Beiträge: 1.450
Themen: 155
Registriert seit: 18.03.2006
Hallo,
warum wird an den Logoutlink die uid und die sid angehängt? Kann man dies nicht über die Cookies auslesen? Welchen Sicherheitsgrund gibt es dafür?
Beiträge: 25.762
Themen: 269
Registriert seit: 20.09.2005
Das schützt davor, dass "böse" Javascripts jemanden abmelden können. Nur wenn man selber auf den Link mit diesen Daten klickt, wird man abgemeldet.
Bitte die Foren-Regeln beachten und im Profil die verwendete MyBB-Version angeben.
Beiträge: 1.450
Themen: 155
Registriert seit: 18.03.2006
Heißt in PHP ausgedrückt?
Wird die angehängte sid und uid mit den Cookies überprüft? Oder was läuft da genau ab?
Beiträge: 25.762
Themen: 269
Registriert seit: 20.09.2005
Beim Abmelden wird das Cookie gelöscht, was den Login speichert.
Natürlich wird vorher überprüft, ob die SID zur Session passt und ob die UID zum aktuellen Benutzer gehört.
Bitte die Foren-Regeln beachten und im Profil die verwendete MyBB-Version angeben.
Beiträge: 1.450
Themen: 155
Registriert seit: 18.03.2006
Ok, und die sid und uid bekommt er nur über den Link? Warum nicht über das Cookie?
Wie sieht da genau die Gefahr aus?
Ich frage, weil ich gerade mein Sessionsystem überarbeite und dort nun die Frage ist, wie ich den Logoutvorgang absichern kann.
Was nützt es die uid und sid im Cokkie UND im Link zu haben? Wo kann Javascript da angreifen und wie?