Cookie bei Phpbb2!?

B

blobbo

0
Hi!
Normalerweise wird ja in einem Boardcookie, wenn man angemeldet bleiben will, immer die Userid und das Md5 verschlüsselte Passwort gespeichert.
Beim Phpbb2 ist es allerdings nur ein Cookie und der ist auch etwas unübersichtlich.
Ich hab beim Googlen nur was mit serialize und unserialize gefunden allerdings hat das nich wirlkich etwas verändert.
Also, weiss einer von euch wie das Phpbb2 den Cookie speichert?


[Edit]
Ok ich hab übersehn, dass der ganze % Quatsch durch Asciicode kommt.
Danach macht es schon viel mehr Sinn :)
Aber es wird sich sicher noch eine Frage auftun. Das ist sehr interessant finde ich.
 
In einem phpBB wird einerseits eine Session ID gespeichert (zur Benutzeridentifizierung) und (wenn man autologin aktiviert hat) ein Verweiss auf ein einen Datenbank-Datensatz
 
Ja und genau um das 2te geht es mir..

Hier ist was interessantes darüber:
http://www.security-project.org/projects/board/showthread.php?t=870

Wenn man es aufdröselt ist es in dieser Forum:

a:2:
{
s:11:"autologinid";
s:32:"[32 Stelliges pw]";
s:6:"userid";
s:1:"[ID des Users]"; // zb 2 für den Admin
}

Was ich nun komisch finde ist, dass das Passwort nicht der Normale md5 Hash ist.

Der Hash sieht ungefähr so aus
98c69c9f93b58c7ee5ccdff937bdf744

Und der gespeichert wert so
920788668450034d507b2f8.84711564

Weiss jemand wo da der Unterschied besteht?

[Edit]

Ok ich hab mal nen Test gemacht:

a:2:
{
s:11:"autologinid";
s:32:"d320cfb200428edee30f44a7ff3928e9";
s:6:"userid";
s:1:"4";
}

Der User heisst test und das Passwort ist huhu .

Der Passworthash ist:
f3c2cefc1f3b082a56f52902484ca511

Ich hab schon probiert den aus dem Phpbb2 zu cracken hab dann aber bei 5 Stellen aufgehört.
Also werden die Zeichen schonmal nich im Alphabet verschoben.

Hat irgendwer ne Ahung?
Danke schonmal!

--------------

Ok nochmal..
Der gespeicherte Hash im Cookie ist sogar immer anders.
Doch selbst wenn ich alle Cookies lösche und diesen dann, mit einem von den verschiedenen generierten Hashs, neu anlege bin ich wieder eingeloggt.
Und auch wenn ich den Cookie dalasse und nur meine Sessionid lösche und dann wieder auf die Seite gehe bleibe ich eingeloggt.
Es liegt also nicht an der Sessionid. Aber gesaltet ist das ja meiner Meinung nach auch nicht!?
Also was passiert da? ^^
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben