User rutschen im anderen Account

Gurke96

Wen sich die User in mein Hotel einloggen rutschen die manchmal in einen anderen Account rein, wie kann man das beheben ? hat was mit den auth_ticket zutun glaube ich

Zin

@bobachecker1337:

Erinnere ich mich nur zu gut dran!

Gurke96

Das ist ja furchtbar

Eben erst aufgefallen habe mich in der Kategorie vertan.

Skybreak

Wie rutschen die denn? Also zB wenn du auf deim eigenen bist und dann plötzlich auf einem wildfremden? Kannste mir vielleicht den Link zu deinem Hotel geben?

Gurke96

Wen man im Client rein will.

XaerDEV

Kenn ich auch noch vom ST

Zin

Das liegt an irgendwelchen Tickets die beim Einloggen in den Client entstehen.

Skybreak: Wenn man sich in den Client einloggt ist man nicht in seinem eigenen Account drin, sondern in einem wildfremden.

Gurke96

Zitat von Zin

Das liegt an irgendwelchen Tickets die beim Einloggen in den Client entstehen.

Skybreak: Wenn man sich in den Client einloggt ist man nicht in seinem eigenen Account drin, sondern in einem wildfremden.

Genau so ist es.

Weiß einer was man dagegen vllt machen kann?

ApeeX

Das ist bei der TC CMS auch so nimm eine andere Client.php.

Gurke96

Hier werden die Tickets "generiert" Würde das was bringen wen ich das da mal öfter ändern würde. z.B anstatt "-hero-fire-de was anderes einsetzen?

SQL

<?php
// ######################################################################### 
// LOGIN TICKETS
// ######################################################################### 


function GenerateTicket(){ 


    $data = "ST-"; 


    for ($i=1; $i<=6; $i++){ 
        $data = $data . rand(0,9); 
    } 


    $data = $data . "-"; 


    for ($i=1; $i<=20; $i++){ 
        $data = $data . rand(0,9); 
    } 


    $data = $data . "-hero-fire-de"; 
    $data = $data . rand(0,5); 


    return $data; 
} 


// ######################################################################### 


if(session_is_registered('username')){ 


    $rawname =   FilterText($_SESSION['username']); 
    $rawpass = FilterText($_SESSION['password']); 


    $usersql = mysql_query("SELECT * FROM users WHERE username = '".$rawname."' AND password = '".$rawpass."' LIMIT 1"); 
    $myrow = mysql_fetch_assoc($usersql); 


    $userinfo = mysql_query("SELECT * FROM user_stats WHERE id = '".$myrow['id']."'"); 
    $userinfo = mysql_fetch_assoc($userinfo); 


    $password_correct = mysql_num_rows($usersql); 


    $my_id = $myrow['id']; 
    $user_rank = $myrow['rank']; 


    $ban = mysql_query("SELECT * FROM bans WHERE value = '".$myrow['username']."' AND bantype = 'user' or value = '".$remote_ip."' AND bantype = 'ip' LIMIT 1"); 
    $bancheck = mysql_num_rows($ban); 


    if($myrow['ip_reg'] == "0"){ 
        mysql_query("UPDATE users SET ip_reg = '".$remote_ip."' WHERE id = '".$myrow['id']."'"); 


    }elseif($password_correct !== 1){ 


    session_destroy(); 
    header("location: ".$path."/account/logout"); 
    exit; 


    }elseif($bancheck > 0){ 


    $bandata = mysql_fetch_assoc .Filtertext($ban); 


    $timestamp = time(); 
    if($bandata['expire'] > $timestamp){ 
    $login_error = "Du bist gebannt! Der Grund f?r deinen Bann lautet "".$bandata['reason']."" und dauert bis ".date('d.m.Y - H:i:s', $bandata['expire'])."";            
    include('logout.php'); 
    session_destroy(); exit; 


    } else{  
        mysql_query("DELETE FROM bans WHERE value = '".$name."' AND bantype = 'user' or value = '".$remote_ip."' AND bantype = 'ip' LIMIT 1"); }   
    } 


    $logged_in = true; 
    $name = HoloText($myrow['username']); 
        $rank = HoloText($myrow['rank']); 


    } else { 


    $user_rank = 0; 
    $name = "Gast"; 
    $my_id = "Gast-id"; 
    $myticket = "ST-No-Name-tebbo-fire"; 
    $logged_in = false; 


} 
?>

Alles anzeigen

Promotion Δ

Wie bereits gesagt: Nimm eine andere Client.php
War bei mir mal im Habbo.mn, wenn man zufällig dasselbe Passwort hat als jemand anders.

Apacez

Ich bin beim Eislaufen ge*rutscht* aber noch nie in einem Account rein...
Liegt an den "Auth_tickets" nimm eine andere Client.php

Skybreak

Zitat von Promotion Δ

Wie bereits gesagt: Nimm eine andere Client.php
War bei mir mal im Habbo.mn, wenn man zufällig dasselbe Passwort hat als jemand anders.

Wie hoch ist denn die Chance dass man das gleiche Passwort wie jemand anders hat? Muss bei dir ja bestimmt nur 1 Fall gewesen sein wo mehrere das gleiche Passwort hatten

btt nimm ne andere client.php dann sollte es wieder gehen

Promotion Δ

Zitat von Skybreak

Wie hoch ist denn die Chance dass man das gleiche Passwort wie jemand anders hat? Muss bei dir ja bestimmt nur 1 Fall gewesen sein wo mehrere das gleiche Passwort hatten

btt nimm ne andere client.php dann sollte es wieder gehen

Skybreak: Hatte damals als Test das Passwort "Sulake", bei jedem Login in nem andren Acc

Gurke96

Nagut werde mal eine andere client.php nehmen

danke

AndroidOS

Allso Du must
1 Die Sessionen Löschen .
2 PHP.CONF Session auf zb session umtaufen.
3 Dann must du nur IIS zugriff geben.

Dann solte das nicht mehr Passieren ( Herofire.de )
Oder du must denn Update Command für Auth Ticket in die Client Packen und diese immer als erstes laden.
Und dann mit einem Timer ajax script die AUTH ticket wider Löschen weil ja diese nicht mehr benötigst

Hoffe das Hilft dir

Flasho

Was bringt euch die client.php zu wechseln, wenn das SSO-Ticket in der CORE generiert wird? o_O

AndroidOS

Was sowas gehört nicht in die Core is ja klar

Flasho

Zitat von AndroidOS

Was sowas gehört nicht in die Core is ja klar

Klar, gehört sowas in die CORE, dort ist die Basic, anschließend wird die Datei included. Wo ist da was falsch?

Gurke96

Danke das ihr mir helft
Doch aber das stimmt in der core werden die Sessions erstellt.

#Handy

Jetzt mitmachen!