andzia000
(Strong Cs)
30 Marzec 2006 13:42
#1
Witam kto mi przetlumaczy ten txt ?
Problem:
Invision Board v2.1.4 has a problem with sessions. Once it is
installed on a server where php is allowed to
use transparant sessions a session can be hijacked by other users.
Testing:
Once you visit a site where Invision Board is used the first click on
the Log In link points the visitor to a link with the session id in it:
index.php?s=&act=Login&CODE=00
If you copy this session id, login and start a different browser (not
a new instance) then you only need to copy the session id url into
the different browser to login without giving the password and login
name.
Any links within the forum where the session_id is linked to the url
will enable other people (perhaps only
within the same network where the ipnumber is natted) to login when
users are online and logged in.
Reported:
Contacted the authors on march 1st, no response.
Contacted the author via the email address listed on this list, no
respons.
Regards,
Hans
pysiu
(Pysiu)
30 Marzec 2006 14:39
#2
tłumaczenie z translatora
Deska Invision v2.1.4 ma problem z sesjami. Raz to jest zainstalował na serwerze, gdzie php jest pozwolony by użyj sesji transparant, że sesja może zostać porwana przez innych użytkowników. Testowanie: Raz odwiedzasz miejsce, gdzie Invision Deska jest użyty pierwszych klik dalej logować łącze wskazuje gościa do łącza z id sesji w tym: indeks.php?s =< session_id >& czyn = Zarejestrowanie się & CODE = 00 Jeśli kopiujesz tego id sesji, zarejestrowanie się i zaczynasz różną przeglądarkę { nie nowy przykład) wtedy tylko potrzebujesz skopiować url id sesji do różna przeglądarka do zarejestrowania się bez dawania hasła i zarejestrowania się imię. Jakieś łącza w forum, gdzie session_id jest połączony do url umożliwią innych ludzi { być może tylko w tej samej sieci, gdzie ipnumber jest natted) do zarejestrowania się kiedy użytkownicy są na żywo i logują się. Zgłosił się: Skontaktował się autorów dalej pomaszerować 1st, żadna odpowiedź. Nie skontaktował się autora przez adres email nie spisany na tym liście, żadnym respons. Dotyczy, Deska HansInvision v2.1.4 ma problem z sesjami. Raz to jest zainstalował na serwerze, gdzie php jest pozwolony by użyj sesji transparant, że sesja może zostać porwana przez innych użytkowników. Testowanie:
AZPR
(Azpr)
30 Marzec 2006 19:13
#3
jak juz to co tu jest napisane…
aju
(aju)
30 Marzec 2006 20:13
#4
co tu pisze
kkk kooo kopytko :mrgreen: :mrgreen: :mrgreen:
Problem: Deska Invision v2.1.4 ma problem z sesjami. Raz to jest zainstalował na serwerze, gdzie php jest pozwolony by użyj sesji transparant sesja może zostać porwana przez innych użytkowników. Testowanie: Raz odwiedzasz miejsce, gdzie Deska Invision jest użyta pierwszych klik dalej logować związek wskazuje gościa do związku z id sesji w tym: indeks.php?s =< session_id >& czyn = Zarejestrowanie się & CODE = 00 Jeżeli kopiujesz tego id sesji, zarejestrowanie się i zaczynasz różną przeglądarkę { nie nowy przykład) wtedy tylko potrzebujesz skopiować url id sesji do różna przeglądarka do zarejestrowania się bez dawania hasła i zarejestrowania się imię. Jakieś związki w forum, gdzie session_id jest link do url umożliwią innych ludzi { być może tylko w tej samej sieci, gdzie ipnumber jest natted) do zarejestrowania się kiedy użytkownicy są online i logują się. Zgłosił: Skontaktował się z autorami dalej maszerować 1st, żadna odpowiedź. Nie skontaktował się z autorem przez adres emailowy nie sporządzony listy na tym liście, żadnym respons. Dotyczy, Hans
Radek_PL
(Radekszyk)
18 Kwiecień 2006 14:10
#5
andzia000:
Witam kto mi przetlumaczy ten txt ? Problem: Invision Board v2.1.4 has a problem with sessions. Once it is installed on a server where php is allowed to use transparant sessions a session can be hijacked by other users. Testing: Once you visit a site where Invision Board is used the first click on the Log In link points the visitor to a link with the session id in it: index.php?s=&act=Login&CODE=00 If you copy this session id, login and start a different browser (not a new instance) then you only need to copy the session id url into the different browser to login without giving the password and login name. Any links within the forum where the session_id is linked to the url will enable other people (perhaps only within the same network where the ipnumber is natted) to login when users are online and logged in. Reported: Contacted the authors on march 1st, no response. Contacted the author via the email address listed on this list, no respons. Regards, Hans
Invision board wersja 2.1.4 (—to jest nazwa programu) ma problem z sesjami. Gdy jest zainstalowany na serwerze, na którym PHP może używać przezroczystych sesji (—tu nie jestem pewien, bo nie znam się na PHP), dana sesja może zostać przechwycona przez innych użytkowników. Testowanie: Poprzez odwiedzenie strony na której jest używany Invision Board i kliknięcie na link “Log In” (—Zaloguj się), osoba przeglądająca stronę zobaczy link z ID (—identyfikatorem) sesji: index.php?s=&act=Login&CODE=00 Jeśli skopiujesz ID sesji i otworzysz go w innym oknie przeglądarki (nie w nowej zakładce) wtedy potrzebujesz tylko skopiować odnośnik ID sesji do nowego okna przeglądarki żeby się zalogować bez konieczności podawania hasła i nazwy użytkownika. Jakikolwiek link na forum gdzie ID sesji jest powiązany z adresem internetowym umożliwi innym osobom (możliwe że wewnątrz tej samej sieci komputerowej, w której numer IP jest powszechnie znany) zalogowanie się kiedy administratorzy są “online” i także zalogowani. Raport: Skontaktowane z Autorami 1 marca, brak odpowiedzi. Skontaktowane z autorami poprzez e-mail, brak odpowiedzi. Z wyrazami szacunku Hans
— oznacza moją dopowiedź
Mam nadzieję, że Tobie pomogłem
To moje własne tłumaczenie; bez ŻADNYCH słowników, więc w razie jakihś błędów - I’m sorry and I hope you will understand that people sometimes make mistakes