Cookie Login

[WebBird]

Hmmm.... Ich glaube der date() und mktime() Kram ist auch ein Sicherheitsloch. Die Admin-Sessions laufen nämlich nicht mehr ab.

Vorgehen zum Test:

* Admin-Backend schließen, ohne sich abzumelden
* Am nächsten Tag das Admin-Backend aufrufen -> man bekommt eine Seite mit Fehlermeldungen
* Reload klicken -> man ist angemeldet!!!

Das sollte nicht passieren!

Die Diskussion ist also nicht für die Katz'.

Ich weiß jetzt nicht, ob das inzwischen behoben wurde, weil das aus meinem Ticket nicht hervor geht. So wie ich das verstehe, zieht man sich im Ticket auch auf die date.timezone Einstellung in der php.ini zurück. Sofern sich obiges Sicherheitsloch bestätigt, ist das IMHO grob fahrlässig.

[Ruud]

Hmmm.... Ich glaube der date() und mktime() Kram ist auch ein Sicherheitsloch. Die Admin-Sessions laufen nämlich nicht mehr ab.

No, this has nothing to do with session management.

* Admin-Backend schließen, ohne sich abzumelden
* Am nächsten Tag das Admin-Backend aufrufen -> man bekommt eine Seite mit Fehlermeldungen
* Reload klicken -> man ist angemeldet!!!
Das sollte nicht passieren!

* Did you close the browser? All windows, including download/plugin/addon windows?
* Did you shutdown the computer in between?
* What were the errormessages?
* Can you do it again?

Sessions will stay active when a browser is not fully closed. Any other open window (even invisible "hanging" windows) will keep existing sessions alive. The result will be you stay logged in.
The session information is kept on the server but activated only by the session cookie of your browser. This cookie should be destroyed by your browser when the browser is closed (fully).

[ruebenwurzel]

Hallo,

muss da ruud recht geben. date und mktime haben nix mit session cookies zu tun und wenn du deine session cookies in deinem Browser nicht löscht und am nächsten tag wieder an den server schickst hat das auch nix mit WB zu tun sondern nur mit deinen privaten Einstellungen.

Matthias

[WebBird]

* I have a Notebook, so I always close the browser and shutdown Windows. Fresh boot every morning.
* I can reproduce that issue with current trunk.
* It does not happen with 2.7. (Same PC, same Browser, same Cookie settings. Local installations of WB 2.7 and 2.8.)

I can add a screenshot tomorrow.

[Ruud]

Could it be you have been playing with the "Smart Logon" and "remember me" option?

Even after switching this feature off, your browser will send the cookie to autologin. This will only stop when you logout again.

R

[WebBird]

Nope. Fresh installation. Defaults everywhere. (Only changed the language to German.)

[doc]

Hi,

Hmmm.... Ich glaube der date() und mktime() Kram ist auch ein Sicherheitsloch. Die Admin-Sessions laufen nämlich nicht mehr ab. Vorgehen zum Test:
* Admin-Backend schließen, ohne sich abzumelden
* Am nächsten Tag das Admin-Backend aufrufen -> man bekommt eine Seite mit Fehlermeldungen
* Reload klicken -> man ist angemeldet!!!

Folgendes ist denkbar. Während der Installation von WB wird ein Cookie gesetzt und gleichzeitig ein Wert in die Admin User-Table der DB geschrieben (ähnlich der "Remember Me" Option). Dies erlaubt es, dass man nach drücken auf "Installation starten" im Anschluss ohne nochmalige Passworteingabe ins Backend weitergeleitet wird.

