v2.5.x Riesen Sicherheitslücke?!?

Thema wurde von Dan (sunnywall.de), 18. November 2015 erstellt.

  1. soprao

    soprao Erfahrener Benutzer

    Registriert seit:
    26. Februar 2015
    Beiträge:
    160
    Danke erhalten:
    18
    Danke vergeben:
    28
    Nein. Das Passwort wird über ein Hash verschlüsselt. Dieser Hash kann aber nur schwer zurückverfolgt werden, weil mehrere Wörter den gleichen Hash besitzen. Siehe Rainbow Tabelle.

    Die SID ist eindeutig und klar im Browser zu erkennen und daher mit deutlich weniger Aufwand verbunden.

    BTW Sicherheitslücken sollte man NIE klein reden.
     
  2. Dennis (MotivMonster.de)

    Dennis (MotivMonster.de) G-WARD 2013/14/15/16

    Registriert seit:
    22. September 2011
    Beiträge:
    30.477
    Danke erhalten:
    5.932
    Danke vergeben:
    1.061
    Beruf:
    Mann für alles :)
    Ort:
    Weilburg
    ich rede vom Passwort selbst nciht wie es verschlüsselt gespeichert wurde
    Autoschlüssel in der Kneipe liegen lassen is auch sicherheitslücke :)
     
  3. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    18. Januar 2015
    Beiträge:
    776
    Danke erhalten:
    85
    Danke vergeben:
    94
    Ich weiss aus verlässlicher Quelle, das dies schon seit vielen Versionen so ist - mir wurde das auch demonstriert.
    Wie man das beheben kann:
    In dem man die IP Prüfung einschaltet. Die ist standardmässig deaktiviert. Würde Gambio dies standardmässig aktivieren, bräuchte hier keine Diskussion stattfinden ;)

    Geht bei Konfiguration auf Sessions und dann IP Adresse Prüfen auf JA stellen !!!
    Damit ist das Problem beseitigt.


    Liebe Grüsse:
    Tammy
     
  4. Dennis (MotivMonster.de)

    Dennis (MotivMonster.de) G-WARD 2013/14/15/16

    Registriert seit:
    22. September 2011
    Beiträge:
    30.477
    Danke erhalten:
    5.932
    Danke vergeben:
    1.061
    Beruf:
    Mann für alles :)
    Ort:
    Weilburg
    Kann bei Mobilfunk Kunden aber Probleme machen.
     
  5. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    18. Januar 2015
    Beiträge:
    776
    Danke erhalten:
    85
    Danke vergeben:
    94
    Wieso? Der Shop geht doch einwandfrei ... solange der mit der selben IP drin ist ... und die wird ja nur bei einer erneuten Einwahl erneut zugeteilt. DANN muss er halt die Seite nochmal aufufen - aber wer meldet sich während einer Bestellung ab, und wieder neu an?
    Geht somit doch nur um den Link - und da ist mir die Sicherheit wichtiger, als ein Nutzer, der sich zum Spass mal während einer Bestellung ausloggt oder aus der Leitung fliegt. Wird wohl nur sehr selten vorkommen.

    Liebe Grüsse:
    Tammy
     
  6. Steffen (indiv-style.de)

    Steffen (indiv-style.de) G-WARD 2013/14/15/16

    Registriert seit:
    30. Juni 2011
    Beiträge:
    5.139
    Danke erhalten:
    1.461
    Danke vergeben:
    449
    Beruf:
    Systemadmin, Webentwickler bei Reifen24.de
    Ort:
    PhpStorm
    z.B. du bist unterwegs als Beifahrer oder im Zug(ohne WLAN), dann wechselst du sehr oft die IP... ;)
     
  7. Anonymous

    Anonymous Erfahrener Benutzer

    Registriert seit:
    30. August 2012
    Beiträge:
    640
    Danke erhalten:
    38
    Danke vergeben:
    90
    Na das is ja ein Ding. Habe auch immer Links zum Artikel geschickt wenn ich eingeloogt war.
    Sowas sollte natürlich nicht vorkommen. Bin jetzt echt erschrocken das sowas möglich ist.
     
  8. Frankreich Marché

    Frankreich Marché Erfahrener Benutzer

    Registriert seit:
    20. Juli 2015
    Beiträge:
    55
    Danke erhalten:
    3
    Danke vergeben:
    26
  9. Anonymous

    Anonymous Administrator
    Mitarbeiter

    Registriert seit:
    26. April 2011
    Beiträge:
    1.051
    Danke erhalten:
    808
    Danke vergeben:
    208
    Hi @all,

    hier einmal eine kleine Soforthilfe um die Session IDs aus den URLs zu nehmen:

    suche in der Datei /inc/xtc_href_link.inc.php folgende Zeile:

    PHP:
    function xtc_href_link($page ''$parameters ''$connection 'NONSSL'$add_session_id true$search_engine_safe true$p_relative_url false) {
    und ändern diese in:

    PHP:
    function xtc_href_link($page ''$parameters ''$connection =  'NONSSL'$add_session_id false$search_engine_safe true,  $p_relative_url false) {
    ACHTUNG! Dies ist noch nicht ausreichend getestet, es könnten unvorhersehbare Fehler auftreten.
     
  10. Avenger

    Avenger G-WARD 2012/13/14/15

    Registriert seit:
    26. April 2011
    Beiträge:
    4.771
    Danke erhalten:
    1.478
    Danke vergeben:
    89
    Das wird nicht unbedingt helfen, weil bei einer Reihe von Aufrufen der "$add_session_id "-Parameter explizit gesetzt wird....
     
  11. Anonymous

    Anonymous Administrator
    Mitarbeiter

    Registriert seit:
    26. April 2011
    Beiträge:
    1.051
    Danke erhalten:
    808
    Danke vergeben:
    208
    Hi,

    alternativ kann auch einfach der folgende Code aus der Datei /inc/xtc_href_link.inc.php auskommentiert werden, um die Funktion ganz abzuschalten:

    PHP:
    // Add the session ID when moving from different HTTP and HTTPS servers, or when SID is defined
        
    if ( ($add_session_id == true) && ($session_started == true) && (SESSION_FORCE_COOKIE_USE == 'False') ) {
          if (
    defined('SID') && xtc_not_null(SID)) {
            
    $sid SID;
          } elseif ( ( (
    $request_type == 'NONSSL') && ($connection == 'SSL') && (ENABLE_SSL == true) ) || ( ($request_type == 'SSL') && ($connection == 'NONSSL') ) ) {
            if (
    $http_domain != $https_domain) {
              
    $sid session_name() . '=' session_id();
            }
          }
        }