phpBB España Oficial

URL: http://www.foropolicia.es/foros" onclick="window.open(this.href);return false;
Versión phpBB: phpBB3 (3.0.3)
MODs Instalados: No tengo instalado ningún MOD
Plantilla(s) usada(s): subsilver y Aeroblue
Servidor: Linux de pago
Actualización desde otra versión: Si
Conversión desde otro sistema de foros: No

Hola!!

Tengo un problema de seguridad y gordo, cuando un usuario se conecta a mi foro aparece en la URL en modo GET la SID del usuario, es decir, aparece en el navegador del usuario direcciones como esta:
El problema de seguridad viene por que los usuarios publican enlaces a otros temas del foro y para ello copian y pegan la dirección desde el navegador, con lo que incluyen su SID.

Por todo ello resulta que si un usuario (incluso un usuario invitado) pincha en el enlace metido por otro usuario, se conecta automáticamente como el usuario que publicó el mensaje, con permisos incluidos.

Tras buscar en este foro veo que se ponen soluciones como deshabilitar la "Cookie Segura", pero es que yo no la tengo habilitada ni nunca la he tenido habilitada.

En cuanto a Mods no tengo instalado ninguno, el foro está limpio... ¿que puedo hacer?

Un saludo!!

Como tienes configuradas las cookies en el panel de admin ??

y estas seguro que uno aparece logueado al seguir ese tipo de urls? no debería ser así, los sid no dan ese tipo de problemas...

hasta donde se, si las cookies estan mal seteadas y no se pueden acceder a ellas, el foro usa el código "sid" en cada url para mantener logueado al usuario. salu2

mitch escribió:Como tienes configuradas las cookies en el panel de admin ??

La configuración de las Cookies te la envio por MP ¿ok?

mitch escribió:y estas seguro que uno aparece logueado al seguir ese tipo de urls? no debería ser así, los sid no dan ese tipo de problemas...

Ciertamente lo he comprobado, yo también me he quedado asombrado ya que me parece un fallo enorme, ya había pasado en más de una ocasión que algún usuario me escribiera comentadome que había entrado como otro (pero no me lo creía mucho la verdad) hasta ayer que dos usuarios distintos entraron como moderadores al foro y uno de ellos me envio un MP como moderador (diciendo que realmente era otro usuario).

mitch escribió:hasta donde se, si las cookies estan mal seteadas y no se pueden acceder a ellas, el foro usa el código "sid" en cada url para mantener logueado al usuario. salu2

Como solución rápida he activado la "Validación de sesión por IP" que estaba en "Ninguna" y la he puesto en "Todo", no lo había tocado nunca por que desde que actualize de phpBB 2.x a phpBB 3.x esa opción venía marcada así, parece que eso lo evita a priori, pero espero poder encontrar una solución mejor, especialmente para que no aparezca lo del SID en la URL...

Un saludo y gracias por tu pronta respuesta

Bueno en tu MP me indicas que tienes mas de 1 dominio, y esa puede ser la razon.

Intenta esto

1.- En la pestaña GENERAL > Configuración del Servidor, Marca en SI Forzar parámetro URL, haber como va..

2.- Este MOD puede ser otra solución th23 Domain
permite configurar diferentes cookies para distintos dominios.

salu2