Neuigkeiten:

moziloCMS verwendet Cookies. Wenn Sie auf unserer Seite weitersurfen, stimmen Sie der Cookie-Nutzung zu Datenschutzerklärung
moziloCMS Layouts
moziloCMS Plugins

Hauptmenü

2x Mozilo -> Login in 2.Mozilo-Adminbereich ohne Passwort!

Begonnen von majo, 12. Juni 2009, 00:20:26

« vorheriges - nächstes »

majo

Hallo,

hab grad erschrocken folgendes festgestellt und bitte um Überprüfung, ob das bei anderen auch so ist:

ich habe auf einem Server (angenommen http://adresse.de) eine mozilo-installation, adminbereich ist mit 'nutzername1' und 'passwort1' geschützt.

dann habe ich in einem Unterverzeichnis "/test"
eine zweite Installation von mozilo als Test für eine andere Person eingerichtet und den adminbereich mit 'nutzername2' und 'passwort2' geschützt.

Jetzt habe ich mich als nutzername2 im Adminbereich von "/test" angemeldet und dann die aktuell angezeigte adresszeile des browsers:
http://adresse.de/test/admin/index.php

geändert in
http://adresse.de/admin/index.php
und ENTER gedrückt, und war in der Adminumgebung der anderen Mozilo-Installation angemeldet! Und das ohne Eingabe von Benutzername1/Passwort1.


Das kann so nicht gewollt sein, oder?
Gruß, Majo

azett

#1
Das ist nicht wirklich gewollt, läßt sich aber auch nicht verhindern: Die Session gilt domainweit.
Im alten Forum gab es dazu schonmal einen Thread; beachte vor allem mein Posting vom 19. Januar 2009.
Wenn was unklar ist, frag einfach nochmal nach :)

majo

#2
hallo azett,

ok, danke für die Info. obwohl damit das problem nicht weg ist, bin ich beruhigt, dass es einfach eine technisch bedingte Besonderheit ist, mit der man umgehen kann und keine undefinierbare Sicherheitslücke. Gut zu wissen und danke nochmal.

majo