Hallo, Gast! (Registrieren)

Letzte Ankündigung: MyBB 1.8.38 veröffentlicht (30.04.24)


Benutzer, die gerade dieses Thema anschauen: 1 Gast/Gäste
[NG] eventuelle Sicherheitslücke
#1
Guten Tag Mybb-Community,

ich habe gestern eine Begegnung in meinem MyBB-Projekt gehabt, welches mich dazu gezwungen hatte das Projekt offline zu nehmen.
Ich war über die Tage bei einem Freund und hatte mich von seinem PC über in meinem Board eingeloggt und blieb hierbei automatisch eingeloggt - abgemeldet habe ich mich nicht, da ich dachte das dies in ner bestimmten Zeit eh automatisch passiert.
Als ich dann am nächsten Tag zuhause war und mich selbst einloggte um einige Forenbeiträge zu bearbeiten, kam mein Freund zufällig online und sagte mir, das er als Gast Vollzugriff habe! Er konnte Threads löschen, Beiträge bearbeiten usw (zum Glück wusste er nichts von der Existenz des AdminCP's).

Als er dann anfing Beiträge mit meinem Account zu schreiben wurde es mir klar; er war mit seinem Browser mit meinem Account unterwegs.
Und das ist auch der Punkt der mich wundert; wie kann es sein das MyBB nicht erkennt, das 2 verschiedene Leute mit verschiedenen IP's mit dem gleichen Account eingeloggt sind? Ich bekam einen so großen Schreck, dass ich das Projekt sofort offline nahm um eine Lösung hierfür zu finden.

Was kann ich nun machen, damit er aus den Sessions gekickt wird? Ich kann nicht darauf vertrauen das er seine Cookies löscht oder sich freiwillig abmeldet, ich finde es schon komisch genug das die Forensoftware sowas zulässt, aber ich brauche eine Methode wie ich verhindern kann, dass dies in Zukunft passiert.

PS: Ich werde das Projekt solange offline halten, bis ich eine Lösung hierfür habe. Deswegen wäre ich sehr angetan wenn man mich in dieser Sache supporten könnte :>
#2
Das ist keine Sicherheitslücke des MyBBoards, sondern liegt an deiner Schusseligkeit.
Wenn du einem anderen Browser erlaubst, sich automatisch an deinen Zugang zu erinnern, musst du dich dort auch wieder ordentlich ausloggen.
Wie soll die MyBBoard-Software Unterschiede bei der IP machen, die sich hier in Deutschland eh jeden Tag ändert?

Wenn du deinem Freund nicht vertrauen kannst, musst du deinen Zugang ändern. Einfach neues PW wählen reicht schon.
#3
Dem kann ich nur zustimmen. Es sollte reichen als neues Passwort wieder das alte zu wählen, da auch der loginkey aktualisiert wird.

Gruß,
Michael
[Bild: banner.png]
Support erfolgt NUR im Forum!
Bitte gelöste Themen als "erledigt" markieren.
Beiträge mit mangelhafter Rechtschreibung/Grammatik werden kommentarlos gelöscht.
#4
scammerlol schrieb:(zum Glück wusste er nichts von der Existenz des AdminCP's).

Und selbst wenn, dann müsste er deinen Kennwort herausfinden, um sich da einloggen zu können, außer du hast da eine Admin-CP Session nicht geschlossen. Dann kann er es im Browser in der Adressleiste mit der Session-ID aufrufen. Dies sollte aber sehr unwahrscheinlich sein, da die IP sich beim Einwählen ändert, beendet MyBB automatisch die Admin-CP Session, sobald einer das Admin-CP über eine Session-ID aufruft.

Dein Freund ist zwar eingeloggt, aber für Kennwort & E-Mail ändern, benötigt er ebenfalls dein Kennwort.
#5
Um sich das ausloggen zu sparen, kannst du im Benutzer Control-Panel -> Optionen ändern unter Login, Cookies und Privatsphäre einfach die Option: Bei Rückkehr automatisch einloggen deaktiveren.

Dann wird das zuständige Cookie beim Schließen des Browsers gelöscht.


Möglicherweise verwandte Themen…
Thema Verfasser Antworten Ansichten Letzter Beitrag
  [G] HTML Sicherheitslücke in Abwesenheitsoption iamstillalive 10 5.157 14.04.2007, 11:02
Letzter Beitrag: Elrond
  [NG] Sicherheitslücke schrauber 5 2.931 16.03.2007, 14:06
Letzter Beitrag: helpy