenLinks von Mitgliedern deren SID enthalten (was mich aber nicht ausloggt, wenn ich sie benutze). Auch habe ich die Vermutung, das könnte mit dem EinlogWeg zu tun haben - also ob ich von der alten Addresse komme. Hab' das aber nie weiter verfolgt.
Problematisch ist das vielleicht für Mitglieder, die 24h eingeloggt bleiben, spätestens danach müßte es doch eine neue SID geben, wenn sich die IP ändert. (oder nicht?)
Ich achte bei jedem Link darauf, was er enthält ... und manchmal muß man halbe Romane da raus löschen, bevor man den direkten Link hat
°
<°)))o><
~~~~~~~~~
echo "Don't worry"
echo "Keep quiet"
@echo off
format forum:\
<°)))o><
~~~~~~~~~
echo "Don't worry"
echo "Keep quiet"
@echo off
format forum:\
- CodeCommander
- Beiträge: 213
- Registriert: 02.03.2014 16:06
~ DELETE ~
Zuletzt geändert von CodeCommander am 18.01.2015 14:44, insgesamt 1-mal geändert.
~ DELETE ~
- Vera
- Beiträge: 928
- Registriert: 18.03.2009 14:47
- Computerausstattung: Win XP SP2, Suse 11.1
- Wohnort: Essen
Re: sid in der URL
Danke - gut zu wissen, dass die Kekse dabei nicht zerbröselnCodeCommander hat geschrieben:Dafür hat man n Cookie. Es ist egal welche IP solange sich dein gespeichertes Cookie auf der Platte befindet.
... naja - bei mir halten die eh nie lange, bis ich sie verputze.
(20.11.) Addendum:
die Tage sind mir wieder solche URLs mit SID begegnet und jedesmal war es mit der alten forums.Addresse.
°
<°)))o><
~~~~~~~~~
echo "Don't worry"
echo "Keep quiet"
@echo off
format forum:\
<°)))o><
~~~~~~~~~
echo "Don't worry"
echo "Keep quiet"
@echo off
format forum:\