Moin,

mir ist aufgefallen das wenn ich einige (nicht sehr lange) Zeit nicht im DF unterwegs bin, werde ich automatisch ausgeloggt. Könntest ihr eventuell das Sessionlimit etwas hochsetzen ?

Greetz

Hallo!

Der Zeitraum liegt bei 30 Minuten... ich denke das sollte genügen.

Gruß
Tino

Naja, 30min find ich net grad viel, bin ich mal kurz offline und schön bin ich wieder ausgeloggt.

Aber gut, wenns der Admin sagt...

Dann aktiviere doch das Autologin.

Tino hat folgendes geschrieben:

Dann aktiviere doch das Autologin.

Nimms mir nicht übel, aber nach der Sicherheitslücke (in den BBCodes) stehe ich dieser Funktion eher kritisch gegenüber.

CJ hat folgendes geschrieben:

Tino hat folgendes geschrieben: Dann aktiviere doch das Autologin. Nimms mir nicht übel, aber nach der Sicherheitslücke (in den BBCodes) stehe ich dieser Funktion eher kritisch gegenüber.

Hihi....die Luecke war hier (und in der DP) schon gepatcht, wahrscheinlich bevor du davon gehoert hast
Dein User-Account ist also mit Login sicher, hier geht jedenfalls kein XSS mehr

Greetz
alcaeus

Zitat:

Hihi....die Luecke war hier (und in der DP) schon gepatcht, wahrscheinlich bevor du davon gehoert hast

Hm, die ersten Sites veröffentlichten den Exploit bereits am 04.07., soweit wie ich das mitbekommen habe hattet ihr/du (wie auch immer) den Fix erst einige Tage später installiert. So long,


CJ

CJ hat folgendes geschrieben:

Hm, die ersten Sites veröffentlichten den Exploit bereits am 04.07., soweit wie ich das mitbekommen habe hattet ihr/du (wie auch immer) den Fix erst einige Tage später installiert.

Am 4. ist er auf einer russischen Security-Seite aufgetaucht, am 6. haben wir einen Patch entwickelt, und ein paar Tage spaeter hat das Ding angefangen, seine Runden zu drehn. Wie dem auch sei: auch wenn du jetzt deinen Autologin anmachst, und das Exploit vorher ausgenutzt wurde, bringt es ihnen nichts. Das einzige was ich mit dem Exploit machen kann, ist Session Jumping, und dann auch nur wenn der User Autologin aktiviert hat und mit IE unterwegs ist. Die Log-Dateien, die in den Exploits verwendet wurden sind immer noch relativ leer, ausser das haette sich letzte Nacht geaendert
Der Punkt ist: die Autologins sind sicher, keine Sorge

Greetz
alcaeus

Zitat:

Am 4. ist er auf einer russischen Security-Seite aufgetaucht,

Wenn du die Seite meinst, die ich auch meine kann man nicht unbedingt von einer Securityseite reden.

Zitat:

Der Punkt ist: die Autologins sind sicher, keine Sorge

Ist mir durchaus bewusst, aber trotzdem warte ich lieber auf einen Fix von offizieller Seite.

CJ hat folgendes geschrieben:

Wenn du die Seite meinst, die ich auch meine kann man nicht unbedingt von einer Securityseite reden.

Ja, keine Ahnung warum ich den Ausdruck verwendet habe, normalerweise kann ich ddas nicht mal im gleichen Satz erwaehnen

CJ hat folgendes geschrieben:

Ist mir durchaus bewusst, aber trotzdem warte ich lieber auf einen Fix von offizieller Seite.

Das kann man dir nicht veruebeln. Ich kann dir aber versichern, dass ich im derzeitigen Patch kein Loch mehr gefunden habe (und glaub mir, ich habs lang versucht ).

Greetz
alcaeus