In Session eines fremden Benutzers gewechselt

Hallo!

Hatten gestern einen Fall, das ein Benutzer im Shop plötzlich unter der eMail-Adresse eines anderen Benutzers eingeloggt war.
Hab dann hier im Forum recherchiert und entdeckt das es so etwas mal in zusammenhang mit AOL-Proxy-Caches gab, was nach Logfile-Prüfung bei diesem Benutzer aber nicht der Fall war.
Konnte anhand der Logfiles feststellen, das der Benutzer irgendwann/irgendwie auf folgender Seite gelandet ist "/index.php?force_sid=x"
Und genau damit war er dann unter dem fremdem Benutzer eingeloggt, hab es eben ausprobiert. Es kommt zwar die Anzeige vom Shop das er “Different Browser” entdeckt hat und dann “Creating new SID”, aber ich konnte es reproduzieren und war dann ebenfalls unter dem fremden Benutzer (ist immer der gleiche fremde Benutzer).

Aber woher kommt eigentlich die Zuordnung SID und User, geht das über die OXID des Benutzerkontos? Da war eigentlich nur seltsam das die OXID des fremden Benutzers ebenfalls mit x beginnt.

Setzen zur Zeit noch die 4.1.5 ein und es wäre nett, wenn jemand hier irgendwie weiterhelfen kann, oder ob es in einer späteren Version zu dieser Thematik eventuell ein Bugfix gab.

Gruß
Daniel

Sehr seltsam, hab die OXID des fremden Benutzers jetzt mal geändert und in einem Test-Account von uns eingesetzt. Und anschließend die OXID des fremden Benutzers auf eine neue geändert.

Wenn ich dann “/index.php?force_sid=x” aufrufe, bin ich automatisch unter dem Test-Benutzer eingeloggt.

Hallo RybackX,

seither gab es drei Security Bulletins. Es ist also äußerst ratsam, hier ein update zu machen.

Gruß