25.03.2006, 17:39
Sorry, daß ich mich erst jetzt melde, ich hatte wegen meines Umzugs lange zeit kein Internet.
Ich habe nie behauptet, daß es äußerst wahrscheinlich ist, daß dieser Umstand zutrifft, aber es kann sein. Gerade wo das alte Forum "zerstört" wurde legen wir großen Wert auf die Sicherheit, und wenn es auch nur 0,0000x % risiko darstellt, dann ist es dennoch ein (unnötiges) Risiko.
Die Cookies werden erst wieder beim nöchsten einloggen benötigt.
Gruß, Holle
orangerider schrieb:Das stört. Wenn ich jemanden als Online sehe und ihn eine PN schreibe, ihn zum Chat einlade, oder war auch immer, dann kann er garnicht antworten, weil er garnicht mehr online ist (er wird halt nur als Online angezeigt). Klar, solange er sich nicht auslogged wird er auch beim automatischen ausloggen noch weiterhin als Online angezeigt, aber dann wenigstens nur noch eine bestimmte Zeit lang.Holle schrieb:Das automatische Ausloggen hat sehr wohl einen Sinn.Ja und?!
Zum einen würden sonst alle User als "eingelogged" angezeigt werden
orangerider schrieb:Ich habe doch im vorherigen Thread geschrieben, worin die Sicherheitslücke besteht.Holle schrieb:und zum anderen (was viel wichtiger ist) stellt das eine Sicherheitslücke dar.Ich sehe darin überhaupt keine Sicherheitslücke.
orangerider schrieb:Je länger jemand eingelogged ist ohne daß seine IP noch reserviert ist (also wenn er nicht merh im Internet ist, aber noch im Forum eingelogged), desto größer wird die Wahrscheinlichkeit.Holle schrieb:Schau mal, User X logged sich ein und verläßt das Forum nach einiger Zeit wieder ohne sich auszuloggen (und ohne automatisch ausgelogged zu werden). Nun beendet er seine internetverbindung. Nun bekommt User Y die IP, welche bis dahin noch von User X belegt war.Ãußerst unwahrscheinlich. Die Wahrscheinlichkeit liegt bei 0,x%, dass das zutreffen würde. Ich hab mich öfters mal von meinen ISP ab- und innerhalb weniger Sekunden wieder angemeldet und IMMER hatte ich eine andere IP aus dem Pool zugewiesen bekommen. Ein Pool der ISPs hat dauernd hunderte freie IP-Adressen zu vergeben.
Ich habe nie behauptet, daß es äußerst wahrscheinlich ist, daß dieser Umstand zutrifft, aber es kann sein. Gerade wo das alte Forum "zerstört" wurde legen wir großen Wert auf die Sicherheit, und wenn es auch nur 0,0000x % risiko darstellt, dann ist es dennoch ein (unnötiges) Risiko.
orangerider schrieb:Und wenn schon!? Die IP-Adresse hat nichts im geringsten mit dem phpBB bzw. Anmeldeprozedur zu tun, sondern nur die Cookies sind ausschlaggebend.Nein, die Cookies sind nötig um sich automatisch einzuloggen. Wenn jemand eingelogged ist, dann braucht er die Cookies nicht mehr, da er eine Session-ID bekommt.
Die Cookies werden erst wieder beim nöchsten einloggen benötigt.
orangerider schrieb:Eben nicht, weil sich ser Y ja nicht neu einloggen muß. Er ist eingeloggt, da er die gleiche IP (und somit die gleiche Session-ID) hat und User X sich nicht ausgelogged hat.Holle schrieb:Zufällig kommt User Y in dieses Forum und ist ohne irgendwas zu machen als User X eingelogged.Ist er NICHT, da ihm das/die entsprechende/n Cookie/s fehlt/en.
orangerider schrieb:Siehe obenHolle schrieb:Man bräuchte nichtmal zu hacken und wäre auf einmal als jemand anderes eingelogged.Unsinn! Ohne die Cookies hat man keinen Zugriff auf das fremde Profil.
orangerider schrieb:Ich kenn das aus einem anderen Forum und weiß, wovon ich spreche. Jedenfalls wär dann das überaus leidige Thema mit dem Login endlich mal vom Tisch.Nö, damit wäre höchstes das Thema vom Logout vom Tisch. Selbst wenn man das automatische Ausloggen deaktivieren würde, dann müsstest du dich spätestens dann wieder einloggen, wenn dein ISP dir eine neue IP gibt. Das geschieht bei den meisten Providern alle 24 Stunden (bzw. nach jeder Trennung), aber andere Provider (AOL, Freenet,...) wechseln die IP auch während mann eingelogged ist.
Gruß, Holle
Gruß, Holle.