v2.5.x Riesen Sicherheitslücke?!?

Thema wurde von Dan (sunnywall.de), 18. November 2015 erstellt.

  1. soprao

    soprao Erfahrener Benutzer

    Registriert seit:
    26. Februar 2015
    Beiträge:
    160
    Danke erhalten:
    18
    Danke vergeben:
    28
    Nein. Das Passwort wird über ein Hash verschlüsselt. Dieser Hash kann aber nur schwer zurückverfolgt werden, weil mehrere Wörter den gleichen Hash besitzen. Siehe Rainbow Tabelle.

    Die SID ist eindeutig und klar im Browser zu erkennen und daher mit deutlich weniger Aufwand verbunden.

    BTW Sicherheitslücken sollte man NIE klein reden.
     
  2. Dennis (MotivMonster.de)

    Dennis (MotivMonster.de) G-WARD 2013/14/15/16

    Registriert seit:
    22. September 2011
    Beiträge:
    30.948
    Danke erhalten:
    6.089
    Danke vergeben:
    1.078
    Beruf:
    Mann für alles :)
    Ort:
    Weilburg
    ich rede vom Passwort selbst nciht wie es verschlüsselt gespeichert wurde
    Autoschlüssel in der Kneipe liegen lassen is auch sicherheitslücke :)
     
  3. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    18. Januar 2015
    Beiträge:
    856
    Danke erhalten:
    95
    Danke vergeben:
    124
    Ich weiss aus verlässlicher Quelle, das dies schon seit vielen Versionen so ist - mir wurde das auch demonstriert.
    Wie man das beheben kann:
    In dem man die IP Prüfung einschaltet. Die ist standardmässig deaktiviert. Würde Gambio dies standardmässig aktivieren, bräuchte hier keine Diskussion stattfinden ;)

    Geht bei Konfiguration auf Sessions und dann IP Adresse Prüfen auf JA stellen !!!
    Damit ist das Problem beseitigt.


    Liebe Grüsse:
    Tammy
     
  4. Dennis (MotivMonster.de)

    Dennis (MotivMonster.de) G-WARD 2013/14/15/16

    Registriert seit:
    22. September 2011
    Beiträge:
    30.948
    Danke erhalten:
    6.089
    Danke vergeben:
    1.078
    Beruf:
    Mann für alles :)
    Ort:
    Weilburg
    Kann bei Mobilfunk Kunden aber Probleme machen.
     
  5. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    18. Januar 2015
    Beiträge:
    856
    Danke erhalten:
    95
    Danke vergeben:
    124
    Wieso? Der Shop geht doch einwandfrei ... solange der mit der selben IP drin ist ... und die wird ja nur bei einer erneuten Einwahl erneut zugeteilt. DANN muss er halt die Seite nochmal aufufen - aber wer meldet sich während einer Bestellung ab, und wieder neu an?
    Geht somit doch nur um den Link - und da ist mir die Sicherheit wichtiger, als ein Nutzer, der sich zum Spass mal während einer Bestellung ausloggt oder aus der Leitung fliegt. Wird wohl nur sehr selten vorkommen.

    Liebe Grüsse:
    Tammy
     
  6. Steffen (indiv-style.de)

    Steffen (indiv-style.de) G-WARD 2013/14/15/16

    Registriert seit:
    30. Juni 2011
    Beiträge:
    5.143
    Danke erhalten:
    1.466
    Danke vergeben:
    452
    Beruf:
    Systemadmin, Webentwickler bei Indiv-Style
    Ort:
    PhpStorm
    z.B. du bist unterwegs als Beifahrer oder im Zug(ohne WLAN), dann wechselst du sehr oft die IP... ;)
     
  7. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    30. August 2012
    Beiträge:
    654
    Danke erhalten:
    38
    Danke vergeben:
    93
    Na das is ja ein Ding. Habe auch immer Links zum Artikel geschickt wenn ich eingeloogt war.
    Sowas sollte natürlich nicht vorkommen. Bin jetzt echt erschrocken das sowas möglich ist.
     
  8. Frankreich Marché

    Frankreich Marché Erfahrener Benutzer

    Registriert seit:
    20. Juli 2015
    Beiträge:
    55
    Danke erhalten:
    3
    Danke vergeben:
    26
  9. Anonymous

    Anonymous Administrator
    Mitarbeiter

    Registriert seit:
    26. April 2011
    Beiträge:
    1.656
    Danke erhalten:
    1.261
    Danke vergeben:
    300
    Hi @all,

    hier einmal eine kleine Soforthilfe um die Session IDs aus den URLs zu nehmen:

    suche in der Datei /inc/xtc_href_link.inc.php folgende Zeile:

    PHP:
    function xtc_href_link($page ''$parameters ''$connection 'NONSSL'$add_session_id true$search_engine_safe true$p_relative_url false) {
    und ändern diese in:

    PHP:
    function xtc_href_link($page ''$parameters ''$connection =  'NONSSL'$add_session_id false$search_engine_safe true,  $p_relative_url false) {
    ACHTUNG! Dies ist noch nicht ausreichend getestet, es könnten unvorhersehbare Fehler auftreten.
     
  10. Avenger

    Avenger G-WARD 2012/13/14/15

    Registriert seit:
    26. April 2011
    Beiträge:
    4.771
    Danke erhalten:
    1.478
    Danke vergeben:
    89
    Das wird nicht unbedingt helfen, weil bei einer Reihe von Aufrufen der "$add_session_id "-Parameter explizit gesetzt wird....
     
  11. Anonymous

    Anonymous Administrator
    Mitarbeiter

    Registriert seit:
    26. April 2011
    Beiträge:
    1.656
    Danke erhalten:
    1.261
    Danke vergeben:
    300
    Hi,

    alternativ kann auch einfach der folgende Code aus der Datei /inc/xtc_href_link.inc.php auskommentiert werden, um die Funktion ganz abzuschalten:

    PHP:
    // Add the session ID when moving from different HTTP and HTTPS servers, or when SID is defined
        
    if ( ($add_session_id == true) && ($session_started == true) && (SESSION_FORCE_COOKIE_USE == 'False') ) {
          if (
    defined('SID') && xtc_not_null(SID)) {
            
    $sid SID;
          } elseif ( ( (
    $request_type == 'NONSSL') && ($connection == 'SSL') && (ENABLE_SSL == true) ) || ( ($request_type == 'SSL') && ($connection == 'NONSSL') ) ) {
            if (
    $http_domain != $https_domain) {
              
    $sid session_name() . '=' session_id();
            }
          }
        }