18.11.2005, 20:03
Holle schrieb:Das automatische Ausloggen hat sehr wohl einen Sinn.Ja und?!
Zum einen würden sonst alle User als "eingelogged" angezeigt werden
Holle schrieb:und zum anderen (was viel wichtiger ist) stellt das eine Sicherheitslücke dar.Ich sehe darin überhaupt keine Sicherheitslücke.
Holle schrieb:Schau mal, User X logged sich ein und verläßt das Forum nach einiger Zeit wieder ohne sich auszuloggen (und ohne automatisch ausgelogged zu werden). Nun beendet er seine internetverbindung. Nun bekommt User Y die IP, welche bis dahin noch von User X belegt war.Ãußerst unwahrscheinlich. Die Wahrscheinlichkeit liegt bei 0,x%, dass das zutreffen würde. Ich hab mich öfters mal von meinen ISP ab- und innerhalb weniger Sekunden wieder angemeldet und IMMER hatte ich eine andere IP aus dem Pool zugewiesen bekommen. Ein Pool der ISPs hat dauernd hunderte freie IP-Adressen zu vergeben.
Und wenn schon!? Die IP-Adresse hat nichts im geringsten mit dem phpBB bzw. Anmeldeprozedur zu tun, sondern nur die Cookies sind ausschlaggebend.
Holle schrieb:Zufällig kommt User Y in dieses Forum und ist ohne irgendwas zu machen als User X eingelogged.Ist er NICHT, da ihm das/die entsprechende/n Cookie/s fehlt/en.
Holle schrieb:Man bräuchte nichtmal zu hacken und wäre auf einmal als jemand anderes eingelogged.Unsinn! Ohne die Cookies hat man keinen Zugriff auf das fremde Profil.
Ich kenn das aus einem anderen Forum und weiß, wovon ich spreche. Jedenfalls wär dann das überaus leidige Thema mit dem Login endlich mal vom Tisch.
