Hallo, Gast! (Registrieren)

Letzte Ankündigung: MyBB 1.8.38 veröffentlicht (30.04.24)


Benutzer, die gerade dieses Thema anschauen: 2 Gast/Gäste
Welchen Grund gibt es für die uid als $_GET am Logoutlink
#1
Hallo,

warum wird an den Logoutlink die uid und die sid angehängt? Kann man dies nicht über die Cookies auslesen? Welchen Sicherheitsgrund gibt es dafür?

#2
Das schützt davor, dass "böse" Javascripts jemanden abmelden können. Nur wenn man selber auf den Link mit diesen Daten klickt, wird man abgemeldet.
[Bild: banner.png]

Bitte die Foren-Regeln beachten und im Profil die verwendete MyBB-Version angeben.
#3
Heißt in PHP ausgedrückt?
Wird die angehängte sid und uid mit den Cookies überprüft? Oder was läuft da genau ab?

#4
Beim Abmelden wird das Cookie gelöscht, was den Login speichert.
Natürlich wird vorher überprüft, ob die SID zur Session passt und ob die UID zum aktuellen Benutzer gehört.
[Bild: banner.png]

Bitte die Foren-Regeln beachten und im Profil die verwendete MyBB-Version angeben.
#5
Ok, und die sid und uid bekommt er nur über den Link? Warum nicht über das Cookie?
Wie sieht da genau die Gefahr aus?
Ich frage, weil ich gerade mein Sessionsystem überarbeite und dort nun die Frage ist, wie ich den Logoutvorgang absichern kann.
Was nützt es die uid und sid im Cokkie UND im Link zu haben? Wo kann Javascript da angreifen und wie?



Möglicherweise verwandte Themen…
Thema Verfasser Antworten Ansichten Letzter Beitrag
  Posts/ UID Mad4Milk 3 2.660 17.03.2008, 19:00
Letzter Beitrag: Michael
  Welche Foren laufen mit welchen Hacks ÜBERSICHT Jochen2003 0 1.547 23.02.2006, 10:34
Letzter Beitrag: Jochen2003