Zitat von
faux:
Ja, danke. Es lag sowieso an mir, ich habe in die sessions-Tabelle das admin-flag nicht gesetzte.
Das wuerde ich auch nicht machen.
Das Admin-Flag wurde in phpBB 2.0.15 eingebaut, um bei Session-Highjacking noch eine Sperre zum ACP einzubauen. In phpBB 2.0.12 gabs den Bug, dass sich ein beliebiger Angreifer ueber das Autologin-Feature als ein beliebiger User anmelden konnte. Meldete er sich als Admin ein, konnte er sofort ins ACP. Mit diesem Feature muss man nochmal das Passwort eingeben, also sollte das ACP fuer Angreifer Tabu sein
Greetz
alcaeus