ilch Forum » Ilch CMS 2.X » Fehlersuche und Probleme » User verschwunden

Geschlossen
  1. #1
    User Pic
    Talo Mitglied
    Registriert seit
    20.05.2018
    Beiträge
    29
    Beitragswertungen
    1 Beitragspunkte
    Hallo zusammen,

    uns ist diese Woche etwas merkwürdiges passiert:

    Ein User klagt, dass sein Account verschwunden ist.
    Am 22.7. hat er sich registriert und schon am nächsten Tag konnte er nicht mehr einloggen.
    Es stand im Raum, dass er absichtlich gelöscht wurde.

    Die User-Tabelle hatte vorgestern keine ID-Lücken. Er hätte chronologisch (vom Registrierungsdatum her) zwischen ID 37 und 38 auftauchen müssen. Im Log stand keine Lösch-Tätigkeit.

    Der betroffene User beschrieb mir noch, welchen Avatar er gesetzt hatte.. und den fand ich im File System - mit der ID 38. Der User, der jetzt diese ID hat, hat gar keinen Avatar gesetzt und hat sich erst am 23.7. registriert.

    Für mich klingt das ganz stark nach System-Unfall oder Session Highjacking. Wäre er echt gelöscht worden, müsste die 38 ja fehlen, oder stößt Ilch irgendwie 'nen Reseed der Auto Werte an?

    Soweit ich das überblicke, gibt es bei Ilch allerdings auch keine Session IDs in URLs, dass der eine dem anderen aus Versehen seine Identität übermittelt haben könnte.

    Wenn jetzt noch einer die Melodie von X-Files pfeift, wär' das Szenario komplett.. Oo

    Hat wer Tipps, wie das geschehen konnte?


    verwendete ilch Version: 2.x

    betroffene Homepage: tds.talo.at
    0 Mitglieder finden den Beitrag gut.
  2. #2
    User Pic
    blackcoder Entwickler
    Registriert seit
    22.05.2014
    Beiträge
    2.277
    Beitragswertungen
    356 Beitragspunkte
    Aktuell sind uns keine Sicherheitslücken in Ilch 2 bekannt, aber wir haben deinen Beitrag zum Anlass genommen Teile des Codes noch einmal zu überprüfen und mögliche Verbesserungen zu suchen.

    Nach der Veröffentlichung von 2.1.12 (geplant für dieses Wochenende) werden wir prüfen welche Verbesserungen wir einbringen können.



    Zu deinen Fragen:
    Ilch stößt keinen Reseed an. Die ID ist verbraucht, auch wenn der Benutzer später gelöscht wird.

    Session IDs gibt es nicht in URLs. Für einige Aktionen gibt es allerdings Token, die der URL mitgegeben werden.
    Beispiel:
    /index.php/admin/user/index/delete/id/5/ilch_token/9793c81cb7ad9afa16b6a4741023ffa53985f0a52b42c1b86c0a3b4eec8f3b0d

    Natürlich muss der Token gültig sein, damit die Aktion ausgeführt wird und diese Aktion ist zudem daran gebunden, dass der Benutzer Administrator ist. Der Token ist ungültig, sobald einmal benutzt und/oder nachdem die Session beendet wurde.

    Was die Situation ebenfalls erklären könnte wäre, das die Datenbank nach der Registrierung des Benutzers zurückgesetzt wurde (z.B. durch Einspielen eines Backups). In dem Fall wäre die ID 38 eventuell nicht vergeben und eine neue Registrierung hätte diese ID bekommen.

    Meiner Meinung nach ist es zu empfehlen, dass ihr HTTPS nutzt, falls möglich.
    0 Mitglieder finden den Beitrag gut.
Geschlossen

Zurück zu Fehlersuche und Probleme

Optionen: Bei einer Antwort zu diesem Thema eine eMail erhalten