Login mit Firefox nicht möglich

[Holle]

Sorry, daß ich mich erst jetzt melde, ich hatte wegen meines Umzugs lange zeit kein Internet.

Das automatische Ausloggen hat sehr wohl einen Sinn.
Zum einen würden sonst alle User als "eingelogged" angezeigt werden

Ja und?!

Das stört. Wenn ich jemanden als Online sehe und ihn eine PN schreibe, ihn zum Chat einlade, oder war auch immer, dann kann er garnicht antworten, weil er garnicht mehr online ist (er wird halt nur als Online angezeigt). Klar, solange er sich nicht auslogged wird er auch beim automatischen ausloggen noch weiterhin als Online angezeigt, aber dann wenigstens nur noch eine bestimmte Zeit lang.

und zum anderen (was viel wichtiger ist) stellt das eine Sicherheitslücke dar.

Ich sehe darin überhaupt keine Sicherheitslücke.

Ich habe doch im vorherigen Thread geschrieben, worin die Sicherheitslücke besteht.

Schau mal, User X logged sich ein und verläߟt das Forum nach einiger Zeit wieder ohne sich auszuloggen (und ohne automatisch ausgelogged zu werden). Nun beendet er seine internetverbindung. Nun bekommt User Y die IP, welche bis dahin noch von User X belegt war.

Äuߟerst unwahrscheinlich. Die Wahrscheinlichkeit liegt bei 0,x%, dass das zutreffen würde. Ich hab mich öfters mal von meinen ISP ab- und innerhalb weniger Sekunden wieder angemeldet und IMMER hatte ich eine andere IP aus dem Pool zugewiesen bekommen. Ein Pool der ISPs hat dauernd hunderte freie IP-Adressen zu vergeben.

Je länger jemand eingelogged ist ohne daß seine IP noch reserviert ist (also wenn er nicht merh im Internet ist, aber noch im Forum eingelogged), desto größer wird die Wahrscheinlichkeit.
Ich habe nie behauptet, daß es äuߟerst wahrscheinlich ist, daß dieser Umstand zutrifft, aber es kann sein. Gerade wo das alte Forum "zerstört" wurde legen wir großen Wert auf die Sicherheit, und wenn es auch nur 0,0000x % risiko darstellt, dann ist es dennoch ein (unnötiges) Risiko.

Und wenn schon!? Die IP-Adresse hat nichts im geringsten mit dem phpBB bzw. Anmeldeprozedur zu tun, sondern nur die Cookies sind ausschlaggebend.

Nein, die Cookies sind nötig um sich automatisch einzuloggen. Wenn jemand eingelogged ist, dann braucht er die Cookies nicht mehr, da er eine Session-ID bekommt.
Die Cookies werden erst wieder beim nöchsten einloggen benötigt.

Zufällig kommt User Y in dieses Forum und ist ohne irgendwas zu machen als User X eingelogged.

Ist er NICHT, da ihm das/die entsprechende/n Cookie/s fehlt/en.

Eben nicht, weil sich ser Y ja nicht neu einloggen muߟ. Er ist eingeloggt, da er die gleiche IP (und somit die gleiche Session-ID) hat und User X sich nicht ausgelogged hat.

Man bräuchte nichtmal zu hacken und wäre auf einmal als jemand anderes eingelogged.

Unsinn! Ohne die Cookies hat man keinen Zugriff auf das fremde Profil.

Siehe oben

Ich kenn das aus einem anderen Forum und weiߟ, wovon ich spreche. Jedenfalls wär dann das überaus leidige Thema mit dem Login endlich mal vom Tisch.

Nö, damit wäre höchstes das Thema vom Logout vom Tisch. Selbst wenn man das automatische Ausloggen deaktivieren würde, dann müsstest du dich spätestens dann wieder einloggen, wenn dein ISP dir eine neue IP gibt. Das geschieht bei den meisten Providern alle 24 Stunden (bzw. nach jeder Trennung), aber andere Provider (AOL, Freenet,...) wechseln die IP auch während mann eingelogged ist.

Gruߟ, Holle

[squaredancer]

Und wenn schon!? Die IP-Adresse hat nichts im geringsten mit dem phpBB bzw. Anmeldeprozedur zu tun, sondern nur die Cookies sind ausschlaggebend.

Nein, die Cookies sind nötig um sich automatisch einzuloggen. Wenn jemand eingelogged ist, dann braucht er die Cookies nicht mehr, da er eine Session-ID bekommt.
Die Cookies werden erst wieder beim nöchsten einloggen benötigt.

So, dann log dich mal ein, lösche alle Cookies bzw. die von der GPZ-Forumsseite vergebenen, und versuche, einen neuen Beitrag zu schreiben. Du wirst wieder zum Einloggen aufgefordert, da eben die Cookies weiterhin - und nicht nur ausschlieߟlich fürs Anmelden - gebraucht werden.

