Bibo Posted January 22, 2004 Author Report Share Posted January 22, 2004 Originally posted by Hubi@Jan 21 2004, 22:06 PM Nee, damit ist der "Fehler" nicht beseitigt, sondern nur umgangen. Was ist mit Deiner IP-Adresse? Gleich geblieben? umgangen.... hei?t das, ich kann mit dieser jetzt so weiterarbeiten ? Ist doch irgendwo ein Fehler im Script ? Oder h?ngt das doch mit meinem Hoster zusammen ? Wenn ja, was muss vom Provider besonderes installier, bzw. konfiguriert sein ? Link to comment Share on other sites More sharing options...
Hubi Posted January 22, 2004 Report Share Posted January 22, 2004 Eieieieeiei. Umgangen heisst, dass XTC jetzt nict mehr die IP-Adresse kontrolliert, ob die bei einem sp?teren verwenden der Session-ID die gleiche ist. Das soll Session-Hijacking verhindern. Das heisst Du hast diees Feature abgeschaltet. Der "Fehler" ist wirklich kein Fehler und liegt auch nicht am Hoster. Eher vermute ich die Probleme bei deienem Zugangsprovider. Wenn der mit vielen Proxyservern Arbeitet muss die IP-Adresse, die der Weserver sieht nicht immer die Gleiche sein, die beim vorherigen Aufruf verwendet wurde. Bei AOL sind diese Probleme besonders gross, womit beim eingeschalteten ?berpr?fen der IP-Adresse viele AOL Kunden Probleme bekommen w?rden. Lass diese Funktion auf false, also ausgeschaltet und gut ist. Dann k?nnte es zwar unter umst?nden zu diesem Session Hijacking kommen, das bedeutet ein fremder kommt durch das Wissen einer Session-ID an die Kundensession, aber na ja. Link to comment Share on other sites More sharing options...
Bibo Posted January 22, 2004 Author Report Share Posted January 22, 2004 Originally posted by Hubi@Jan 22 2004, 11:49 AM Lass diese Funktion auf false, also ausgeschaltet und gut ist. Dann k?nnte es zwar unter umst?nden zu diesem Session Hijacking kommen, das bedeutet ein fremder kommt durch das Wissen einer Session-ID an die Kundensession, aber na ja. danke f?r die ausf?hrliche Erkl?rung ! Link to comment Share on other sites More sharing options...
unique Posted January 22, 2004 Report Share Posted January 22, 2004 Originally posted by Hubi@Jan 22 2004, 11:49 AM Eieieieeiei. Umgangen heisst, dass XTC jetzt nict mehr die IP-Adresse kontrolliert, ob die bei einem sp?teren verwenden der Session-ID die gleiche ist. Das soll Session-Hijacking verhindern. Das heisst Du hast diees Feature abgeschaltet. Der "Fehler" ist wirklich kein Fehler und liegt auch nicht am Hoster. Eher vermute ich die Probleme bei deienem Zugangsprovider. Wenn der mit vielen Proxyservern Arbeitet muss die IP-Adresse, die der Weserver sieht nicht immer die Gleiche sein, die beim vorherigen Aufruf verwendet wurde. Bei AOL sind diese Probleme besonders gross, womit beim eingeschalteten ?berpr?fen der IP-Adresse viele AOL Kunden Probleme bekommen w?rden. Lass diese Funktion auf false, also ausgeschaltet und gut ist. Dann k?nnte es zwar unter umst?nden zu diesem Session Hijacking kommen, das bedeutet ein fremder kommt durch das Wissen einer Session-ID an die Kundensession, aber na ja. Das halte ich aber f?r ein riesiges Sicherheitsmanko :cry: Oft geben Kunden eine URL samt Session-ID an andere weiter, wenn sie diesen ein Produkt zeigen wollen... Somit w?rde derjenige, der auf den Link klickt automatisch die Session ?bernehmen :grml: Link to comment Share on other sites More sharing options...
Hubi Posted January 22, 2004 Report Share Posted January 22, 2004 Der w?rde dann die Session ?bernehemen, wenn diese noch existiert. Wenn der Kunde sich ausloggt wird diese zerst?rt. Ebenfalls l?scht der Server die nach einer Zeit ?ber seine Garbage-Collection. Auf der anderen Seite kannst Du damit die user, die ?ber mehrere Proxys Surfen, wie AOL oder auch mit Sicherheit T-Online den Einkauf nicht erm?glichen. It's your decision. Link to comment Share on other sites More sharing options...
