Foren Login ohne Login-Daten

  • Ich habe ein frisches Firefox Profil, und dort habe ich irgendwann mal testweise hier zum Forum die falschen Login-Daten gespeichert mit dem Benutzernamen test und dem Passwort test. Natürlich kommt man damit nicht ins Forum rein. So weit so gut.
    Mit richtigen Login-Daten habe ich mich noch nie in diesem Firefox Profil eingeloggt.

    Heute wollte ich mit diesem frischen Firefox Profil einen Beitrag hier im Forum in dem neuen Profil ansehen und kopierte mir deshalb aus meinem Arbeitsprofil den Link aus der Adresszeile raus und gab ihn in diesem frischen Firefox Profil ein und staunte nicht schlecht, dass ich dort mit "Zitronella" angemeldet war und mir der Beitrags-Editor zur Verfügung stand.
    Beitrag absenden ging jedoch nicht, da ich dann auf die Login-Seite weiter geleitet wurde. EDIT: Ging doch, siehe Beitrag 2

    Der Link, den ich kopierte sah übrigens so aus:

    Code
    https://www.camp-firefox.de/forum/viewtopic.php?f=8&p=1091703&sid=xyz123#p1091703

    (xyz123=andere Zeichenreihe, die ich aus Sicherheitsgründen hier nicht poste)

    anklicken um die Grafik zu sehen
    [attachment=0]ff-forum-login.gif[/attachment]

    So etwas darf doch eigentlich nicht sein, oder? :-??

  • EDIT: gerade noch einmal ausprobiert (vorher löschte ich die gesamte Chronik und sämtliche Daten. Lediglich die falschen Login-Daten test und test lies ich unter "Gespeicherte Zugangsdaten" stehen) und ich konnte sogar einen Text unter "Zitronella" absenden, ohne dass ich vorher auf die Login-Seite geleitet wurde.
    [attachment=0]Bild_2018-09-05---11-09-06.png[/attachment]
    Auch in meinen persönlichen Bereich komme ich rein und kann dort alles machen :roll:

  • Hallo,

    das ist erwartungsgemäß. Das Kürzel sid steht für Session-ID und entspricht quasi einem Cookie, bloß ohne ein Cookie zu sein. Die Session-ID ist für jeden Nutzer eindeutig und ermöglicht einen Login. Session-IDs erscheinen normalerweise dann in der URL, wenn man keine Cookies aktiviert hat. Das ist ein Feature und kein Fehler. Deswegen sollte man niemals Links mit einer Session-ID posten. Das gilt nicht nur für diese Forensoftware, sondern ist eine Grundlegel für das Internet - es gibt viele andere Anwendungen, welche ebenfalls Session-IDs unterstützen.

    Wobei in dieser Software zumindest weitere Sicherheits-Prüfungen stattfinden. Daher wäre interessant zu wissen, ob die Session-ID auch dann noch greift, wenn du eine andere IP-Adresse in mindestens den letzten zwei Blöcken hast.

    Mit der in Zukunft verwendeten Software gibt es keine Session-IDs in der URL. Heißt auch, dass dann Cookies zwingend akzeptiert werden müssen, damit ein Login möglich ist. Um das zu vermeiden, gibt es die Session-IDs.

  • Cookies lasse ich alle zu und für dieses Forum werden sie beim Beenden von Firefox auch nicht gelöscht (alle Anderen schon, die nicht in meiner Ausnahmeliste drin sind). Insofern wundert es mich umso mehr, denn ich hatte und habe das öfters, dass in der URL-Zeile dieser sid=Link steht.
    Ich versuchte gestern noch mich mit diesem Session-ID-Link an einem anderen PC (Linux und Firefox 61.0) einzuloggen. Das ging übrigens nicht. Am gleichen PC mit frischem Profil (noch Firefox 61.0.2) ging es weiterhin. Heute geht es auch da nicht mehr. (Firefox 62).
    Diese Session-IDs finde ich wirklich ein großes Risiko. Wie leicht könnte man so einen Link posten (wer guckt sich schon genau den Link an?) und jemand anderes kann dann fast alles machen mit diesem Account.

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

  • Ich kann nichts dazu sagen, wie die Session-ID in einen deiner Links kam. Ich kann dir nur sagen, wofür Session-IDs gedacht sind und dass dass sie quasi als Cookie-Ersatz fungieren. Ich persönlich kann mich nicht daran erinnern, mal bei mir eine Session-ID in der URL gehabt zu haben, wobei ich natürlich auch nicht immer auf die Adressleiste schaue.

    Ich denke nicht, dass ein all zu großes Sicherheits-Risiko besteht. Wie gesagt wertet die Forensoftware zusätzlich zur Session-ID verschiedene andere Faktoren aus. In dem Zusammenhang ja auch mein Hinweis auf die IP-Adresse. Es ist normalerweise nicht möglich, dass sich jemand vollkommen Fremdes mit deiner Session-ID einloggen kann.

    Allerdings: Session-IDs sind keine Besonderheit dieser Forensoftware, das gibt es wie gesagt in ganz vielen Anwendungen. Man kann nicht davon ausgehen, dass es in jeder Software zusätzliche Validierungen gibt, um den Account zu schützen. Darum meine Anmerkung, dass es eine Grundregel sei, immer darauf zu achten, ob eine Session-ID in der URL ist, wenn man einen Link postet. Dass das vermutlich die Wenigsten machen, ist mir natürlich klar. Aber hier in diesem Forum sollte dank der zusätzlichen Validierungen keine reale Gefahr bestehen.

    Aber wie ich auch schon sagte: das Thema hat sich in ein paar Wochen eh von ganz alleine erledigt. Dieses Feature wird wegfallen.

  • Auch wenn es sich hier bald erledigt hat, weil eine neue Forensoftware kommt möchte ich ein Beispiel zeigen in einem anderen Forum (auchh phpBB)
    https://dexpot.de/forum/viewtopi…start=20#p37098 dann ganz nach oben links auf das Bild mit dem Schriftzug "Dexpot Forum" und man bekommt eine sid= URL

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)