Hallo zusammen!
Ich habe ein Problem und wollte mich erkundigen, was zu tun ist. Die Situation ist folgende:
In mehreren(!) Foren hat die Shopbetreiberin von unserem Shop Links zu einer Kategorie gepostet und das, als sie als Admin eingeloggt war und eben mit der entsprechend aktiven sessionID. Daraus folgt - bekannterweise - dass jeder, der diesen Link anklickt, die Session als Admin übernimmt und damit Adminrechte erhält. Dankenswerterweise hat jemand in einem dieser Foren dann diesen Umstand gepostet. Leider mit der Veröffentlichung von Daten aus unserem Shop mit einem Bild. Wenn auch unleserlich, aber ...
Was ich bisher getan habe:
1. Die entsprechende Session aus der Tabelle 'sessions' gelöscht.
2. Alle Passworte der Admins geändert.
3. Moderatoren der Foren darum gebeten, den Link zu ändern.
Fragen dazu:
- Konnte ich dadurch diesen Link wenigstens in Bezug auf die Adminrechte entschärfen?
- Nun kommen ja immer noch alle Besucher über diesen Link mit der xtcsID auf die Seite. Wird diese Session dann tatsächlich wieder eröffnet und hat dann jeder(!) der Besucher über diesen Link diese Session?
- und wenn ja, was kann man dagegen tun?
- Muss ich noch weiteres unternehmen?
Vielen Dank für Eure Hilfe!
Beste Grüße,
Wayne
Linkback: https://www.modified-shop.org/forum/index.php?topic=23139.0