Drucken

Bitte loggen sie sich ein oder registrieren sie sich.
1 Stunde 1 Tag 1 Woche 1 Monat Immer
Einloggen mit Benutzername, Passwort und Sitzungslänge

[nomad]

Hi leute,

nutze auch Xtcommerce und habe seit gestern ein grosses Problem.
Mir ist bekannt das man die Session Links nicht versenden oder was auch immer darf. Leider war ich gestern irgendwie durch und hab etwas übersehen. Und zwar hatte ich einen Newsletter erstellt mit den Links die ich rauskopiert habe aus dem Shop als ich mich im Admin bereich befand. Somit habe ich bei meinen Produkten die Session von mir mit kopiert. Ich wusste das ich das nicht machen darf, habs aber einfach vergessen gestern.

Nun meine Frage, scheinbar kann nun jeder ders rafft mit diesen Links - scheinbar auch nur wenn ich online bin - quasi in meine session springen und dann sich im admin bereich aufhalten solange ich online bin im shop - im Admin. Also eingeloggt.

Ich hab dann vorsorglich in der Datenbank mir als nutzer die Admin Rechte entfernt um zu gewährleisten das niemand da mimetnan schabernack mit treibt,

Jetzt steh ich aber v or einem rätsel.

Muss ich nun den shop neu installieren aufgrund dieser sicherheitslücke die ich mir selbst geschaffen habe ?
Ist es möglich einfach einem anderen user admin rechte in der datenbank zu geben  der eine andere session hat --- und dann meinen User löschen, von dem ich die session mitversandt habe ?
Ich komme grad nicht mehr ins Admin menue rein - wenn ich meinem 2ten account einen admin account per Datenbank gebe , erscheint zwar das ADMIN feld, aber ich komme nicht rein sondern springe immer zur login seite.

Bah ...

jetzt bin ich mit meinem wissen am ende...

ein moment unachtsamkeit ... und dann sowas.

ich bin schon dabei xtcommerce neu zu installieren .... damit ich wieder meine ruhe habe ?

hat jemand kurzfristig tipps ?`

Das wäre wirklich wunderbar ...

Denn ich bin ratlos

lieben dank

[genndus]

Hallo,

dem neuen Admin musst Du auch die entsprechenden Rechte vergeben sonst ist der zwar Admin darf aber nix eventuel nicht mal die News Seite im Admin betrachten so das Du gar nicht erst rein kommst.
Das kannste entweder im Admin bereich machen oder in der Datenbank.

Reicht es nicht wenn alle Sessions gelöscht werden?
Ordner "Cache" "templates_c" und in der Datenbank in Tabelle sessions.

Gruß
genndus

[nomad]

hI genndus,

also ich doktore nun schon eine ganze weile dran rum....

aber letzendlich keinen erfolg momentan.

Ich habe grad meine bedenken, dass ich - sofern ich meinen Admin zugang nicht wechsel, die gefahr besteht, dass ein Kunde paralell wenn ich online bin mit meiner session auch online ist. .. und dann in den admin bereich kann.
Leider bin ich durch einen kunden gestern darauf hingewiesen worden, dass man in den admin bereich kann. Eben erst als ich mit meinem account von dem die session stammte mich aus dem shop ausloggte war dies nicht mehr mölglich.

Nun suche ich verzweifelt nach einer sicheren möglichkeit wie ich das in den griff bekomme.

Momentan ist der stand der dinge dieser, dass ich :

per datenbank einem anderen user versucht habe einen admin zugang zu gewähren, den ich nutze - weil ich mir gedacht habe, das dieser ja eine andere session haben müsste und somit mein fehler aus dem newsletter keine bedeutung mehr hat.

Meinen Account den ich genutzt habe für den newsletter habe ich erstmal auf gast account in der DB eingestellt.

Nun ist es so, dass ich mit dem neuen account zwar den admin button sehe, nachdem ich die änderung in der DB vorgenoimmen habe, aber leider immer noch nicht in den admin bereich reinkomme.

