GLF

[Annika]

Der Account jedes Users ist benutzbar, einsehbar und manipulierbar wenn man die URL mit der SID kennt - d.h. man wird dann automatisch angemeldet wenn man diesen Link öffnet!
Für einen Angreifer ist es sicher ein leichtes eine dieser Urls zu bekommen, z.b. über Hotlinks oder "Hot-Images" bei aktivierten Referrer

Werden besuchte Adressen vom Browser nicht gelöscht, so kann jeder, der den Browser benutzt, den persönlichen Bereich lesen, selbst wenn Cookies und Cache gelöscht wurden!

Das gilt natürlich auch für den IP-Hoster (Proxy bzw. in jedem Fall der ISP (da nicht https), oder z.b. der letzte Tor-Server)

[Tatze]

ah toll klasse kann man das ändern?

[Annika]

also, zumindest sollten Cookies erforderlich sein um sich im GLF anzumelden

[Tatze]

hm und sonst? kann man das loch stopfen?

[Annika]

ich hab den Fehler gefunden. Normalerweise werden nur für die nicht angemeldeten User SIDs vergeben. Das Problem ist, dass man direckt nach dem Anmelden zur Foren-Übersicht geleitet wird, diese enthält als einziger Link die SID für angemeldete User. Das Problem ensteht also nur dann, wenn ich diesen gespeicherten Link zur Foren-Übersicht (incl. SID) später aus der Browser-History aufrufe und nur wenn ich noch keine Cookies habe. Ist das der Fall, werden alle Links mit SID angegeben (wie bei nicht angemeldeten Usern) allerdings mit allen meinen Rechten. Dann haben auch URLs von Diskussionsseiten eine SID, die dann wie oben beschrieben von Angreifern gestohlen werden kann


PS. Dieser Beitrag wurde ohne Cookies geschrieben

PS2. Die Sicherheitsvorkehrung, dass SIDs mit dem User-Agent gekoppelt sind hilft wenig, da der auch vom Angreifer gelesen werden kann


also Leute, niemals (die "Bookmarks" / "Lesezeichen") aus dem Verlauf des Browsers laden, sondern immer http://www.girlloverforum.net/forum/index.php eintippen oder genau diese Url aus den Bookmarks/Lesezeichen heraus laden !

[Annika]

Man sollte die Foren-Übersicht nicht aus der Chronik laden, weil diese hat im angemeldeten Status immer ein SID. Ganz besonders gilt das wenn man den Browser frisch geöffnet hat und noch keine GLF-Cokies gespeichert sind. Wenn über diese Hauptseite aus der Chronik (unangemeldet, und ohne Cookies) andere Seiten aufgerufen werden, dann haben diese allerdings auch eine SID und können später genauso eine automatische Anmeldung bewirken.

Einfache Lösung: unten auf der Foren-Übersicht ist ein Button "Alle Cookies des Boards löschen" (unter Off-Topic). Dann besteht das Problem nicht mehr.

[MaraFan]

Themen mit identischem Problem vereint.

GLF-Moderation

Wenn man angemeldet ist und jemand einen Link über Anoymouse schickt, kann der jenige mit deinen Acc schreiben, da das PW mitgeschickt wird..

WAS DAS FÜR SCHEIS Sicherheitslücke

<<

[sus]

schick mal nen nen link bitte .... würde das gerne ausprobiern und deinen namen beschmutzen

[MaraFan]

Das hat Bockwurst bzw Virgian schon getan ich habs nur wieder gelöscht << So ne scheis hab ich echt noch nie erlebt

[sus]

hm, auf jedenfall gut dass dus anmerkst. is wahrlich ein problem.


vllt also vorerst mal davor warnen, dass man mit links vorsichtig sein sollte....

[Forbidden Love]

Hallo,

ich muß zugeben, das ich gar nicht verstehe worum es hier geht.

Hätte der Thread nicht besser ins Sicherheitsforum gepasst?


Gruß

Forbidden Love

[MaraFan]

Wenn man zb. anonymouse benutzt. Und dann einen Link aus dem Glf an einen Freund verschickt, versendet man das PW mit und er kann neue Threads erstellen bearbeiten etc.

So kann er sie es , verbotenes tuen mit deinen Nick..

[Smaragd aus Oz]

Na denn... Dann habe ich ja eine tolle Ausrede, falls unter meinem Namen mal Mist geschrieben werden sollte.

[Perma]

Wenn man zb. anonymouse benutzt. Und dann einen Link aus dem Glf an einen Freund verschickt, versendet man das PW mit und er kann neue Threads erstellen bearbeiten etc.

So kann er sie es , verbotenes tuen mit deinen Nick..

Da wird nicht das Passwort mitgeschickt sondern Deine bei jeder neuen Anmeldung unterschiedlichen Sitzungs-Id:

http://anonymouse.org/cgi-bin/anon-www_ ... =1&p=70618&sid=6728a98287a9871298a998172389722

Das rot markierte ist die Sitzungs-Id über die man im Forum eingeloggt ist. Wird diese mit dem Link weitergegeben, kann jemand unter Deiner aktuellen Sitzungs-Id und damit Deinem Nick hier herumwuseln.

Bei der der Weitergabe alles ab &sid= weglassen, dann passiert so etwas nicht.

Solltest Du versehentlich doch mal alles mit weitergeben, am besten dann sofort einmal vom Forum abmelden. Dann ist die Sitzungs-Id ungültig und kann nicht mehr missbraucht werden.

Danach kannst Du Dich wieder neu anmelden und erhältst auch eine neue Sitzungs-Id zugewiesen.

[Horizonzero]

Der Threat enthält in der Tat genug Sicherheitsinformationen das er in das Sicherheitsforum passt, daher hierher verschoben. Rainer, GLF-Mod.