GPZ Forum
Login mit Firefox nicht möglich - Druckversion

+- GPZ Forum (https://gpz.info)
+-- Forum: Sonstiges (https://gpz.info/forumdisplay.php?fid=7)
+--- Forum: Forum (https://gpz.info/forumdisplay.php?fid=47)
+--- Thema: Login mit Firefox nicht möglich (/showthread.php?tid=148)

Seiten: 1 2

- Holle - 25.03.2006

Sorry, daß ich mich erst jetzt melde, ich hatte wegen meines Umzugs lange zeit kein Internet.

orangerider schrieb:
Holle schrieb:Das automatische Ausloggen hat sehr wohl einen Sinn.
Zum einen würden sonst alle User als "eingelogged" angezeigt werden
Ja und?!
Das stört. Wenn ich jemanden als Online sehe und ihn eine PN schreibe, ihn zum Chat einlade, oder war auch immer, dann kann er garnicht antworten, weil er garnicht mehr online ist (er wird halt nur als Online angezeigt). Klar, solange er sich nicht auslogged wird er auch beim automatischen ausloggen noch weiterhin als Online angezeigt, aber dann wenigstens nur noch eine bestimmte Zeit lang.

orangerider schrieb:
Holle schrieb:und zum anderen (was viel wichtiger ist) stellt das eine Sicherheitslücke dar.
Ich sehe darin überhaupt keine Sicherheitslücke.
Ich habe doch im vorherigen Thread geschrieben, worin die Sicherheitslücke besteht.

orangerider schrieb:
Holle schrieb:Schau mal, User X logged sich ein und verläߟt das Forum nach einiger Zeit wieder ohne sich auszuloggen (und ohne automatisch ausgelogged zu werden). Nun beendet er seine internetverbindung. Nun bekommt User Y die IP, welche bis dahin noch von User X belegt war.
Äuߟerst unwahrscheinlich. Die Wahrscheinlichkeit liegt bei 0,x%, dass das zutreffen würde. Ich hab mich öfters mal von meinen ISP ab- und innerhalb weniger Sekunden wieder angemeldet und IMMER hatte ich eine andere IP aus dem Pool zugewiesen bekommen. Ein Pool der ISPs hat dauernd hunderte freie IP-Adressen zu vergeben.
Je länger jemand eingelogged ist ohne daß seine IP noch reserviert ist (also wenn er nicht merh im Internet ist, aber noch im Forum eingelogged), desto größer wird die Wahrscheinlichkeit.
Ich habe nie behauptet, daß es äuߟerst wahrscheinlich ist, daß dieser Umstand zutrifft, aber es kann sein. Gerade wo das alte Forum "zerstört" wurde legen wir großen Wert auf die Sicherheit, und wenn es auch nur 0,0000x % risiko darstellt, dann ist es dennoch ein (unnötiges) Risiko.

orangerider schrieb:Und wenn schon!? Die IP-Adresse hat nichts im geringsten mit dem phpBB bzw. Anmeldeprozedur zu tun, sondern nur die Cookies sind ausschlaggebend.
Nein, die Cookies sind nötig um sich automatisch einzuloggen. Wenn jemand eingelogged ist, dann braucht er die Cookies nicht mehr, da er eine Session-ID bekommt.
Die Cookies werden erst wieder beim nöchsten einloggen benötigt.

orangerider schrieb:
Holle schrieb:Zufällig kommt User Y in dieses Forum und ist ohne irgendwas zu machen als User X eingelogged.
Ist er NICHT, da ihm das/die entsprechende/n Cookie/s fehlt/en.
Eben nicht, weil sich ser Y ja nicht neu einloggen muߟ. Er ist eingeloggt, da er die gleiche IP (und somit die gleiche Session-ID) hat und User X sich nicht ausgelogged hat.

orangerider schrieb:
Holle schrieb:Man bräuchte nichtmal zu hacken und wäre auf einmal als jemand anderes eingelogged.
Unsinn! Ohne die Cookies hat man keinen Zugriff auf das fremde Profil.
Siehe oben

orangerider schrieb:Ich kenn das aus einem anderen Forum und weiߟ, wovon ich spreche. Jedenfalls wär dann das überaus leidige Thema mit dem Login endlich mal vom Tisch. Rolleyes
Nö, damit wäre höchstes das Thema vom Logout vom Tisch. Selbst wenn man das automatische Ausloggen deaktivieren würde, dann müsstest du dich spätestens dann wieder einloggen, wenn dein ISP dir eine neue IP gibt. Das geschieht bei den meisten Providern alle 24 Stunden (bzw. nach jeder Trennung), aber andere Provider (AOL, Freenet,...) wechseln die IP auch während mann eingelogged ist.

Gruߟ, Holle

- squaredancer - 27.03.2006

Holle schrieb:
orangerider schrieb:Und wenn schon!? Die IP-Adresse hat nichts im geringsten mit dem phpBB bzw. Anmeldeprozedur zu tun, sondern nur die Cookies sind ausschlaggebend.
Nein, die Cookies sind nötig um sich automatisch einzuloggen. Wenn jemand eingelogged ist, dann braucht er die Cookies nicht mehr, da er eine Session-ID bekommt.
Die Cookies werden erst wieder beim nöchsten einloggen benötigt.
So, dann log dich mal ein, lösche alle Cookies bzw. die von der GPZ-Forumsseite vergebenen, und versuche, einen neuen Beitrag zu schreiben. Du wirst wieder zum Einloggen aufgefordert, da eben die Cookies weiterhin - und nicht nur ausschlieߟlich fürs Anmelden - gebraucht werden.

