Andere können per Link auf mein Konto zugreifen

Alsu das ergibt voll gar keinen Sinn, weil der Benutzer ja nicht im Link mit drin ist. Da muss irgendwas anderes schiefgelaufen sein. War die Person vielleicht an einem PC, an dem du dich einmal eingeloggt hattest?

-> hier noch mal als Beispiel ein Link https://www.gw2-rollenspiel.de…auf-mein-konto-zugreifen/

@Doofe Nuss Das ist jemanden auch mal passiert den ich kenne. Es klingt total bekloppt aber leider ist es wirklich so. Ich hab auch mal einen Link von demjenigen Profil bekommen und war plötzlich mit seinem Acc hier im Forum angemeldet
Ist allerdings schon zwei Monate her oder so.

Also der einzige Link bei dem das Profil mit drin steht ist tatsächlich einer vom eigenen Profil. Vielleicht läuft irgendwas damit falsch? Vielleicht direkt nachm Profil bearbeiten oder so?

Ich finde das komische daran ist, dass in dem Link ja gar keine Information ist, von wem der Link ist, wenn ihr versteht, was ich meine. Also woher weiß der andere, welchen Account er erwischen muss? Ist da irgendwo was verstecktes drin?

@daspete du bist der Techdobbie, weißt du da was?

Ich denke, ich weiß woran es liegt. Kann es sein, @Levi Iorga, dass du der Person einen Link mit eigener SessionID zugeschickt hast?

Wichtig dabei ist das "&s" hinter dem "normalen" Link. Dahinter kommt eine längere Folge an Zeichen. Damit kann man sich auch rein per URL im Forum 'anmelden'. Siehe Bild.

Kurzum: Darauf achten keine Links mit SessionID zu verschicken!

EDIT: Konnte es reproduzieren, indem ich den Browser (Chrome) neu geöffnet habe, das Forum aufgerufen habe und danach direkt per Reiter auf "Forum" gegangen bin. Nur dann erstellt sich bei mir eine SessionID im Link:

gw2-rollenspiel.de/gallery/index.php?image/2561/

EDIT: Verkürzt, da Pete das einmal ordentlich erklärt.

Da war Kahlee schneller - gute Erklärung und das ist das ganze "Problem", lässt sich technisch bedingt leider nicht vermeiden. Eigentlich soll das Forum die Session per Cookie speichern - wenn es (noch) kein Cookie gibt oder das Erstellen von Cookies abgelehnt wird fällt das Forum in diesen "alten" Modus der Session-Verwaltung zurück und schreibt die ID der Session an die Adresse ran.

Eben aus dem Grund das man über verschickte Links die Sessions anderer Leute übernehmen kann werden heutzutage eigentlich immer Cookies benutzt. Das Forum ist auch von Haus aus so eingestellt, dass das Forum automatisch nach dem Anmelden einen Cookie setzt.
Wenn die Session-Cookies nicht gespeichert bzw. abgelehnt werden (oder dich halt jedes mal beim Benutzen neu anmeldest) und es kein Session-Cookie nach dem Anmelden gibt, dann fällt das Forum wie schon beschrieben auf die URL-Methode zurück. Wenn du in dem Zustand dann einen Link aus dem Forum rauskopierst, dann hängt (leider) die Session-ID drann, und dann wird der Empfänger des Links automatisch mit deinen Daten angemeldet, auch weil das Forum mehrere Sitzungen gleichzeitig pro User unterstützt. Wir können das ausschalten - aber dann gibts sehr wahrscheinlich auch Probleme, wenn du z.B. mehrere Tabs im Forum offen hast oder über PC und Handy gleichzeitig aufs Forum zugreifst. Woltlab schreibt sogar dazu, dass es nicht empfohlen wird, diese Funktion abzuschalten, eben deswegen.

Ansonsten ist das bei PHP-Applikationen ein bekanntes Problem, was sich allerdings nicht vermeiden lässt, einfach aufgrund der technischen Begebenheiten. Zumindest sollten sich die Folgen davon auf Software-Ebene eindämmen lassen, aber WoltLab hat da wohl nicht wirklich was gemacht einfach weil sie eben davon ausgehen dass die Sessions über Cookies verwaltet werden. Andere Systeme sind da besser, die beenden die Sitzung z.B. wenn sie einen Zugriff von zwei unterschiedlichen IPs feststellen. Macht das BurningBoard nicht, ich kanns leider nicht ändern