Autor |
[Gelöst] Frage zu Usernamen mit blank Zeichen |
1 # 3
|
Gelöschter User |
Eingetragen am 08.04.2008 21:04 |
|
|
Na ja, ich fürchte so langsam werd ich für meine Fragerei berüchtigt, aber damit muss ich leben.
Was mir aufgefallen ist: Log Entry im SecSys 1.8.2.
Hat ein User einen Mitgliedsnamen mit blank steht da im query string z.b. folgendes:
mitglied%2018 (also übersetzt: "mitglied 18". Der war aber soweit ich das beurteilen kann an dem Tag nicht online, wohl aber früher.... Hat ihn das SecSys dann rausgeworfen oder wurde es nur protokolliert ? Hab die letzten Login Daten aus dem Profil des Users. Das scheint nicht immer zu passieren.
jetzt frag ich mich warum ? Könnt ihr meinem alten Hirn da mal auf die Sprünge helfen ?
Bearbeitet von am 15.04.2008 09:55 |
|
Autor |
RE: Frage zu Usernamen mit blank Zeichen |
2 # 3
|
Gelöschter User |
Eingetragen am 15.04.2008 09:24 |
|
|
Also ein Usernamen der ein Blank Zeichen enthält (z.B. "test user" ) lößt beim Login einen Hack Security Alert aus. Ein Logeintrag wird erstellt ebenfalls im Bereich Hack.
Was mir noch aufgefallen ist aber da weiß ich noch nicht ob es damit zusammenhängt:
User mit BlankZeichen scheinen mitunter keine oder falsche Zeitstempel zu bekommen. Gestern Abend konnte ich das beobachten. Ein solcher User loggte sich ein (der berühmte Hack Eintrag im log wurde erstellt) der User wurde als online angezeigt.
Nach einigen Minuten loggte er sich wieder aus, aber als Letztes Besuchsdatum stand da der 12.04 drin und nicht der 14.04.
Aber das Seucurity Problem mit dem Blank Zeichen ist reproduzierbar. Einfach mal test user anglegen (ich hab ihn ganz normal registriert wie es ein Besucher auch machen würde) die Mail bestätigen und einloggen. Voila, da isser, der "Hackangriff"
Ich such mir jetzt die paar bei mir raus, ändere den Blank in einen Bindestrich und maile die an.
Bearbeitet von am 15.04.2008 09:46 |
|
Autor |
RE: Frage zu Usernamen mit blank Zeichen |
3 # 3
|
Gelöschter User |
Eingetragen am 15.04.2008 09:55 |
|
|
Hab gerade den Patch für das SecSys gefunden und installiert. Der behebt das Problem. Der Thread ist also erledigt. |
|