Forum : eXV2 Administration

Titel : Cookie Session Speichern für 1 Jahr

Lice2 : 10.07.2004 10:38  Hallo ich habe da ein kleines prob und zwar bekomme ich jetzt schon von meheren usern mailŽs warum es denn nicht gehen würde wenn man meine Seite besucht xbmc.de das man sich immer von hand neu einloggen muss ich selber habe das auch festgestellt , ich habe die cookies session schon auf das höchste gestellt was geht und auch unter dem account "Soll Dein Mitgliedsname für ein Jahr in einem Cookie gespeichert werden?" auf ja stehen aber er ignoriert das einfach. Das sollte doch gehen ?! habe auch die namen geändert für die cookies xbmc_users und xbmc_sessions Währe nett wenn jemand rat weis. [ Geändert von Lice2 an 10.07.2004 10:39 ]

Nobse : 10.07.2004 13:41  Fürs dauerhaft eingeloggt bleiben wird auch die IP Adresse mit verwendet. Wenn diese sich ändert bist du ausgeloggt. Um das zu ändern musst du folgende schritte ausführen Das ganze befindet sich jetzt in der sessions.class.php im class Verzeichnis. Zeile 57 $this->hash = md5($this->uid.':'.$this->pass.':'._HTTP_USER_AGENT.':'._REMOTE_ADDR); in $this->hash = md5($this->uid.':'.$this->pass.':'._HTTP_USER_AGENT); Zeile 58 if ($db->query("INSERT INTO ".$db->prefix("session")." SET uid=".$this->uid.", uname='".$this->uname."', time=".time().", ip='"._REMOTE_ADDR."', hash='".$this->hash."'")) { in if ($db->query("INSERT INTO ".$db->prefix("session")." SET uid=".$this->uid.", uname='".$this->uname."', time=".time().", hash='".$this->hash."'")) { Zeile 145 if ($this->sessionID == md5($uid.':'.$pass.':'._HTTP_USER_AGENT.':'._REMOTE_ADDR)) { in if ($this->sessionID == md5($uid.':'.$pass.':'._HTTP_USER_AGENT)) { ändern. Und Cookis auf 31536000. Du hast dann aber ein kleine Sicherheitsloch.

Lice2 : 10.07.2004 15:14  Super funzt vielen Dank Die Zeilen waren nur etwas anders angeordnet bei weil ich RUNCMS 1.0 benutze aber es geht :) Oki wegen dem sicherheitsloch war mir bewust muss ich halt öfters mal nen backup fahren :)

Vegeta : 15.07.2004 03:27  Sicherheitsloch ? wie äussert sich denn das ? was geht denn wenn ?

herman : 02.10.2005 14:55  Hallo, wollte mal kurz nachfragen, ob diese Methode auch für Version 2.03 funktioniert ? Ich kann nicht ganz nachvollziehen, warum ihr das nicht automatisch im Skript integriert, bzw. optional dem Besucher die Möglichkeit anbietet Ist da programmiertechnisch ein größerer Aufwand oder gibt's andere Gründe, die man kennen sollte ? Ich nutze auf einer anderen Website das Phpbb-Forum und die 4images-Galerie. Da kann der Besucher wählen, ob er automatisch einloggen möchte oder nicht. Die aktuelle Exoops-Variante ist halt nicht so benutzerfreundlich, wie ich finde. Entsteht denn für das System tatsächliche eine Sicherheitslücke ? [ Geändert von herman an 02.10.2005 14:58 ]

bama : 02.10.2005 15:09  das Cookie wird auf dem PC gespeichert, von dem aus deine Seite aufgerufen wird wenn jetzt das Mitglied vergisst, die Cookie zu löschen, ist der nächste, der sich an den PC setzt automatisch mit dem Account des Mitglieds eingeloggt stellt dir mal das im Urlaub oder Internetcafe vor vor allem, wenn das Mitglied noch Adminrechte hat