Does this thing live?

Lücke?

Dem Spaß vom letzten Posting bin ich dann noch ein wenig weiter hinterhergegangen und auf ein paar seltsame Bugs gestoßen. Beim ersten Aufruf war ich ja plötzlich jemand anderes gewesen. Offenbar hing das mit der URL zusammen, die ich aufgerufen hatte. In der steht als „sid“-Parameter eine Session ID drin, die wohl noch von meinem letzten Besuch dort in der Browserhistory gespeichert war und inzwischen dieser Frau Voigt zugeordnet wurde. Beim Tippen der Adresse muss ich versehentlich diesen Eintrag aus der History aufgerufen haben. Kann passieren. Hat sie halt vergessen, sich abzumelden.

Ich überprüfte das dann mit meinem eigenen Benutzer dort und konnte das Ganze reproduzieren. Kein Problem, dachte ich, genau deswegen sollte man sich ja auf solchen Seiten immer abmelden, bevor man den Browser schließt. Also abgemeldet, URL (mit Session ID) wieder aufgerufen und ich bin nicht angemeldet. OK.

Zum Test anderen Browser geöffnet, URL aufgerufen und ich bin wieder angemeldet. Na prima. Ersten Browser neu gestartet, Adresse aufgerufen und ich bin angemeldet. Seltsame Geschichte.

Cookies der Seite gelöscht -> immer noch angemeldet. IP-Adresse gewechselt -> immer noch angemeldet. Das wird immer besser. Seite neu aufgerufen, von Hand neu eingeloggt, neue Session ID bekommen, abgemeldet, Adresse aufgerufen -> immer das gleiche, inzwischen also mit mehreren Session IDs.

taschenversand.de Login dialog Im Login-Dialog mit Klartext-Passwort gibt es dieses Häkchen „Ich möchte eingeloggt bleiben, bis ich mich abmelde.“ Genau das scheint das Problem zu sein. Ist dieses Häkchen beim Login gesetzt, kann man sich nicht mehr abmelden. Ist es nicht gesetzt, geht das. Das ist entweder sehr schlecht übersetzt oder sehr falsch programmiert.

Geholfen hat jetzt nur, das Kennwort zu ändern. Dann geht keine der Session IDs mehr…

Mail ist raus. Mal sehen, wie sie reagieren.

One Comment to “Lücke?” RSS feed for these comments

  1. Fahrlässiger E-Commerce

    Oliver Regelmann berichtet von einer groben Sicherheitslücke bei einem Online-Händler. Er hatte aus der Browser-Historie versehentlich eine URL des Shops ausgewählt, die eine alte Session-ID enthielt. Prompt gelangte er unter dem Namen eines anderen Ku…

Leave a Reply