Du hattest geschrieben, dass man in der DB SESSIONs löschen soll..

NUn, wie mache ich das genau ?
Und die andere Frage, wie kriege ich wieder zugang zum Admin bereich über den anderen account. Muss doch irgendwie möglich sein.

Habe schon geschaut, weil es öfter mal das problem gibt, dass man bei xtcommerce nicht mehr inden admin account kommt, aber das umstellen in der DB von Session check user agent z.b. hat nicht den gewünschten erfolg gebracht

nun bin ich leider ein wenig ratlos.

Letzendlicn ist der admin bereich nicht das wichtigste, da ich eh mit easysales arbeite, aber trotzdem wäre es schän zu wissen, was das mit den Session nun auf sich hat, obs überhautp so problematisch ist und wie ich wieder zugang zum admin bekomme ..

bin für jede hilfe grad sehr dankbar

lg

[thuhn01]

Zuerst einmal: Ruhig bleiben und keine Panik. 

Die Sessions sind ja eh nur 15 Minuten gültig und löschen sich danach selbständig (sofern niemand mit derselben Session aktiv ist)

Also: Session löschen (sofern überhaupt noch aktiv)
Delete * from Sessions (wenn in der DB gespeichert)

sonst
rm * (im Verzeichnis, in dem Du die Session-Datene speichern lässt ausführen)
ggf auch del * (wenns nen Windoof Rechner ist)

[nomad]

die sessions sind nur 15 Minuten gültig ?

Also bei mir war das ja nun so, dass ich als ADMIN dummerweies einen Newsletter [obwohls mir klar war das ich das so nich machen kann, leider aber nicht dran dachte] verschickt habe mit links zu den artikeln - zu den produkten im shop.

Diese links hatten quasi auch meine session mit hinten dran.

Somit teilte mir jemadn mit, weil ich grad online war im admin modul, dass er in den admin bereich käme ....

Also ich offline ging, kam er aber auch nicht mehr rein.

Somit kann doch jeder jederzeit wenn ich online bin - und er auf diese lnks drückt - mit meiner session in den admin bereich , oder nicht ?

Oder erübrigt sich das problem eh nach 15 minuten ? Bin mir jetzt nicht ganz sicher ?

Bzw. weiss ich grad einfach nicht genau ob ich jetzt ein sicherheitsloch habe und oder keins und das alles garnicht so schlimmt ist.

Ich habe halt die bedenken dass sich jemand einloggt..... verständlicherweise ...

Und anbei, leider komme ich immer noch nicht in den admin bereich rein, werde immer wieder auf die persönliche seite weitergeleitet.

Jetzt hab ich wirklich ein kleines problem ...

@thun01
Soll ich diese Befehle in der Datenbank ausführen ?

Ich bin jetzt nicht der übermässige Profi in diesen Dingen, aber fürs meiste reichts .-]

danke schonmal an alle die bisher geholfen haben ..

[thuhn01]

Die Sessions werden bei jeder Anmeldung neu erzeugt und sind immer anders.
Nach Deiner Abmeldung war das Loch also gestopft.
Du kannst aber zur Sicherheit, wie vorhin geschrieben, die zur Zeit vorhandenen Sessions löschen.

[thuhn01]

Sorry, hatte den zweiten Teil der Nachricht nicht mehr gelesen (Asche auf mein Haupt)

Du kommst mit dem "neuen" admin wohl deswegen nicht in den Admin-Bereich, weil in der Tabelle admin_access wahrscheinlich nur der User mit der NUmmer '1' Zugriff hat. Alle anderen nicht.

Entweder aktivierst Du wieder per DB den alten Admin (User Nr 1)
oder gibts dem User (die Nummer musst Du irgendwie herauskriegen) auch für diesen User in der admin_access die Zugriffe auf die einzelnen Einträge.
Ob es allerdings das einzige Problem ist wieso der "neue "nicht rein kann weiss ich leider nicht.

und
Ja, den "delete * from Sessions" müsstest Du in der DB ausführen. Das "del (oder rm) *" müsstest Du in dem Verzeichnis ausführen in dem die Sessions gespeichert werden. Je nachdem wo/wie Du die Sessions spichern lässt. (Siehe configure.php)

[nomad]

HI,

so, hab nun aufgrung einer paralell installation alles wieder hinbekommen.
Admin zugang funktioniert wieder, ich nehme an , das es an einem "true" in den cache optionen lag, die anders eingestellt war.

