DP nicht sicher? (UserAuthentifizierung)
 

Hab hier leider „zufällig“ ein massives Sicherheitsloch entdeckt (jedenfalls sieht es bisher so aus).

Aufgefallen war es durch 'nen Cachefehler, wo ich aber erstmal feststellen wollte, ob es an der DP, oder am Server liegt, über den ich hier ins INet gehe.

Und zwar haben wir zum Test mal die DP über einen anderen Platz aufgerufen und nach ein/zwei refresh's der DP waren wir plötzlich auch am anderen Platz angemeldet - also nur www.delphi-praxis.de eingegeben, ein-/zweimal F5 gedrückt und schon ist man dort unter meinem Nick angemeldet.

Am Server liegt es schonmal nicht, der hat zwar 'ne Seitencache, allerdings sind einige Rechner nicht mit diesem Server verbunden, also die einzige Gemeinsamkeit ist der selbe Proxy, über welchen leider auch viele Rechner in der ganzen Stadt laufen (grob geschätzt würd ich mal so an die Hundert vermuten) und somit die selbe IP.

Konnte dieses Verhalten auch schon mehrmals und an verschiedenen Rechnern wiederholen und wie mir mittlerweile aufgefallen ist, hab ich dieses Problem schon länger.
Und zwar muß ich mich manchmal mehrmals ausloggen (auf Logout klicken), damit ich ausgeloggt bin. Nach dem Ausloggen wird ja die Seite neu geladen und ich bin da wieder eingeloggt (anfangs dachte ich ja nur der Logoutbefehl würde nicht richtig übermittelt).

Die Techniker meinen jedenfalls es läge nicht an ihren Rechnern, vorallem da die einzige Gemeinsamkeit nur ein linuxbasierender Proxy sei.

Allerdings konnte ich dieses Verhalten bisher auch nur an Rechnern welche diesen Proxy nutzen wiederholen – da ich aber dieses Phänomen erst seit Dienstag kenne konnte ich noch keine all zu großen Test mit anderen Rechner machen und wollte mal fragen ob noch andere etwas ähnliches bei sich erleben konnten?
sich manchmal erst nach ein/zwei Versuchen ausloggen können
angemeldet sein, wenn man an einem anderem Platz die DP aufruft
(noch vor dem automatischen Ausloggen durch die DP ... man wird ja nach ein paar Minütchen Inaktivität rausgeschmissen)

Und es macht auch keinen Unterschied, ob ich mich vorher an dem einen Platz auslogge (auf Logout klicke), oder nicht.
wird beim Logout eigentlich nur das Cookie, oder auch noch die Session mit gelöscht?


Ach ja, das Problem ist bisher auch nur in Verbindung mit der DP aufgetaucht.
Also immer nur die DP und der selbe Proxy ... anderer INetzugang und/oder 'ne andere Seite führten bisher nicht dazu.


Ich hoffe auf 'ne schnelle Aufklärung/Beseitigung dieses Problems, denn ihr könnt euch ja vorstellen, daß es für mich ein wirklich großes Sicherheitsproblem darstellt, wenn tausende, wildfremde Leute in meinen Benutzeraccount reinkämen (bin ja schließlich nicht der einzige Dresdner in auf der DP).

MfG Frank

Re: DP nicht sicher? (UserAuthentifizierung)
 

Und dann fällt Dir nichts Besseres ein, als es schwarz auf weiß zu veröffentlichen anstatt mir eine PN zu senden.
:roll:

Ich werde die Sache untersuchen. Ich tippe aber auf ein Cookie mit Deinen Anmelde-Daten und automatische Anmeldung an der DP.

Re: DP nicht sicher? (UserAuthentifizierung)
 

stimmt ja ... ich denk och nie nach -.-''
(notfalls kann dat ja ma einer löschen)

Cookies konne es doch nicht sein, wo sollen die denn herkommen ... bei unabhängigen PC's ... die Cookies werden doch wohl nur auf dem PC gespeichert, also wie sollen die denn auf andere PC's kommen, dazumal ich hier einen eigenen Account habe und private Daten, also auch Cookies, nicht in anderen Accounts auftauchen.
Außerdem ist es ja auch unter verschiedenen Betriebssystemen/Browsern aufgetreten, wobei sich MS+IE und Linux/FF wohl bestimmt nicht die Cookies teilen werden :grübel: