PureBoard

Hallo Leute,

hat das Forum bei euch auch die letzte Zeit den Macken in der URL die SessionID mitzuliefern, obwohl es nicht nötig ist?

Warum eigentlich in letzter Zeit? phpBB macht das schon immer so.

Weil es bei mir üblicherweise nicht in der URL steht und ich das auch nicht will. Wenn ich mal nicht aufpasse, verschicke ich aus Versehen einen Link mit meiner SessionID.

NicTheQuick hat geschrieben:Weil es bei mir üblicherweise nicht in der URL steht und ich das auch nicht will. Wenn ich mal nicht aufpasse, verschicke ich aus Versehen einen Link mit meiner SessionID.

Ist in der Tat sehr unsicher! Da es reicht wenn jemand von Extern ein Bild oder sonstige Dateien im Forum einbindet, jemand anderes das dann anzeigt, und somit sinen REFERRER mit diesem aufruf samt der SessionID mitliefert, da diese ja auch in der REFERRER-URL enthalten ist. Böswillige Gestalten könnten auf diese Weise von JEDEM USER (Auch von Admins und Moderatoren) dann die Session übernehmen und somit im Namen dieser Fremden ID Arbeiten. Genau das ist auch der Grund warum man Eigentlich keine SID mehr in der URL Einbindet, sondern diese im HTTP-Header einbindet.

Daher ist es zu empfehlen den Referrer prinzipiell zu löschen. Wenn du FireFox benutzen solltest, dann kann ich dir das Addon "Referrer Control" empfehlen,
das schaltet die URL ab, oder wenn Du willst ersetzt es diese auch durch jeden beliebigen anderen Text. Für andere Browser gibt es sicherlich ähnliche Plugins.

Sicher? Wenn jemand meine SID kennt is er noch lange nicht automatisch angemeldet und hat Zugriff auf mein Acc. Ich hab auch schon mal URL mit SID aufgerufen und war trotzdem nicht angemeldet.

@Tommy,

die Sessions laufen idR nach ner gewissen inaktiven Zeit ab.

Mir ist aufgefallen, dass im nicht eingeloggten Zustand:
A - wenn die URL keine SID hat, dann aber alle Links auf den Seiten
B - wenn die SID in der URL ist, dann sind die SeitenLinks ohne
Nach dem Einloggen ist der Effekt weg.

Ich sehe aber öfter, dass ForenLinks von Mitgliedern deren SID enthalten (was mich aber nicht ausloggt, wenn ich sie benutze). Auch habe ich die Vermutung, das könnte mit dem EinlogWeg zu tun haben - also ob ich von der alten Addresse komme. Hab' das aber nie weiter verfolgt.

Problematisch ist das vielleicht für Mitglieder, die 24h eingeloggt bleiben, spätestens danach müßte es doch eine neue SID geben, wenn sich die IP ändert. (oder nicht?)

Ich achte bei jedem Link darauf, was er enthält ... und manchmal muß man halbe Romane da raus löschen, bevor man den direkten Link hat

CodeCommander hat geschrieben:Dafür hat man n Cookie. Es ist egal welche IP solange sich dein gespeichertes Cookie auf der Platte befindet.

Danke - gut zu wissen, dass die Kekse dabei nicht zerbröseln
... naja - bei mir halten die eh nie lange, bis ich sie verputze.


(20.11.) Addendum:
die Tage sind mir wieder solche URLs mit SID begegnet und jedesmal war es mit der alten forums.Addresse.