Thema: SessionID mit Link zum Shop veröffentlicht - Was ist zu tun?

WayneTsun · **am:** 05. November 2012, 10:20:11

Hallo zusammen!

Ich habe ein Problem und wollte mich erkundigen, was zu tun ist. Die Situation ist folgende:

In mehreren(!) Foren hat die Shopbetreiberin von unserem Shop Links zu einer Kategorie gepostet und das, als sie als Admin eingeloggt war und eben mit der entsprechend aktiven sessionID. Daraus folgt - bekannterweise - dass jeder, der diesen Link anklickt, die Session als Admin übernimmt und damit Adminrechte erhält. Dankenswerterweise hat jemand in einem dieser Foren dann diesen Umstand gepostet. Leider mit der Veröffentlichung von Daten aus unserem Shop mit einem Bild. Wenn auch unleserlich, aber ...

Was ich bisher getan habe:
1. Die entsprechende Session aus der Tabelle 'sessions' gelöscht.
2. Alle Passworte der Admins geändert.
3. Moderatoren der Foren darum gebeten, den Link zu ändern.

Fragen dazu:

Konnte ich dadurch diesen Link wenigstens in Bezug auf die Adminrechte entschärfen?
Nun kommen ja immer noch alle Besucher über diesen Link mit der xtcsID auf die Seite. Wird diese Session dann tatsächlich wieder eröffnet und hat dann jeder(!) der Besucher über diesen Link diese Session?
und wenn ja, was kann man dagegen tun?
Muss ich noch weiteres unternehmen?

Vielen Dank für Eure Hilfe!

Beste Grüße,
Wayne

Linkback: https://www.modified-shop.org/forum/index.php?topic=23139.0

hbauer · **Antwort #1 am:** 05. November 2012, 10:59:20

eine exacte Antwort kann ich Dir leider nicht geben. Aber könnte ein Rewrite in der htaccess von der URL mit Session ID auf eine normale URL nicht helfen?

Nur so eine Idee?

Hagen

WayneTsun · **Antwort #2 am:** 05. November 2012, 11:06:43

Hallo Hagen,

vielen Dank für Deine Antwort. Ich schau mir die Idee mit dem rewrite an. Weiß auch nicht, ob das geht... Wie müsste der Code denn aussehen. Kenn mich mit dem ganzen "Pfad-und-canonical-und-htaccess-Gedöns leider gar nicht aus.

Ich bin auch etwas weiter gekommen. Da man in dem Shop nur als angemeldeter Kunde kaufen kann und ich die http://www.modified-shop.org/forum/index.php?topic=8082.msg80380#msg80380 empfohlenen Sessioneinstellungen habe, sollte eigentlich die SessionID automatisch geändert werden und so wenigstens keine Doppelkäufe o.ä. passieren. Hoffe ich...

Beste Grüße,
Wayne

keineLustmehr · **Antwort #3 am:** 05. November 2012, 13:26:00

Ich muss mal ganz blöd fragen: Wie poste ich denn in einem Link die aktive Session?

Ich habe jetzt mal bei uns kontrolliert und bekomme das nicht hin (modified eCommerce Shopsoftware 1.05dSp1SecHotfix). Die Session steht (bei uns) nicht in der Url. Wenn ich mich als Admin anmelde und die Url aus dem browser kopier wird nur die Ur ohne Session kopiert.

Volker

Matt · **Antwort #4 am:** 05. November 2012, 13:32:58

Du kannst es so versuchen:

Code: [Auswählen]

RewriteRule %{QUERY_STRING} XTCsid=v308892aetnfcnmiomksbei0m1f5oi2h
RewriteRule .* http://www.example.org/? [L,R=301]

Könnte aber auch in einer Endlosschleife enden.

WayneTsun · **Antwort #5 am:** 05. November 2012, 14:08:58

@vsnase
Mach mal die Cookie-Annahme in Deinem Browser aus, dann hast Du's.

@Matt
Danke für Deinen Code. Leider führt das tatsächlich in eine Endlosschleife.

Beste Grüße,
Wayne

hendrik · **Antwort #6 am:** 05. November 2012, 14:19:47

Du musst du Session beenden. Dann ist die Session ID ungültig.

Klick dich mit dem fraglichen Link in den Shop.
Bist du da noch Admin? Ja? Klicke Logout. Ende.

Gruß
Hen

WayneTsun · **Antwort #7 am:** 05. November 2012, 14:20:14

@vsnase @all

<b>Ergänzung</b>
Und geht bei mir sogar noch einfacher. Cookie-Annahme an:
Seite aufrufen - Einloggen und dann auf eine kategorie gehen und es bleibt bis zum nächsten klick auf einen Link die SessionID am Ende des Links stehen. Hoffe, dass das kein Fehler im Shop ist. Ich schau mir das mal im Testshop hier an und berichte.

Ok. Im Testshop ist das nicht so! Weiß jemand, woran das liegen könnte? Ich weiß, ist etwas

, aber vielleicht kann jemand helfen.

Beste Grüße,
Wayne

WayneTsun · **Antwort #8 am:** 05. November 2012, 14:21:09

@Hen
Vielen Dank dafür. Das wäre tatsächlich einfacher gewesen, als die Session in der Tabelle sessions zu löschen.

Beste Grüße,
Wayne

fishnet · **Antwort #9 am:** 11. Juli 2014, 08:47:55

Das klingt für mich nach einer veralteten Modified Version ohne Sicherheitsfixes, vielleicht 1.03 oder maximal 1.05 ohne SP dahinter

WayneTsun · **Antwort #10 am:** 11. Juli 2014, 09:08:39

Hallo fishnet,

das war eine 1.05 SP1b gewesen. Das Löschen der Session in der DB hatte damals bereits geholfen.
Das Schließen der Session als Admin im Shop wäre in der Tat der leichteste Weg gewesen.

Aber ich glaube, Du wolltest in dem Thread posten: http://www.modified-shop.org/forum/index.php?topic=30606.msg277666#msg277666

Beste Grüße,
Wayne

Thema: SessionID mit Link zum Shop veröffentlicht - Was ist zu tun?

WayneTsun

SessionID mit Link zum Shop veröffentlicht - Was ist zu tun?

hbauer

Re: SessionID mit Link zum Shop veröffentlicht - Was ist zu tun?

WayneTsun

Re: SessionID mit Link zum Shop veröffentlicht - Was ist zu tun?

keineLustmehr

Re: SessionID mit Link zum Shop veröffentlicht - Was ist zu tun?

Matt

Re: SessionID mit Link zum Shop veröffentlicht - Was ist zu tun?

WayneTsun

Re: SessionID mit Link zum Shop veröffentlicht - Was ist zu tun?

hendrik

Re: SessionID mit Link zum Shop veröffentlicht - Was ist zu tun?

WayneTsun

Re: SessionID mit Link zum Shop veröffentlicht - Was ist zu tun?

WayneTsun

Re: SessionID mit Link zum Shop veröffentlicht - Was ist zu tun?

fishnet

Re: SessionID mit Link zum Shop veröffentlicht - Was ist zu tun?

WayneTsun

Re: SessionID mit Link zum Shop veröffentlicht - Was ist zu tun?

Teile Thema

Ähnliche Themen

Link/Button in Box einfügen( z.B. Link/Grafik auf Ebay-Shop)

Shop link falsch

Shop als Link auf Homepage hinterlegen

Shop NUR mit Gastbestellung / Link zur Shopverwaltung weg