+- MyBB.de Forum (https://www.mybb.de/forum)
+-- Forum: Archiv (https://www.mybb.de/forum/forum-57.html)
+--- Forum: MyBB 1.2.x und älter (https://www.mybb.de/forum/forum-27.html)
+---- Forum: Sonstiges (https://www.mybb.de/forum/forum-29.html)
+---- Thema: Welchen Grund gibt es für die uid als $_GET am Logoutlink (/thread-7576.html)
Welchen Grund gibt es für die uid als $_GET am Logoutlink - Jan - 05.11.2007
Hallo,
warum wird an den Logoutlink die uid und die sid angehängt? Kann man dies nicht über die Cookies auslesen? Welchen Sicherheitsgrund gibt es dafür?
RE: Welchen Grund gibt es für die uid als $_GET am Logoutlink - StefanT - 05.11.2007
Das schützt davor, dass "böse" Javascripts jemanden abmelden können. Nur wenn man selber auf den Link mit diesen Daten klickt, wird man abgemeldet.
RE: Welchen Grund gibt es für die uid als $_GET am Logoutlink - Jan - 05.11.2007
Heißt in PHP ausgedrückt?
Wird die angehängte sid und uid mit den Cookies überprüft? Oder was läuft da genau ab?
RE: Welchen Grund gibt es für die uid als $_GET am Logoutlink - StefanT - 05.11.2007
Beim Abmelden wird das Cookie gelöscht, was den Login speichert.
Natürlich wird vorher überprüft, ob die SID zur Session passt und ob die UID zum aktuellen Benutzer gehört.
RE: Welchen Grund gibt es für die uid als $_GET am Logoutlink - Jan - 05.11.2007
Ok, und die sid und uid bekommt er nur über den Link? Warum nicht über das Cookie?
Wie sieht da genau die Gefahr aus?
Ich frage, weil ich gerade mein Sessionsystem überarbeite und dort nun die Frage ist, wie ich den Logoutvorgang absichern kann.
Was nützt es die uid und sid im Cokkie UND im Link zu haben? Wo kann Javascript da angreifen und wie?