Ok,

ihr sagt also, dass die Sessions nun eigentlich kein problem darstellen. Das bedeutet, und das ist grad mein verständniss problem ...

Ich habe eine Session mit versendet - und für den Zeitraum wo ich quasi online war, war es somit möglich für andere mit in den Admin Bereich zu gelangen.

Nun meine frage, damit ich in ruhe duschen kann nachher :-]

Die Session ist somit erloschen und ob nun die Links mit meiner alten Session von gestern in dem Newsletter waren oder nicht, das ist nun vollkommen egal, weil ich eh eine neue zugewiesen bekommen habe ... durch offline sein und durch die session erneuerung .. oder wie darf ich das verstehen ?

Möchte da nur gerne ganz sicher gehen.

Die Template c ordner und die cahce ordner habe ich mal vorsorglich geleert ....

Wenn ihr mir das mit den sessions noch verklickern könnt, bin ich eigentlich rundum zufrienden ... und alles scheint wieder zu laufen

danke danke danke

[nomad]

also so ganz sicher bin ich mir da noch nicht ...

ob das mit den sessions alles so hinhaut .....

[thuhn01]

also so ganz sicher bin ich mir da noch nicht ...

ob das mit den sessions alles so hinhaut .....

a) Geh ruhig duschen
b) Um noch sicherer zu sein (ich kann Dir ja viel erzählen) schau doch einfach in der DB nach ob Deine Session noch so drin ist wie Du sie gestern verschickt hast. Ich geh einfach mal davon aus, dass Du die Sessions in der DB hast.

"Select * from Sessions" (abfragen während Du als Admin eingeloggt bist) Siehst Du? Du siehst NICHT mehr die Session von gestern )

[nomad]

also wenn ich den befehl in der datenbank ausführe erscheint nicht wirklich irgendwas - seems to be empty :-]

aber ich probiere nachher nochmal etwas ...

und zwar den vorgang :

wenn ich als admin eingeloggt bin und dann jemand von einem anderen rechner via meines newsletters auf den link klinkt, was dann passiert.

Gestern war das so gewesen, dass derjenige dann den admin bereich sah und auch sich einloggen konnte in diesen.

Ich bin gespannt ob das nachher auch so ist oder ob es nicht mehr so sein wird ...

Wenn nicht ist ja alles gut, dann war die panik umsonst ...

Wenn doch, dann bin ich quasi ratlos ..

[thuhn01]

Naja, wenn DB Tabelle Empty (obwohl Du eingeloggt bist) dann nicht so toll, weil Du die dann nämlich wohl in Dateien speicherst.
Dann musst halt die Dateien im Speicherpfad löschen.

[nomad]

hö

ist das denn nich der richtige weg so ?

Dateien im Speicherpfad ?

hmmm

ich glaub ich steh auf dem Hahn !!

[thuhn01]

hö

ist das denn nich der richtige weg so ?

Dateien im Speicherpfad ?

hmmm

ich glaub ich steh auf dem Hahn !!

Viele Wege führen nach Rom
Es geht beides, jedoch haben schon mehrfach User über Probleme berichtet wenn die Sessions in Dateien gespeichert werden.

[nomad]

hihi

nun denn, vielleicht kannst du mir ja helfen dies problem zu beseitigen. Also sprich, die sessions in der datenbank speichern wäre dann wohl ratsamer ?

Mal zu meiner Ausrüstung :

Also ich habe ein "strato" paket. trotz aller wiedersprüche funktioniert eigentlich alles wunderbar.

Xtcommerce SPII  habe ich thja .... und suche nun die lösung für dieses Session Problem ....