Nein. Das Passwort wird über ein Hash verschlüsselt. Dieser Hash kann aber nur schwer zurückverfolgt werden, weil mehrere Wörter den gleichen Hash besitzen. Siehe Rainbow Tabelle. Die SID ist eindeutig und klar im Browser zu erkennen und daher mit deutlich weniger Aufwand verbunden. BTW Sicherheitslücken sollte man NIE klein reden.
ich rede vom Passwort selbst nciht wie es verschlüsselt gespeichert wurde Autoschlüssel in der Kneipe liegen lassen is auch sicherheitslücke
Ich weiss aus verlässlicher Quelle, das dies schon seit vielen Versionen so ist - mir wurde das auch demonstriert. Wie man das beheben kann: In dem man die IP Prüfung einschaltet. Die ist standardmässig deaktiviert. Würde Gambio dies standardmässig aktivieren, bräuchte hier keine Diskussion stattfinden Geht bei Konfiguration auf Sessions und dann IP Adresse Prüfen auf JA stellen !!! Damit ist das Problem beseitigt. Liebe Grüsse: Tammy
Wieso? Der Shop geht doch einwandfrei ... solange der mit der selben IP drin ist ... und die wird ja nur bei einer erneuten Einwahl erneut zugeteilt. DANN muss er halt die Seite nochmal aufufen - aber wer meldet sich während einer Bestellung ab, und wieder neu an? Geht somit doch nur um den Link - und da ist mir die Sicherheit wichtiger, als ein Nutzer, der sich zum Spass mal während einer Bestellung ausloggt oder aus der Leitung fliegt. Wird wohl nur sehr selten vorkommen. Liebe Grüsse: Tammy
Na das is ja ein Ding. Habe auch immer Links zum Artikel geschickt wenn ich eingeloogt war. Sowas sollte natürlich nicht vorkommen. Bin jetzt echt erschrocken das sowas möglich ist.
Hi @all, hier einmal eine kleine Soforthilfe um die Session IDs aus den URLs zu nehmen: suche in der Datei /inc/xtc_href_link.inc.php folgende Zeile: PHP: function xtc_href_link($page = '', $parameters = '', $connection = 'NONSSL', $add_session_id = true, $search_engine_safe = true, $p_relative_url = false) { und ändern diese in: PHP: function xtc_href_link($page = '', $parameters = '', $connection = 'NONSSL', $add_session_id = false, $search_engine_safe = true, $p_relative_url = false) { ACHTUNG! Dies ist noch nicht ausreichend getestet, es könnten unvorhersehbare Fehler auftreten.
Das wird nicht unbedingt helfen, weil bei einer Reihe von Aufrufen der "$add_session_id "-Parameter explizit gesetzt wird....
Hi, alternativ kann auch einfach der folgende Code aus der Datei /inc/xtc_href_link.inc.php auskommentiert werden, um die Funktion ganz abzuschalten: PHP: // Add the session ID when moving from different HTTP and HTTPS servers, or when SID is defined if ( ($add_session_id == true) && ($session_started == true) && (SESSION_FORCE_COOKIE_USE == 'False') ) { if (defined('SID') && xtc_not_null(SID)) { $sid = SID; } elseif ( ( ($request_type == 'NONSSL') && ($connection == 'SSL') && (ENABLE_SSL == true) ) || ( ($request_type == 'SSL') && ($connection == 'NONSSL') ) ) { if ($http_domain != $https_domain) { $sid = session_name() . '=' . session_id(); } } }