Zufällig kommt User Y in dieses Forum und ist ohne irgendwas zu machen als User X eingelogged.

Ist er NICHT, da ihm das/die entsprechende/n Cookie/s fehlt/en.

Eben nicht, weil sich ser Y ja nicht neu einloggen muߟ. Er ist eingeloggt, da er die gleiche IP (und somit die gleiche Session-ID) hat und User X sich nicht ausgelogged hat.

IP != Session-ID

[orangerider]

So.
Dieses obige Gast-Posting war von mir, da ich eben in einem Selbstversuch getestet habe, einen Beitrag abzusetzen, aber zuvor meine Cookies gelöscht habe.

Beweis: Der Beitrag wurde als Gast bzw. anonym abgegeben, da ich eben DOCH NICHT mehr eingeloggt gewesen bin und meine Cookies zum Schreiben benötigt werden.

Fazit: Meine Aussagen wurden somit verifiziert, da eben die IP-Adresse nebst Session-ID allein nicht ausreichend ist.

[Holle]

So, dann log dich mal ein, lösche alle Cookies bzw. die von der GPZ-Forumsseite vergebenen, und versuche, einen neuen Beitrag zu schreiben. Du wirst wieder zum Einloggen aufgefordert, da eben die Cookies weiterhin - und nicht nur ausschlieߟlich fürs Anmelden - gebraucht werden.

OK, dann wurde das im Laufe der Sicherheitsupdates geändert, in der alten Version ging das auch so, denn da konnte man Cookies ruhig deaktiviert haben und trotzdem blieb man angemeldet (lediglich das Autologin funktionierte dann nicht).

IP != Session-ID

Nene, so einfach ist das nicht. Die Session-ID wird generiert, sonst könnte man die zu leicht fälschen. Ich bräuchte sonst ja nur deine IP zu kennen und schon könnte ich die Session-ID fälschen.
Die Session-ID hängt zwar mit der IP zusammen, aber sie ist doch schon etwas mehr.

[orangerider]

IP != Session-ID

Nene, so einfach ist das nicht. Die Session-ID wird generiert, sonst könnte man die zu leicht fälschen. Ich bräuchte sonst ja nur deine IP zu kennen und schon könnte ich die Session-ID fälschen.
Die Session-ID hängt zwar mit der IP zusammen, aber sie ist doch schon etwas mehr.

Deswegen schreibe ich doch genau:
IP != Session-ID
Natürlich ist sie "etwas mehr", sonst wäre sie ja nicht ungleich.

[Martin (webmaster)]

@orangerider:

sag mal Du hast wohl den ganzen Tag nichts zu tun, als Deine sämtlichen Behauptungen doppelt und dreifach zu "verifizieren" um unter Garantie immer das letzte Wort zu haben

[orangerider]

@orangerider:

sag mal Du hast wohl den ganzen Tag nichts zu tun, als Deine sämtlichen Behauptungen doppelt und dreifach zu "verifizieren" um unter Garantie immer das letzte Wort zu haben

Klar doch, solang ich im Recht bin. [Bild: http://ja.gamigo.de/forum/smilies/nana.gif]

Auߟerdem hatte Holle das Thema wieder aufgewärmt.

Und wenn mein Arbeitsplatz der PC ist und das Internet so nebenbei läuft, hat man immer Zeit.
Naja, im Moment bin ich am Linux frickeln, da braucht man das Netz sowieso durchgehend....

[Martin (webmaster)]

Und wenn mein Arbeitsplatz der PC ist und das Internet so nebenbei läuft, hat man immer Zeit.
Naja, im Moment bin ich am Linux frickeln, da braucht man das Netz sowieso durchgehend....

Tja, hättest eben doch lieber etwas gescheites gelernt

[orangerider]

Und wenn mein Arbeitsplatz der PC ist und das Internet so nebenbei läuft, hat man immer Zeit.
Naja, im Moment bin ich am Linux frickeln, da braucht man das Netz sowieso durchgehend....

Tja, hättest eben doch lieber etwas gescheites gelernt

Was soll das wieder heiߟen??!
Höre ich da etwa irgendwas Negatives....

Ich hätte auch "Künstler" machen können.
Aber mein Berufsfeld macht mir eigentlich Spaß.

[Martin (webmaster)]

Ich hätte auch "Künstler" machen können.
Aber mein Berufsfeld macht mir eigentlich Spaß.

Durch das Weglassen von (wichtigen) Details kann man sich alles zurecht drehen (Schliesslich habe auch ich einen normalen Beruf *g*)

Im übrigen kann man den Beruf "Künstler" nicht erlernen. Entweder hat man es im Blut oder man muss es bleiben lassen.