Delphi-PRAXiS - phpBB in bestehendes Loginsystem einbinden

Seite 2 von 2

Delphi-PRAXiS (https://www.delphipraxis.net/forum.php)

- Programmieren allgemein (https://www.delphipraxis.net/40-programmieren-allgemein/)

- - phpBB in bestehendes Loginsystem einbinden (https://www.delphipraxis.net/54727-phpbb-bestehendes-loginsystem-einbinden.html)

Re: phpBB in bestehendes Loginsystem einbinden

Zitat:

Zitat von alcaeus

Zitat:

Zitat von faux

Ja, danke. Es lag sowieso an mir, ich habe in die sessions-Tabelle das admin-flag nicht gesetzte. ;)

Das wuerde ich auch nicht machen.

Das Admin-Flag wurde in phpBB 2.0.15 eingebaut, um bei Session-Highjacking noch eine Sperre zum ACP einzubauen. In phpBB 2.0.12 gabs den Bug, dass sich ein beliebiger Angreifer ueber das Autologin-Feature als ein beliebiger User anmelden konnte. Meldete er sich als Admin ein, konnte er sofort ins ACP. Mit diesem Feature muss man nochmal das Passwort eingeben, also sollte das ACP fuer Angreifer Tabu sein ;)

Das Admin-Flag setze ich nur, wenn der User als Administrator in der DB steht. Und das wird bei jedem (Auto)login überprüft. Ist das trotzdem gefährlich?

Um nochmal auf eine für mich sehr wichtige Frage zurückzukommen:
Wieso ändert phpBB die von mir generierte SessID?

Grüße
Faux

Re: phpBB in bestehendes Loginsystem einbinden

So, ich hab das jetzt hinbekommen (schon seit längerem), aber jetzt gibt es ein neueres Problem:

Ich habe auf der Page selbst so gemacht, dass man immer eingelogt ist, also nicht automatisch nach einem Timeout oder so, ausgelogt wird. Jedoch logt sich das phpBB nach einer gewissen Zeit aus...
Wieso? An was kann das liegen? :gruebel:

Danke schon mal für die Antwort.
Grüße
Faux

Seite 2 von 2