Einzelnen Beitrag anzeigen

Benutzerbild von faux
faux

Registriert seit: 18. Apr 2004
Ort: Linz
2.044 Beiträge
 
Turbo Delphi für Win32
 
#11

Re: phpBB in bestehendes Loginsystem einbinden

  Alt 14. Okt 2005, 15:47
Zitat von alcaeus:
Zitat von faux:
Ja, danke. Es lag sowieso an mir, ich habe in die sessions-Tabelle das admin-flag nicht gesetzte.
Das wuerde ich auch nicht machen.

Das Admin-Flag wurde in phpBB 2.0.15 eingebaut, um bei Session-Highjacking noch eine Sperre zum ACP einzubauen. In phpBB 2.0.12 gabs den Bug, dass sich ein beliebiger Angreifer ueber das Autologin-Feature als ein beliebiger User anmelden konnte. Meldete er sich als Admin ein, konnte er sofort ins ACP. Mit diesem Feature muss man nochmal das Passwort eingeben, also sollte das ACP fuer Angreifer Tabu sein
Das Admin-Flag setze ich nur, wenn der User als Administrator in der DB steht. Und das wird bei jedem (Auto)login überprüft. Ist das trotzdem gefährlich?

Um nochmal auf eine für mich sehr wichtige Frage zurückzukommen:
Wieso ändert phpBB die von mir generierte SessID?

Grüße
Faux
Faux Manuel
Wer weiß, dass er nichts weiß, weiß mehr, als der der nicht weiß, dass er nichts weiß.
GoTrillian
  Mit Zitat antworten Zitat