selfbondageforum.de Foren-Übersicht selfbondageforum.de
DAS Selfbondage Forum
 
 FAQFAQ   SuchenSuchen   MitgliederlisteMitgliederliste   BenutzergruppenBenutzergruppen   RegistrierenRegistrieren 
 ProfilProfil   Einloggen, um private Nachrichten zu lesenEinloggen, um private Nachrichten zu lesen   LoginLogin

session-cookie

 
Neues Thema eröffnen   Neue Antwort erstellen    selfbondageforum.de Foren-Übersicht -> Grundlegendes
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
ponylady



Anmeldedatum: 22.11.2006
Beiträge: 1007
Wohnort: berlin

BeitragVerfasst am: Mi Dez 12, 2007 6:43 pm    Titel: session-cookie Antworten mit Zitat

Shocked Shocked Shocked

ooops, der hat ja keinen time-out, sondern bleibt bestehen wenn mann den browser nicht schliesst.

nicht dass er hier gross was zu holen gebe, aber eine sicherheitslücke ist es
schon, insbesondere für die mod/admin-accounts.

wär besser da ein "verfallsdatum nach zum beispiel 15 minuten inaktivität zu setzen.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
legolas_ger



Anmeldedatum: 25.12.2006
Beiträge: 19
Wohnort: Neuss

BeitragVerfasst am: Mi Dez 12, 2007 7:03 pm    Titel: Antworten mit Zitat

naja, ich persönlich find's eher praktisch, sb bleibt bei mir immer in einem der 1000 firefox fenster/tabs offen, so muss ich nicht erst neu authentifizieren... Wink

ich denke da hier wirklich nichts zu holen ist kann man das ruhig lassen solange die admins regelmäßig backups der dateien und datenbank haben, denn ein exploit der irgendwo von türk. scriptkiddies automatisiert abgeschickt wird ist viel wahrscheinlicher... (ich sprech da aus erfahrung beim recovery von gehackten foren, ist nämlich auch ne art seine masochistischen neigungen auszuleben Twisted Evil )
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Nilsi



Anmeldedatum: 30.08.2007
Beiträge: 1301

BeitragVerfasst am: Mi Dez 12, 2007 8:59 pm    Titel: Antworten mit Zitat

ich finds auch praktischer.

Am besten wäre es ja, wenn es wie bei phpBB3 eine Funktion "remember" gibt, die die Cookie Lebensdauer auf unendlich stellt.

Wenn der User die funktion beim Einloggen nicht anwählt, wird die vom Admin eingestellte Zeit genommen Wink
_________________
Die Reise Eingestellt nach 4.2 Teilen
Das Internat Fertig und beendet in 7 Teilen
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
unimuc



Anmeldedatum: 05.11.2006
Beiträge: 659
Wohnort: München

BeitragVerfasst am: Do Dez 13, 2007 12:16 am    Titel: Re: session-cookie Antworten mit Zitat

Hi,

ponylady hat Folgendes geschrieben:
ooops, der hat ja keinen time-out, sondern bleibt bestehen wenn mann den browser nicht schliesst.

Die Session timed schon irgendwann out... 2h glaube ich aktuell. Finde ich schon fast nervig wenig Wink Denn man faengt z.B. eine Antwort an, das Telefon klingelt, man schreibt spaeter weiter und klickt absenden und schwups geht's schief weil nicht mehr eingelogged. 15 Minuten waer definitiv zu wenig.

Zitat:
nicht dass er hier gross was zu holen gebe, aber eine sicherheitslücke ist es
schon

Nur wenn Du Deinen Rechner mit offenem Browser fuer andere zugaenglich rumstehen laesst UND Dich nicht ausloggst. Oder Dir Cookies klauen laesst. Das sollte man wohl beides eher nicht tun.

Zitat:
insbesondere für die mod/admin-accounts.

Ein eingeloggter Admin muss sich, um in den Admin-Bereich zu kommen, nochmal authentifizieren. Ein Cookie alleine reicht da also nicht. Und unsere Mods und Admins sind natuerlich Profis Wink Melli ist eh der einzige aktive Admin-Account, es gibt noch einen "admin" aber den verwende ich nur mal in Notfaellen wenn's was zu tun gibt und Melli keine Zeit hat.