mzanier Posted January 22, 2004 Report Share Posted January 22, 2004 Das halte ich aber f?r ein riesiges Sicherheitsmanko Oft geben Kunden eine URL samt Session-ID an andere weiter, wenn sie diesen ein Produkt zeigen wollen... Somit w?rde derjenige, der auf den Link klickt automatisch die Session ?bernehmen jo, aber da muss man sich ?berlegen. a) dieses risiko eingehen alle AOL kunden aussperren (AOL kunden erhalten alle 2-3 minuten eine neue IP zugeteilt, damit w?re ein einkaufen mit IP check unm?glich). dieses problem besteht bei alles php scripts die sessions verwenden. Link to comment Share on other sites More sharing options...
hornet Posted January 26, 2004 Report Share Posted January 26, 2004 Originally posted by Hubi@Jan 22 2004, 17:54 PM Der w?rde dann die Session ?bernehemen, wenn diese noch existiert. Wenn der Kunde sich ausloggt wird diese zerst?rt. Ebenfalls l?scht der Server die nach einer Zeit ?ber seine Garbage-Collection. Auf der anderen Seite kannst Du damit die user, die ?ber mehrere Proxys Surfen, wie AOL oder auch mit Sicherheit T-Online den Einkauf nicht erm?glichen. It's your decision. :stupid: Seit wann gibts bei T-Online dauernd ne neue IP ??? Also bei mir ist die auch nach 3 Tagen noch die Gleiche! Aber gut zu wissen, da? ich damit AOL Kunden ausschliessen w?rde, wenn diese Behauptung denn stimmt... (bitte jetzt meine Ausdrucksweise nicht so ernst nehmen...) cu hornet :love: Link to comment Share on other sites More sharing options...
unique Posted January 26, 2004 Report Share Posted January 26, 2004 Bei T-Online hat man zumindest bis zur Neueinwahl die gleiche IP. Ich k?nnte mir kaum vorstellen, dass bei AOL die IP alle 2-3 Minuten wechselt... Wie sollte es dann M?glich sein, sich ein gr??eres File herunterzuladen? Nach 2 Minuten habe ich eine neue IP und der Server schickt die Daten an meine alte... Link to comment Share on other sites More sharing options...
mzanier Posted January 26, 2004 Report Share Posted January 26, 2004 Originally posted by unique@Jan 26 2004, 17:52 PM Ich k?nnte mir kaum vorstellen, dass bei AOL die IP alle 2-3 Minuten wechselt... Wie sollte es dann M?glich sein, sich ein gr??eres File herunterzuladen? Nach 2 Minuten habe ich eine neue IP und der Server schickt die Daten an meine alte... doch das ist so, aol hat mehere proxy server, diese werden nach dem round robing verfahren (load balancing) bedient. zb: du gehts mit aol online. aol schickt dich an Proxy A du logst dich nun im shop ein bei deinem n?chstem klick, kommt dann ne meldung von Proxy a das dieser gerade sehr besch?ftigt ist, also wirst du zu proxy B weitergeleitet. doch nun ist die ip unterschiedlich , da die erste anfrage zwischen proxy A und seite, der zweiter klick aber ?ber proxy B und seite erfolgte. deine locale IP bleibt jedoch immer gleich Link to comment Share on other sites More sharing options...
hornet Posted January 26, 2004 Report Share Posted January 26, 2004 hmmm so manchmal bin ich aber auch bekloppt wien Schnitzel.... hab meine Proxys und dns ja auch fest eingestellt. Habs mal auf Auto gestellt und siehe da ... Es ist wie geschildert.. :wall: cu Link to comment Share on other sites More sharing options...
mzanier Posted January 26, 2004 Report Share Posted January 26, 2004 Originally posted by hornet@Jan 26 2004, 18:17 PM hmmm so manchmal bin ich aber auch bekloppt wien Schnitzel.... hab meine Proxys und dns ja auch fest eingestellt. Habs mal auf Auto gestellt und siehe da ... Es ist wie geschildert.. :wall: cu bei T-Offline oder A-Offline ? Link to comment Share on other sites More sharing options...
Hubi Posted January 26, 2004 Report Share Posted January 26, 2004 Das m?sste bei beiden gleich sein, aber auch noch bei anderen Provs, weil die eigentlich alle einen Proxy-Cluster einsetzten. Trafficsparen ;-) Also kannst Du die Funktion IP-Check eigentlich vergessen. Link to comment Share on other sites More sharing options...
hornet Posted February 25, 2004 Report Share Posted February 25, 2004 Die Antwort 1 Monat sp?ter ... T-Online. Aber irgendwas l?uft da schief und ausloggen funzt ja auch nicht wirklichm aber das habe ich ja in einen anderen Thread detailiert beschrieben, Link to comment Share on other sites More sharing options...
Recommended Posts
Archived
This topic is now archived and is closed to further replies.