MyBB.de Forum
Welchen Grund gibt es für die uid als $_GET am Logoutlink - Druckversion

+- MyBB.de Forum (https://www.mybb.de/forum)
+-- Forum: Archiv (https://www.mybb.de/forum/forum-57.html)
+--- Forum: MyBB 1.2.x und älter (https://www.mybb.de/forum/forum-27.html)
+---- Forum: Sonstiges (https://www.mybb.de/forum/forum-29.html)
+---- Thema: Welchen Grund gibt es für die uid als $_GET am Logoutlink (/thread-7576.html)



Welchen Grund gibt es für die uid als $_GET am Logoutlink - Jan - 05.11.2007

Hallo,

warum wird an den Logoutlink die uid und die sid angehängt? Kann man dies nicht über die Cookies auslesen? Welchen Sicherheitsgrund gibt es dafür?


RE: Welchen Grund gibt es für die uid als $_GET am Logoutlink - StefanT - 05.11.2007

Das schützt davor, dass "böse" Javascripts jemanden abmelden können. Nur wenn man selber auf den Link mit diesen Daten klickt, wird man abgemeldet.


RE: Welchen Grund gibt es für die uid als $_GET am Logoutlink - Jan - 05.11.2007

Heißt in PHP ausgedrückt?
Wird die angehängte sid und uid mit den Cookies überprüft? Oder was läuft da genau ab?


RE: Welchen Grund gibt es für die uid als $_GET am Logoutlink - StefanT - 05.11.2007

Beim Abmelden wird das Cookie gelöscht, was den Login speichert.
Natürlich wird vorher überprüft, ob die SID zur Session passt und ob die UID zum aktuellen Benutzer gehört.


RE: Welchen Grund gibt es für die uid als $_GET am Logoutlink - Jan - 05.11.2007

Ok, und die sid und uid bekommt er nur über den Link? Warum nicht über das Cookie?
Wie sieht da genau die Gefahr aus?
Ich frage, weil ich gerade mein Sessionsystem überarbeite und dort nun die Frage ist, wie ich den Logoutvorgang absichern kann.
Was nützt es die uid und sid im Cokkie UND im Link zu haben? Wo kann Javascript da angreifen und wie?