phpBB obsługuje przegladarki z wlaczonymi ciastkami i z wylaczonymi. W przypadku wlaczonych append_sid jest niepotrzebne poniewaz ID sesji jest zapisywany w ciastkach. Gdy przegladarka ma wylaczone ciastka append_sid dziala zawsze i kazdy link na forum ma koncowke &sid=12345678wertyui2345678g
ID sesji jest zawsze takie samo w obrebie sesji, zmienia sie tylko gdy user ponownie sie loguje poprzez formularz lub ciastka, poprzez ciastka loguje sie ponownie gdy wygasnie maksymalny czas sesji. Gdy ID sesji zmienia sie za kazdym kliknieciem oznacza to nieprawidlowo ustawione ciastka na forum i za kazdym razem tworzenie nowej sesji.
Czasami tez (i zwlaszcza w panelu admina) koncowka &sid= jest dodawana zawsze, ma to na celu ustrzezenie sie przed sytuacja ze jakis user podsunie adminowi link po kliknieciu ktorego admin nieswiadomie wykona jakas czynnosc. Podobnie link do wylogowania sie rowniez ma ID sesji aby jeden user drugiemu nie "podkładał" linka do wylogowania, we wczesniejszych wersjach tego nie bylo, napewno pamietamy plage "spreparowanych" obrazkow ktore prowadzily pod adres wylogowania i wszystkich wylogowywalo bez klikania, tylko podczas otwarcia tematu z postem zawierajacym taki obrazek.
Lecz tak czy owak numer SID admina mozna wyciagnac umieszczajac ukryty obrazek prowadzacy do pliku php, ktory odczyta adres referujacy i przeniesie np. admina do jego PA razem z prawidlowym numerem SID
Dlatego wazne jest aby robiac mody wszystkie czynnosci (a zwlaszcza nieodwracalne lub te nadajace komus prawa) ktore admin moze wykonac byly potwierdzane poprzez formularz POST np. przycisk "Tak" i "Nie" (w kodzie musi byc koniecznie sprawdzanie tylko i wylacznie tablicy $HTTP_POST_VARS bez _GET)
W ostatniej wersji 2.0.20 mozna zauwazyc zmiane ktora dodaje takie potwierdzenie podczas usuwania usmieszku. Jednak sa inne miejsca w ktorych nie ma takiego potwierdzenia i wersja 2.20.0 ma caly czas te bledy, zobaczymy kiedy pojawia sie exploity...
Na razie sie nie pojawily poniewaz ich skutecznosc jest mala, warunek jest taki, ze admin musi byc nie tylko zalogowany na forum, ale tez zalogowany do PA, mozna przyjac orientacyjnie ze taki exploit zadziala raz na 20-30 razy i w sytuacji kiedy admin wejdzie w temat lub profil razem z numerem SID a to sie zdarza niezbyt czesto.
... sie rozpisalem
Autor postu otrzymał pochwałę
phpBB modified by Przemo