Zitat:
Zitat von Thomas Sassmannshausen
Die diversen Fehlermeldungen sollten jetzt wieder weg sein. Das Login wurde angepasst (Andreas, Check mal den Quelltext, keine Passwörter mehr in Klartext).
|
Ja, mir war gestern bereits aufgefallen, dass erste Seiten umgestellt waren auf "CGISESSION". Im TMI siehts aber noch schlecht aus:
- /cgi-mod/tmi enthält trainer_cookie mit Name+PW
- /cgi-bin/tmi enthält die Cookies trainer und pass mit jeweiligem Inhalt.
Da es keine HTTP-ONLY Cookies sind, kann man sie mit JS auslesen. Passwörter sind also noch immer abgreifbar.