Shopkunde hat plötzlich Adminrechte!

[ascsoft]

Hallo Leute.

Ich hatte gerade ein komisches und beängstigendes Erlebnis.

Ich hatte mich als Admin in den Shop eingeloggt und ein paar Produkte in den Warenkorb gelegt.
Kurz danach hat ein Freund, der am Telefon war, die Seite des Shops im Browser eingegeben und fand sich sofort in meinem Account?  Er hatte auf seinem Rechner meinen Warenkorb und konnte sogar in die Adminoberfläche wechseln?

Kann mir dazu jemand was sagen? Das ist doch ein Supergau.

Hoffentlich kann mir da einer weiterhelfen!

vielen Dank

liebe grüße
Micha



Linkback: https://www.modified-shop.org/forum/index.php?topic=8977.0

[DokuMan]

Wie sind deine Sessioneinstellungen?

Bitte mal mit der Empfehlung vergleichen: FAQ: Empfohlene Sessioneinstellungen

[p3e]

Hast Du Deinem Freund vielleicht einen Link gemailt, der so endet?:

?XTCsid=0cb76de2a237c6851c566bee7f09bad2

(halt 'ne andere Nummer aber mit dem XTCsid= drin)?

Falls ja, hast Du Ihm damit den Link inkl. Deiner Session ID gegeben.

[ascsoft]

Hallo

Ich hab gerade die einstellungen so übernommen wie in deinem Link beschrieben (standen auf false) und nun kann ich mich nicht mehr einloggen?
Ich komm nicht mehr als admin in den shop rein.

liebe grüße
Micha

[ascsoft]

So, jetzt komm ich wieder rein. Aus welchem Grund auch immer.....

Gibt es denn eine Erklärung wie es zu dem Fehler kommen konnte?

Danke für eure Hilfe!

liebe grüße
Micha

[DokuMan]

[...] und nun kann ich mich nicht mehr einloggen?
Ich komm nicht mehr als admin in den shop rein.

Logge dich über folgenden Link ein:

http://www.deinshop.de/login_admin.php?repair=sess_default

Damit werden die Sessioneinstellungen alle auf "false" zurückgesetzt und du kommst wieder rein.

Welchen Webhoster hast du, wenn man fragen darf?

[p3e]

[...]
Gibt es denn eine Erklärung wie es zu dem Fehler kommen konnte?
[...]

Der häufigste Fehler ist der, dass ein Link mit Sesssion-ID genutzt wurde (wie oben beschrieben).
Ich hatte bereits vor ein paar Jahren bei xt:Commerce mal den Vorschlag gemacht, die Session-ID zu ignorieren und neu zu vergeben, wenn der Besucher über einen externen Link kommt (Überprüfung des Refferers). Das hilft zwar nicht, wenn jemand den Link per copy/paste einfügt oder per Mailprogramm bekommt, löst aber all die Fälle, wo Webseiten extern falsch verlinkt wurden.

[ascsoft]

DokuMan

Welchen Webhoster hast du, wenn man fragen darf?

Hallo Dokuman

Vielen dank für deine Hilfe.

Ich bin bei Server4you

liebe grüße
Micha

[ascsoft]

Der häufigste Fehler ist der, dass ein Link mit Sesssion-ID genutzt wurde (wie oben beschrieben).

Hallo p3e

Auch dir vielen dank für die Hilfe.
Ich habe keinen Link gecaptured und weitergegeben. Wir Telefonierten nur gerade als er auf die Website ging und plötzlich mit meinem Account drin war. (Verdammte Telefoninterferenzen)

Ne, im Ernst...
Wie kann es zu sowas kommen?

liebe grüße
Micha

[DokuMan]

Kannst du wenigstens eine der beiden empfohlenen Sessioneinstellungen setzen?

[Trucker05]

Frage zum Session Bug in xt:Commerce

Das fällt mir dazu nur ein!

.... und schon wieder einer mit nem Sicherheitsproblem!!!

Das Thema brennt, da wird es doch Zeit, dass endlich mal was passiert!

[DokuMan]

Die Problematik des IE8 in Bezug auf die Verwendung der

Code: PHP  [Auswählen]

<base href

haben wir bereits behoben (kommt mit der neuen Version)

[ascsoft]

Kannst du wenigstens eine der beiden empfohlenen Sessioneinstellungen setzen?

Hallo Dokuman

Ich konnte die Einstellungen jetzt so machen wie in deinem Posting beschrieben.
Kann ich denn jetzt davon ausgehen, dass dies nicht mehr passiert?

liebe grüße
Micha