@Nilsi: jaja, irgendwann kommt schon phpbb3. Aber erstmal muss es ueberhaupt erscheinen Wink Aber den "jedes mal automatisch einloggen" Haken, der Dir nen Cookie setzt, gibt es doch auch hier? Rate ich aber doch eher von ab, dann noch eher das Passwort vom Firefox speichern lassen, den Passwort-Storeage kann man bei FF wenigstens mit einem Masterpasswort verschluesseln.

Unimuc
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Nilsi



Anmeldedatum: 30.08.2007
Beiträge: 1301

BeitragVerfasst am: Do Dez 13, 2007 1:03 am    Titel: Antworten mit Zitat

ach, wäre mir sowieso Schnurz, würde jemand an meinen Pc gehen Wink

ich drücke selbst, wenn ich aufs Klo muss Win+L (Benutzer wechseln Screen)

Da ich aber nur einen Benutzer habe, nämlich meinen (Falsch Administrator im Abgesicherten Modus....) und der/die mit einem Passwort gesichert sind, was nicht im persönlichen Bezug steht und dann auch noch anders als das Original geschrieben wird, wer will mir was Cool

P.S: bei mir ist der Cookie aber schon länger auf dem System und der Hinweis auf phpBB3 sollte nicht drängen (ich weiß ja, du willst keinen RC installieren Wink ), sondern nur ein Querverweis sein Wink
_________________
Die Reise Eingestellt nach 4.2 Teilen
Das Internat Fertig und beendet in 7 Teilen
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Melli



Anmeldedatum: 05.11.2006
Beiträge: 561
Wohnort: Bayern

BeitragVerfasst am: Do Dez 13, 2007 3:56 pm    Titel: Re: session-cookie Antworten mit Zitat

unimuc hat Folgendes geschrieben:

Zitat:
insbesondere für die mod/admin-accounts.

Ein eingeloggter Admin muss sich, um in den Admin-Bereich zu kommen, nochmal authentifizieren. Ein Cookie alleine reicht da also nicht.


Früher hat das aber gereicht Twisted Evil
Wie glaubt ihr denn das ich das Forum gefunden hab Mr. Green
War damals das einzige, wo die Sicherheitslücke noch offen war

Melli
_________________
Freilaufende Admin
*hrhr*

Admin is watching you!
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Draca



Anmeldedatum: 22.11.2006
Beiträge: 567
Wohnort: nähe Heidelberg

BeitragVerfasst am: Do Dez 13, 2007 6:23 pm    Titel: Re: session-cookie Antworten mit Zitat

Melli hat Folgendes geschrieben:

Wie glaubt ihr denn das ich das Forum gefunden hab :mrgreen:

Eigentlich dachten wir bisher das Thema würde dich interessieren...

unimuc: find ich gut daß du vernünftige Timeoutzeiten hast und dich nicht blenden läßt von solchen panikschürenden Aussagen.

WBB - beste Forensoftware überhaupt, imho. Kostet aber Geld. Ich wär bereit einen Teil als Spende beizutragen, falls das in Erwägung gezogen wird.



Ach ja, wenn man wirklich paranoid sein möchte ist der Passwortmanager von Firefox ziemlich gefährlich. Wer ein wenig die entsprechenden News verfolgt weiß warum.

*schnurr*
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
unimuc



Anmeldedatum: 05.11.2006
Beiträge: 659
Wohnort: München

BeitragVerfasst am: Do Dez 13, 2007 8:49 pm    Titel: Re: session-cookie Antworten mit Zitat

Hi,

Draca hat Folgendes geschrieben:
Eigentlich dachten wir bisher das Thema würde dich interessieren...

Interesse fuer Bondage?!? Wie pervers waer das denn?!? Rolling Eyes Embarassed Wink

Zitat:
WBB - beste Forensoftware überhaupt, imho. Kostet aber Geld. Ich wär bereit einen Teil als Spende beizutragen, falls das in Erwägung gezogen wird.

