PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Debug-Modus ein Sicherheitsrisiko?

MrNase
31.07.2003, 15:32
bitte verschieben... ;)

Hoi :)

vB3 beta 4 und macht da mal bitte die den Debug-Modus an...
Jetzt tippt ihr ein:
http://euredomain.de/showgroups.php?&explain=1
und dann kommt da ne lange Seite...
Da finde ich sowas wie:

SELECT *
FROM session
WHERE sessionhash = '9ceec0d4df302df96645a23de077c237'
AND lastactivity > 1059657207
AND host = '127.0.0.1'
AND idhash = 'a13d5d98dbd5cf781331a68f98aa7bd5'

Time before: 0.058434963226318
Time after: 0.059754014015198
Time taken: 0.0013190507888794

und dadurch erhalte ich doch den Sessionhash... Und wenn mehr User online sind sieht man doch auch von denen den Sessionhash?

Kann man vorher nicht abfragen ob der User "Admin" ist und wenn nicht, dass man dann diese Anzeige unterdrückt?
Ok, man kann ja auch den Debug-Modus deaktivieren aber wenn man ihn mal braucht stellt er ein Sicherheitsrisiko dar :(

oder eventuell in der config.php einstellbar welche User (userid) den Debugmodus sehen können... Wäre besser :)
pogo
31.07.2003, 16:01
Der Debugmodus sollte in einem Board nicht aktiviert werden, deshalb ist er es auch nicht per Default.

Wer ihn aktiviert, weiss, was er tut und kann dann auch damit umgehen. Daher sehe ich keine Notwendigkeit, da noch extra eine Sperre einzubauen.

Man kann das Forum auch schließen, bevor man den Debugmodus aktiviert.
MrNase
31.07.2003, 16:12
ok, ich hab es verstanden, wollte ihn sowieso nur mal testen!
Aber was ist denn wenn sich einer von euch (Support) mal meinen Debugmodus ansehen will weil mein vB nicht so läuft wie es soll? Muss ich es dann schließen?

Aber trotzdem Respekt an Jelsoft -> der Debug-Modus ist besser als manch andere Forensoftware :D


'Könnte' denn jemand bzgl. der Passwort den Debug-Modus missbrauchen?
pogo
31.07.2003, 16:34
Also ich hab mir den Debugmodus noch nie ansehen müssen. ;)

Ich hab es zwar nicht ausprobiert, aber ich glaube nicht, dass du den Sessionhash oder Passworthash von anderen zu Gesicht bekommst. Also vorläufig keine Gefahr, dass damit jemand Unfug treiben kann.
Sascha.
31.07.2003, 21:07
Original geschrieben von pogo
Also ich hab mir den Debugmodus noch nie ansehen müssen. ;)


Ich hab noch nicht mal gefunden wo man den einschaltet...

*schäm*
Mystics
31.07.2003, 22:36
Hi,Original geschrieben von Sascha.
Ich hab noch nicht mal gefunden wo man den einschaltet...In der config.php diese Zeile hinzufügen:$debug = 1;Sieht dann z.B. so aus:[...]
// Prefix that your vBulletin tables have in the database.
// For example: $tableprefix = 'vb3_';
$tableprefix = '';

$debug = 1;
[...]
Fjörgyn
17.08.2005, 03:01
$debug = 1;
Habe dies wie früher auch in die config eingfügt, es passiert aber nix?
h75
17.08.2005, 10:10
Dann probiere mal das hier an der gleichen Stelle in der config.php.. :) unter $config['Mysqli']['ini_file'] = ''; $config['Misc']['debug'] = true; Wir sind doch im vB 3.5 Forum, oder? :D
Fjörgyn
17.08.2005, 18:27
Yepp, 3.5 :)

Danke, perfekt, nun gehts :p