Noti3
Nintendo-BERND
Re: Zusammenfassung des Geschehens R.I.P. Gulli
Also wenn ich das richtig verstanden habe, präpariere ich einen Link, indem ich z. B.
anhänge. Ok, aber was bringt mir das? ICH ändere MEINEN Style. Wenn ich dann andere dazu bekomme, dadrauf zu klicken, dann ändert sich auch deren Style. Was jetzt im schlimmsten Fall nervend ist, ich kann mir ja mein Style wieder einstellen?
Oder kann man solch ein Cookie tatsächlich zu schlimmerem einsetzen?
(Das ist jetzt OT, wenn man das nicht hier im thread haben möchte, dann mach ich eben nen neuen auf, oder schreibs per PN an Kugelfisch, wie ihr wollt. Es interessiert mich nur gerade )
Dieses spezifische Problem wird in der Tat von einem Benutzer verursacht, der meine Anmerkung, jemand könnte sich einen CSRF-Spass erlaubt haben, wohl als Aufforderung eben dazu interpretiert hat. Dass das Aufrufen eines beliebigen Board-URIs mit angehängtem styleid-Query-String-Parameter ohne weitere Verifikation zu einem derartigen Cookie führt, ist schliesslich ein bekanntes vBulletin-Feature; da man damit keinen ernsthaften Schaden anrichten kann, habe ich bisher keinen Grund gesehen, das zu unterbinden. Sollte das auch hier missbraucht werden, wäre das natürlich möglich, etwa indem man den Security-Token zum Style-Wechsel verlangt.
Also wenn ich das richtig verstanden habe, präpariere ich einen Link, indem ich z. B.
?styleid=2
Oder kann man solch ein Cookie tatsächlich zu schlimmerem einsetzen?
(Das ist jetzt OT, wenn man das nicht hier im thread haben möchte, dann mach ich eben nen neuen auf, oder schreibs per PN an Kugelfisch, wie ihr wollt. Es interessiert mich nur gerade )