Advanced search  

News:

cpg1.5.48 Security release - upgrade mandatory!
The Coppermine development team is releasing a security update for Coppermine in order to counter a recently discovered vulnerability. It is important that all users who run version cpg1.5.46 or older update to this latest version as soon as possible.
[more]

Pages: [1]   Go Down

Author Topic: Password-Request abgelaufen ?  (Read 4408 times)

0 Members and 1 Guest are viewing this topic.

redlock

  • Coppermine novice
  • *
  • Offline Offline
  • Posts: 25
Password-Request abgelaufen ?
« on: February 03, 2011, 12:41:57 pm »

Hallo,

nach dem update von version 1.4.5 auf 1.5.12 gibt es folgendes Phänomen:
Bei der Funktion "Passwort vergessen" wird zwar eine E-Mail mit Link dem user gesendet, aber anscheinend ist die Session des Links zeitlich begrenzt.
http://fotocommunity.xxx.de/forgot_passwd.php?key=2e1b1666c8e221d4674c95836e531036&id=2

Als ich 1 Stunde nach Empfang der E-Mail auf den Link geklickt habe, gabs folgende Meldung:
"Die Session für die Passwort-Erinnerung ist ungültig oder abgelaufen. "

Hat bitte jemand einen Tipp? Wieso ist der Key überhaupt als ablaufbare Session festgelegt?

Vielen Dank
Logged

Αndré

  • Administrator
  • Coppermine addict
  • ****
  • Country: de
  • Offline Offline
  • Gender: Male
  • Posts: 15764
Re: Password-Request abgelaufen ?
« Reply #1 on: February 03, 2011, 01:40:19 pm »

Wieso ist der Key überhaupt als ablaufbare Session festgelegt?
Ein Blick auf den Code verrät dir die Antwort:
Code: [Select]
   $sql = "SELECT null FROM {$cpg_udb->sessionstable} WHERE session_id = '" . md5($CLEAN['key'] . $CLEAN['id']) . "'";

    $result = cpg_db_query($sql);

    if (!mysql_num_rows($result)) {
        cpg_die($lang_forgot_passwd_php['forgot_passwd'], $lang_forgot_passwd_php['illegal_session']);
    }

Der Key ist der Name der Session und die werden nach 1 Stunde verworfen, wenn es keine "immer angemeldet bleiben"-Session ist.


Hat bitte jemand einen Tipp?
Benutz die "Passwort vergessen"-Funktion erneut und klick den Link diesmal gleich an, nachdem du die E-Mail erhalten ist.
Logged

redlock

  • Coppermine novice
  • *
  • Offline Offline
  • Posts: 25
Re: Password-Request abgelaufen ?
« Reply #2 on: February 03, 2011, 01:58:58 pm »

Vielen Dank.

Kann man irgendwo die Sessiontime hochstellen?
Logged

Αndré

  • Administrator
  • Coppermine addict
  • ****
  • Country: de
  • Offline Offline
  • Gender: Male
  • Posts: 15764
Re: Password-Request abgelaufen ?
« Reply #3 on: February 03, 2011, 02:04:09 pm »

Code: (bridge/coppermine.inc.php) [Select]
                // Lifetime of 'remember me' session is 2 weeks
                $rememberme_life_time = time()-(CPG_WEEK*2);

                // Lifetime of normal session is 1 hour
                $session_life_time = time()-CPG_HOUR;
Logged

redlock

  • Coppermine novice
  • *
  • Offline Offline
  • Posts: 25
Re: Password-Request abgelaufen ?
« Reply #4 on: February 03, 2011, 03:15:15 pm »

Ich habe jetzt
Code: [Select]
-CPG_HOUR in
Code: [Select]
-(CPG_HOUR*3) geändert.

Vielen Dank
Logged

Αndré

  • Administrator
  • Coppermine addict
  • ****
  • Country: de
  • Offline Offline
  • Gender: Male
  • Posts: 15764
Re: Password-Request abgelaufen ?
« Reply #5 on: February 03, 2011, 03:24:59 pm »

Markiere Thema als gelöst. Das kannst du in Zukunft auch selbst erledigen (siehe Forenregeln).
Logged
Pages: [1]   Go Up
 

Page created in 0.019 seconds with 20 queries.