Homepage | Products | OX Knowledge Base | Support | Try Now | Contact | Company
OX Logo
Results 1 to 7 of 7
  1. #1
    fragdesaster Guest

    Default Session Riding/Hicking OX 6.14 WebSession

    Hallo zusammen,

    ein sehr seltsames und sehr unangenehmes Phänomen ist bei uns nach einem Udpate auf die OX Server Version 6.14 aufgetreten.

    Nachdem man sich erfolgreich über die OX Weboberfläche eingeloggt hat, landet man in einem fremden E-Mail Konto. Dies sieht stark nach Session Riding aus. Leider finden wir die Ursache nicht dafür.

    Es ist weder etwas im Log zu finden, noch bekommt der Nutzer eine Fehlermeldung, noch saßen die Personen am selben PC. Server wurde bereits durchgestartet und trotzdem taucht das Problem wieder auf.

    Kann sich jemand das Problem erklären?


    Grüsse
    Roland

  2. #2

    Default

    Hi,

    das Problem ist bei uns auch nach dem Update aufgetreten. Nachdem die Browser-Caches geleert worden sind und der Server neu gestartet war, war das Problem verschwunden.

    Ich vermute, durch das Update und die unterschiedlichen Version zwischen Client und Server ist dieser durcheinander gekommen.

    Das Problem ist nicht noch einmal gesichtet worden seitdem.

    Vg
    Sebbel

  3. #3
    Join Date
    Feb 2007
    Location
    Germany
    Posts
    3,695

    Default

    Hallo,

    es wäre sehr interessant weitere Informationen zu diesem Vorfall zu bekommen. Generell müssen 3 Voraussetzungen erfüllt sein um erfolgreich mit dem Server zu kommunizieren:

    1. Die Session-ID muss korrekt sein
    2. Der lokale Browser muss das korrekte Cookie mitschicken
    3. Die IP Adresse muss gleich sein wie beim Login

    Ich vermute nicht, dass es sich nicht um ein Problem im "Frontend", also im Sessionmanagement und der der Kommunikation zwischen Browser und OX Server handelt. Möglicherweise ist es ein Problem im Backend, zwischen OX Server und Mailsystem. Sieht der Benutzer "nur" die falsche Mailbox, oder auch die falschen Groupware Daten?

    Gruß
    Last edited by Martin Heiland; 04-16-2010 at 12:42 PM.

  4. #4
    fragdesaster Guest

    Default

    Hallo,

    der Benutzer sieht sowohl die E-Mail wie auch die Groupware Daten.
    Punkt 3) kann ich bestätigen. Wir nutzen intern eine Standleitung, d.h. weder unsere IP noch die IP des OX hat sich bei der Umstellung geändert. Ich gehe davon aus, daß Punkt 1) und 2) auch gegeben sind, da man sonst schwer im Konto eines anderen landen kann.


    Gruss
    Roland
    Last edited by fragdesaster; 04-16-2010 at 01:13 PM.

  5. #5
    gaggaman Guest

    Default session-riding

    Hallo!

    Ich bin in dieses Problem ebenfalls involviert, daher Antworte ich darauf: Alle Clients kommen über NAT aus einem internen Netz, also ist die öffentliche IP die gleiche. Die IP des OX-Servers hat sich beim Update geändert, nicht aber der FQDN. Als Authentifizierungsmechanismus verwenden wir - wie auch schon vor dem Upgrade - IMAPAuth.

    Die Passwörter der User sind in der OX-Datenbank nicht mehr enthalten. Da die User, die in einem falschen Account gelandet sind, die Mails des falschen Accounts sehen können, der OX und der User das Passwort des falschen Accounts aber nicht wissen können, gehe ich im Moment davon aus, dass die Leute in der Session eines anderen, bereits authentifizierten Users landen.

  6. #6
    Join Date
    Feb 2007
    Location
    Germany
    Posts
    3,695

    Default

    Bitte wendet euch diesbezüglich auch an den Support, da wir die Sache im Forum vermutlich nicht aufgeklärt bekommen. Läuft vielleicht ein Proxyserver, der die Cookies oder gar die Session ID cachen könnte? Das würde zumindest erklären wie ein Benutzer an das Cookie eines anderen kommen kann.

    Gruß
    Last edited by Martin Heiland; 04-16-2010 at 03:24 PM.

  7. #7
    Join Date
    Feb 2007
    Location
    Olpe
    Posts
    49

    Default

    Seit der Version 6.16 ist der OX sehr gesprächig in punkto Login. Wenn der Verdacht besteht, dass Sessions durcheinandergehen, sollte man mal die Logins im Logfile nachvollziehen. Wichtig ist dabei sowohl das Apache-Log als auch das Logfile der Groupware anzuschauen.

Bookmarks

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts
  •