ThreadId Sicherheitsproblem

**brain** · 13.07.2004, 08:50

Hallo,

wenn man sich z.B. als Gast anmeldet und nur Zugriff auf ein bestimmtes Forum hat kann man durch Eingabe eines Links mit der ThreadID auch in gesperrte Bereiche gelangen und dort die Beiträge lesen. Ist dieses Problem bekannt, oder vielleicht sogar schon behoben?

Brain

**AlphaWolf** · 13.07.2004, 10:44

Nein das ist unmöglich

**brain** · 13.07.2004, 10:52

Das kann aber nicht unmöglich sein da ich es in meinem Forum ausprobiert habe und ich komme in gesperrte Bereiche.

**pogo** · 13.07.2004, 12:22

Nein, wenn vBulletin richtig konfiguriert ist, ist das nicht möglich.

Was genau meinst mit "als Gast anmelden"? Ich bin doch nur dann ein Gast, wenn ich mich gerade nicht anmelde. Oder bietest du einen Account für Gäste, mit dem sie sich anmelden können?

In dem Fall würde die Benutzergruppe vielleicht Rechte haben, um diese Themen lesen zu dürfen. Oder der Gastaccount selbst hat spezielle Zugriffsrechte, dass er diese Themen lesen kann.

**brain** · 13.07.2004, 12:32

Ich biete ein Gast Account mit Passwort welcher nur auf ein bestimmten Teil des Forums Zugriff hat. Auf die anderen Foren hat der Gast laut Zugriffsrechten kein Zugriff. Ich hab dort einfach alles verweigert. Der Witz ist das es auch nur geht wenn ich den Link eingebe und gleich enter drücke. Aktualisiere ich den Browser kommt die Meldung dass ich keine Rechte habe. Für mich sieht das wie ein Sicherheitsproblem aus.

**Hoffi** · 13.07.2004, 13:31

Für mich sieht das wie ein Cache Problem aus. Der Link ist dem Browser bekannt und du warst vorher drauf. Der Browser holt sich die Seite aus dem Cache. Du klickst aktualisieren und die Seite wird neu angefordert und dann richtig verweigert.

**brain** · 13.07.2004, 13:37

Das kann aber eigentlich nicht sein, da die Leute die sich als Gast anmelden vorher noch nie auf der Seite waren und somit steht ja nichts im Browser Cache.

**Hoffi** · 13.07.2004, 13:40

Gib mal das Gast PW und eine ThreadID, dann teste ich das mal. Ich war ja noch nie auf Deinem Board.

**Mystics** · 13.07.2004, 14:10

Zitat von brain

Das kann aber eigentlich nicht sein, da die Leute die sich als Gast anmelden vorher noch nie auf der Seite waren und somit steht ja nichts im Browser Cache.

Aber da du das mit dem Gast-Account testest und du die Seite schon besucht hast, wird es bei dir aus deinem Cache geladen. Es ist 100%ig eine Browser-Cache-Geschichte, mehr nicht.