Risiko Url-Parameter MODsid

[webald]

Weil ich gerade drüber gestolpert bin und jemand eine Url mit gültiger MODsid gepostet hatte:

Ich konnte damit in den Admin-Bereich, auf Deutch einen fremden Shop komplett übernehmen.

Nach Rücksprache mit dem Team ist das byDesign so, aber ich hätte da ein paar Ideen zu.

1. IP-Check getrennt für Shop und Admin einstellbar.
2. IP-Check für Admin im Standard aktiviert, für Shop deaktivert.
3. MODsid nicht über Get sondern Post übertragen (=> jede Menge Arbeit, da in vielen Dateien verwendet).
4. Zertifikate zur Authentifizierung von Admin (kann teuer werden, komplette Neuentwicklung)

Linkback: https://www.modified-shop.org/forum/index.php?topic=29833.0

[dmun]

Hallo,

die MODsid wird nach dem Login einmalig in der URL übergeben und steht dann in der Session, richtig ?

Einfacher Lösungsvorschlag: das /admin Verzeichnis mittels .htaccess Benutzername/Passwort absichern.

Viele Grüße, Dirk

[webald]

Das sind aber 2 verschiedene Benutzer/Passworte. Darüber hinaus wird MODsid nur dann nicht mehr angehängt, wenn ein Cookie gesetzt werden konnte. Blockt Dein Browser das Cookie wird MODsid weiterhin benutzt.

Auch verhinderst Du so nicht, dass alle Aktionen im Frontend des Shops mit der Session aus MODsid ausgeführt werden können (Bestellungen einsehen, Adressen ändern/anlegen, bestellen).

Worst Case ist dann eine Bestellung auf Rechnung an eine neu angelegte Adresse, mit der Folge, dass der eigentliche Kunde, der brav keine Cookies akzeptiert eine Rechnung erhält und der Täter die Ware an irgendeine Adresse geliefert bekommen hat.

Ohne Änderungen am Shop besteht meine Meinung nach nur das Zeitlimit für die Admin-Session drastisch zu reduzieren und sich immer brav abzumelden, damit die Session ungültig wird.