Soweit so gut. Wird nun das während der Installation automatisch erzeugte Cookie nicht manuell gelöscht und auch nicht der WB-Logout Button betätigt, bleibt das Cookie (je nach Browsereinstllung) bis zum Ablaufdatum gültig, was ein automatischen einloggen ohne Kenntnis des Passwort als Super-Admin ermöglicht. Der Spuck sollte eigentlich vorbei sein, wenn dieses Cookie gelöscht wird, oder der Logout-Button im WB-Backend nach der Erst-Installation betätigt wird. Soweit zur Theorie, in der Praxis nicht getestet  

Doc

[WebBird]

Der Spuck sollte eigentlich vorbei sein, wenn dieses Cookie gelöscht wird, oder der Logout-Button im WB-Backend nach der Erst-Installation betätigt wird. Soweit zur Theorie, in der Praxis nicht getestet  

Nee, Logout hab ich auch probiert. Dann kommt man ganz normal in die Anmeldemaske.

Hier die Screenshots von heute morgen. (1. Start und Optionen)

Edit: Nach Drücken von F5 ist man dann im Backend.

Vielleicht mißverstehe ich ja auch was. Ich gehe davon aus, daß die Admin-Session irgendwann automatisch abläuft. (Spätestens beim Schließen des Browsers, hieß es ja.) Vielleicht ist das nicht der Fall?

[gelöscht durch Administrator]

[Ruud]

The first 2 errors are caused by setting the errorlevel to the high (strict) level.
The 3rd message is because the login procedure wants to redirect you to another page, but he can't because the 2 first errors have been written.

So the 3rd error is only there because of the first 2 errors.

What the 3d error does show, is that you have a "REMEMBER_KEY" cookie on your computer.
The line that causes the error is in code when you actually just logged in using that cookie.

It is probably caused by the fact that one time (could even be on previous installations) you activated the smart login feature, and let the browser "remember" your login.
Normally if you disable the smart login and logout once, the cookie is removed.

This could be prevented by settings or addons in your browser.
It could also be that you are using a bookmark in your browser that also keeps cookie data attached to the bookmark.
I tested with firefox, and everything behaves as it should.

1. Login with remeber me on, close the browser without logout, open the browser again and type the address, autologin works ok

2. Switched off smart login, closed the browser (the cookie remains active), open the browser again and type the address, autologin works ok

3. In both situations (smart logon enabled or not), after a logout I need to login again.

You should check if you have cookie info stored. In FF through the FF options, or using the webdeveloper toolbar (Cookies > View Cookie Information).
If you have the cookie on your machine, you should see something like the image attached.
After clearing the cookie, it should not happen again.



[gelöscht durch Administrator]

[WebBird]

I think this happens because I have set "remember me" in the 2.7 installation. (Not in 2.8 which is on the same machine.)

There would be ways to prevent this (let the admin set a cookie prefix, create a random one on installation, ...), but I don't know if this is necessary.

Thanks to Ruud for clearing this.

[Ruud]

On a "normal" website it will probably never happen.
Cookies are set on the (sub)domain name, so you will not have two websites on one domainname.

If you are testing on localhost, the domainname is localhost, so it goes for all sites running on localhost.

Ruud

[WebBird]

Well, you can have more than one WB installation on different subdirectories on the same domain, can't you?

[ruebenwurzel]

Hello,

and just for not to forget this. Since WB 2.7 you can define in the advanced options of WB different session id's wich exactly should prevent that one can login in a WB backend with cookies from another WB install.

@webbird
can you check if you use on both WB versions different session id's? If they are the same i think we found the reason why you can login.

Matthias

[Ruud]

Sorry to jump in, can you please explain what is "SMART LOGIN" --- does it save the cookies or disables them ?

It is explained in the helppages (http://help.WebsiteBaker.org/pages/en/basic-docu/working-with-wb/settings/general-settings.php way down on the page)
It will give the option to the user to set a cookie for login.

Ruud

[WebBird]

@webbird
can you check if you use on both WB versions different session id's? If they are the same i think we found the reason why you can login.

Ahm, no, they are different. But I see now that there's already a random cookie prefix, as I suggested. I'm sorry that I missed this.

WB 2.8 wb_2164
WB 2.7 wb_1046

I will try to clear all cookies, set "Remember me" in 2.7 again and see what happens in 2.8 then. I think we're close.