Sicherheitslücke in Sessionverwaltung

[Lifestyle]

Hallo Domi,

ich habe heute eine Sicherheitslücke im Programmcode aufgetan. Und zwar haben wir in meiner Umgebeung ca 5-6 Rechner hinter einer Firewall hängen. Dies können sich alle in die Filmdatenbank mit eigenem User anmelden. ALlerdings werden nicht die Userdaten angezeigt die zu den entsprechenden Usern gehören, sondern immer die Daten des zuletzt eingeloggten Users sind bei allen PCs sichtbar.

Da scheint was mit der Sessionverwaltung nicht richtig zu funktionieren !!!!

[der-domi]

Kannst du dazu ein Beispiel geben, wie das funktioniert? Ich kann es nicht nachvollzeihen.

[Lifestyle]

Also,

ich logge mich mit meinm pc in die filmverwaltung ein.
bewerte hier ein film und bewerte dort ein film.

Nun loggt sich meine Freundin an Ihrem PC in die Filmverwaltung ein. Ihr wird angezeigt, dass Sie als Meine Freundin eingeloggt ist. Jedoch sieht sie meine Adminmenüs und die Filmlisten sind die von mir gesehenen und ungesehehen Filme drinne.


Hmm, ich hab grad versucht es nachzuvollziehen, ess haut aber irgendwie nicht hin,......

[der-domi]

Wie? Auf einem anderen PC wird sich eingeloggt? Ist der Nutzer auf dem ersten Rechner dann noch eingeloggt? Was passiert, wenn man den Logout-Button drückt und man sich dann einloggt? Wie ist das mit dem gleichen Rechner?

[Lifestyle]

Wie? Auf einem anderen PC wird sich eingeloggt? Ist der Nutzer auf dem ersten Rechner dann noch eingeloggt? Was passiert, wenn man den Logout-Button drückt und man sich dann einloggt? Wie ist das mit dem gleichen Rechner?

Also ich kann dir Schilder wie es gewesen ist.
Es ist dadurch aufgefallen, weil meine Freundin an einem anderen PC ausgeliehende Filme hatte. Die aber ich eigentlich an mich selbst ausgeliehen habe, damit sie geblockt sind.

Nachdem ich Sie ausgeloggt habe und dann wieder eingeloggt war dann wieder alles ok,...
Aber ich bekomm das nicht nachgestellt.