Nein, wird eigentlich nicht in Erwaegung gezogen. Aus mehrerlei Gruenden, z.B.:
- ich bin Admin auf noch zwei anderen phpbb Foren, und die "Synergieeffekte" sind nicht zu vernachlaessigen. Eine Software ist auch leichter aktuell zu halten als zweie.
- kommerzielle Software ist boese Wink Das Geld die zu kaufen ist jetzt nicht das wirkliche Problem (wobei es ja nicht nur einmalig ist sondern man dann jaehrlich zahlen darf...), aber man begibt sich in Abhaengigkeit von einer Firma auf die man keinen Einfluss hat. Ist mir unsympatisch, da braeuchte es schon sehr handfeste Gruende.

Zitat:
Ach ja, wenn man wirklich paranoid sein möchte ist der Passwortmanager von Firefox ziemlich gefährlich. Wer ein wenig die entsprechenden News verfolgt weiß warum.

Drum schrieb ich ja "dann noch eher", es ging um den Vergleich mit einem gespeicherten Cookie. Und die Angriffe mit denen man ueblicherweise Passwoerter aus dem Firefoxsafe klaut (JavaScript+XSS) lassen sich auf Cookies auch anwenden, nur dass Cookies noch dazu eben unverschluesselt auf der lokalen Platte liegen und daher auch mit anderen Luecken leichter entwendet werden koennen. Z.B. vom kleinen Bruder der den Rechner mit ner Recovery-CD bootet oder so...

Unimuc


Zuletzt bearbeitet von unimuc am Do Dez 13, 2007 9:40 pm, insgesamt einmal bearbeitet
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
ponylady



Anmeldedatum: 22.11.2006
Beiträge: 1007
Wohnort: berlin

BeitragVerfasst am: Do Dez 13, 2007 9:31 pm    Titel: Re: session-cookie Antworten mit Zitat

unimuc hat Folgendes geschrieben:

Nur wenn Du Deinen Rechner mit offenem Browser fuer andere zugaenglich rumstehen laesst UND Dich nicht ausloggst. Oder Dir Cookies klauen laesst. Das sollte man wohl beides eher nicht tun.


ich meinte das auch nicht auf den persönlichen rechner bezogen,
sondern auf die cookies allgemein.

ich hab schon pferde kotzen sehen. auch wenn der cookie noch keine
MCP/ACP rechte gibt, reicht es schon wenn mann durch cookie-klau
an die forum-rechte kommt.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
unimuc



Anmeldedatum: 05.11.2006
Beiträge: 659
Wohnort: München

BeitragVerfasst am: Do Dez 13, 2007 9:40 pm    Titel: Re: session-cookie Antworten mit Zitat

Hi,

ponylady hat Folgendes geschrieben:
ich hab schon pferde kotzen sehen. auch wenn der cookie noch keine
MCP/ACP rechte gibt, reicht es schon wenn mann durch cookie-klau
an die forum-rechte kommt.

Na aber das schafft man dann doch auch in 15 oder gar 5 Minuten Sessionzeit. Cookie-Klau macht man ja meist ueber nen Script, das den Cookie zu nem anderen Host leitet, und dort kann man dann ja automatisiert entweder:
- direkt das tun, was man will
- den Cookie am Leben erhalten, indem man irgendwelche Seiten permanent aufruft.

Und: Du kannst Cookies auch abschalten und ne session-ID in der URL verwenden, das ist aber aehnlich unsicher (per script auch klaubar) UND hat noch weitere Probleme.

Also: entweder drauf vertrauen, dass XSS Luecken schnell genug geschlossen werden, oder einfach JavaScript abschalten. Benoetigt wird es fuer das Forum ja nicht, und die allermeisten solchen Probleme kommen eben nunmal durch das leidige JS.

Unimuc
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Beiträge der letzten Zeit anzeigen:   
Neues Thema eröffnen   Neue Antwort erstellen    selfbondageforum.de Foren-Übersicht -> Grundlegendes Alle Zeiten sind GMT + 1 Stunde
Seite 1 von 1

 
Gehe zu:  
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.


Datenschutzerklaerung und Impressum
Powered by phpBB © 2001, 2005 phpBB Group
Deutsche Übersetzung von phpBB.de