Holle schrieb:
orangerider schrieb:
Holle schrieb:Zufällig kommt User Y in dieses Forum und ist ohne irgendwas zu machen als User X eingelogged.
Ist er NICHT, da ihm das/die entsprechende/n Cookie/s fehlt/en.
Eben nicht, weil sich ser Y ja nicht neu einloggen muߟ. Er ist eingeloggt, da er die gleiche IP (und somit die gleiche Session-ID) hat und User X sich nicht ausgelogged hat.
IP != Session-ID

- orangerider - 27.03.2006

So.
Dieses obige Gast-Posting war von mir, da ich eben in einem Selbstversuch getestet habe, einen Beitrag abzusetzen, aber zuvor meine Cookies gelöscht habe.

Beweis: Der Beitrag wurde als Gast bzw. anonym abgegeben, da ich eben DOCH NICHT mehr eingeloggt gewesen bin und meine Cookies zum Schreiben benötigt werden.

Fazit: Meine Aussagen wurden somit verifiziert, da eben die IP-Adresse nebst Session-ID allein nicht ausreichend ist. Rolleyes

- Holle - 27.03.2006

orangerider schrieb:So, dann log dich mal ein, lösche alle Cookies bzw. die von der GPZ-Forumsseite vergebenen, und versuche, einen neuen Beitrag zu schreiben. Du wirst wieder zum Einloggen aufgefordert, da eben die Cookies weiterhin - und nicht nur ausschlieߟlich fürs Anmelden - gebraucht werden.
OK, dann wurde das im Laufe der Sicherheitsupdates geändert, in der alten Version ging das auch so, denn da konnte man Cookies ruhig deaktiviert haben und trotzdem blieb man angemeldet (lediglich das Autologin funktionierte dann nicht).

orangerider schrieb:IP != Session-ID
Nene, so einfach ist das nicht. Die Session-ID wird generiert, sonst könnte man die zu leicht fälschen. Ich bräuchte sonst ja nur deine IP zu kennen und schon könnte ich die Session-ID fälschen.
Die Session-ID hängt zwar mit der IP zusammen, aber sie ist doch schon etwas mehr.

- orangerider - 27.03.2006

Holle schrieb:
orangerider schrieb:IP != Session-ID
Nene, so einfach ist das nicht. Die Session-ID wird generiert, sonst könnte man die zu leicht fälschen. Ich bräuchte sonst ja nur deine IP zu kennen und schon könnte ich die Session-ID fälschen.
Die Session-ID hängt zwar mit der IP zusammen, aber sie ist doch schon etwas mehr.
Deswegen schreibe ich doch genau:
IP != Session-ID Rolleyes
Natürlich ist sie "etwas mehr", sonst wäre sie ja nicht ungleich. Wink

- Martin (webmaster) - 27.03.2006

@orangerider:

sag mal Du hast wohl den ganzen Tag nichts zu tun, als Deine sämtlichen Behauptungen doppelt und dreifach zu "verifizieren" um unter Garantie immer das letzte Wort zu haben Big Grin Big Grin Big Grin

- orangerider - 27.03.2006

Martin (webmaster) schrieb:@orangerider:

sag mal Du hast wohl den ganzen Tag nichts zu tun, als Deine sämtlichen Behauptungen doppelt und dreifach zu "verifizieren" um unter Garantie immer das letzte Wort zu haben Big Grin Big Grin Big Grin

Klar doch, solang ich im Recht bin. [Bild: http://ja.gamigo.de/forum/smilies/nana.gif]

Auߟerdem hatte Holle das Thema wieder aufgewärmt. Rolleyes Big Grin

Und wenn mein Arbeitsplatz der PC ist und das Internet so nebenbei läuft, hat man immer Zeit.
Naja, im Moment bin ich am Linux frickeln, da braucht man das Netz sowieso durchgehend.... Rolleyes Wink

- Martin (webmaster) - 27.03.2006

orangerider schrieb:Und wenn mein Arbeitsplatz der PC ist und das Internet so nebenbei läuft, hat man immer Zeit.
Naja, im Moment bin ich am Linux frickeln, da braucht man das Netz sowieso durchgehend.... Rolleyes Wink

Tja, hättest eben doch lieber etwas gescheites gelernt Wink

- orangerider - 28.03.2006

Martin (webmaster) schrieb:
orangerider schrieb:Und wenn mein Arbeitsplatz der PC ist und das Internet so nebenbei läuft, hat man immer Zeit.
Naja, im Moment bin ich am Linux frickeln, da braucht man das Netz sowieso durchgehend.... Rolleyes Wink

Tja, hättest eben doch lieber etwas gescheites gelernt Wink

Was soll das wieder heiߟen??! Rolleyes
Höre ich da etwa irgendwas Negatives.... Confused

Ich hätte auch "Künstler" machen können. Wink
Aber mein Berufsfeld macht mir eigentlich Spaß.

- Martin (webmaster) - 28.03.2006

orangerider schrieb:Ich hätte auch "Künstler" machen können. Wink
Aber mein Berufsfeld macht mir eigentlich Spaß.

Durch das Weglassen von (wichtigen) Details kann man sich alles zurecht drehen Wink (Schliesslich habe auch ich einen normalen Beruf *g*)

Im übrigen kann man den Beruf "Künstler" nicht erlernen. Entweder hat man es im Blut oder man muss es bleiben lassen.