PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : @DIRK - Bug im Forum



HKO
02.02.2003, 02:55
Ich hatte unten einen Link auf ein Posting von mir selber in ein neues Posting geschrieben. Marc-R behauptet, daß er, wenn er diesen Link ausführt, unter meinem Namen angemeldet war, Zugriff auf meine Daten hatte.

Dies sollte überprüft werden.

jagabua
02.02.2003, 03:15
Hallo Horst,

der Bug ist aber schon länger bekannt! Daraus ist ja seinerzeit die unschöne Geschichte zwischen "fotograf" und "hans wagner" entstanden!
Über solch einen Link kann jetzt jeder, der diese Seite über den Link aufruft, unter Deinem Namen auch hier posten! Was daraus entstehen kann haben wir alle noch in guter Erinnerung.

Bitte an Dirk:

Lösche am besten den Beitrag von HKO, oder zumindest seinen Link!

Gruß jagabua

marc-r
02.02.2003, 09:51
HKO schrieb:

>Ich hatte unten einen Link auf ein Posting von mir selber in ein neues Posting geschrieben. Marc-R behauptet, daß er, wenn er diesen Link ausführt, unter meinem Namen angemeldet war, Zugriff auf meine Daten hatte.
>
>Dies sollte überprüft werden.

Dirk Wächter
02.02.2003, 09:57
Ja nicht den Link aus der Browser-Adresszeile kopieren und veröffentlichen! Da ist Eure persönliche und nur Euch sichtbare Session-ID enthalten, die dem Forum-Script mitteilt, welcher User am Werkeln ist. Wird diese von einem anderen Rechner aus verwendet, kommt es zu dieser "Verwechslung".

Erste vorübergehende Maßnahme: verratet Eure ID nicht! Um dies erst einmal zu umgehen, wenn ein Beitragslink gesetzt werden soll, hilft eigentlich nur, diesen Link zu kopieren, wenn Ihr ausgeloggt seid...:-((( Ich habe KaLi nochmal ausdrücklich darauf hingewiesen, diesen Bug zu fassen.

Gruß. Dirk.

HKO
02.02.2003, 12:01
Diese Praxis, einfach einen Querlink zu setzen, ist aber sonst allgemein sehr üblich - dies sollte wirklich möglich sein ohne Tür und Tor zu öffnen.

Mark_R
02.02.2003, 13:02
Hallo Dirk,

ich hab mir das mit der "Session-Klauerei" nochmals angeschaut.

Wie Du ja schon sagtest, nicht den Link von einem Beitrag, den man in einem Beitrag verlinken will aus der Adresszeile kopieren.
Ja, das ist schon klar, somit würde man seine eigene Session-ID weitergeben.
Aber, wenn ich doch einen Link von einem Beitrag aus der Beitragsliste kopiere, dann gebe ich die reele URL des Beitrages weiter, nicht die URL, die meine Session-ID enthält.
Hier mal ein Screenshot zur Erläuterung:

<img src="http://web25.bor-is.de/thumbs/200302/1044183685.jpg" border="0"><br><a href="http://web25.bor-is.de/zoom/200302/1044183685.jpg" target="_blank">Originalbild (428x346) anzeigen.</a><br><br>
Also ich würde sagen, wenn man einen Beitrag verlinken will, dann:
-Beitrag in der Übersicht suchen
-Rechte Mouse-Taste auf den Beitrag (in der Übersicht)
-Verknüpfung kopieren (Menüpunkt ist wahrscheinlich Browserabhängig)
-Dann auf den gewünschten Beitrag antworten
-Im Antwortformular <i>rechte Mouse-Taste und Einfügen</i> oder <i>Strg + v</i>

Somit sollte man sicher einen Beitrag verlinken können, ohne seine eigene Session-ID zu verraten.

Gruß Mark

Dirk Waechter (Auslands-Account)
03.02.2003, 09:27
Hallo Mark,

demnach also so:

Gruß. Dirk.

Dirk Waechter (Auslands-Account)
03.02.2003, 09:30
Und die Antwort...

Dirk Wächter
03.02.2003, 09:33
war jetzt definitiv mit falscher ID eingeloggt. KaLi muss es am Script umbasteln!!!

Gruß. Dirk.