Hetzner mit Logout-Problemen

Langsam tut es einfach nur noch weh, was man bei Hetzner alles zu sehen kriegt. Wenn ihr auch nur halbswegs an Webdesign interessiert sein solltet, dann haltet euch lieber vom Webmail-Interface von Hetzner fern!

Nein, das Problem ist nicht, dass das ganze auf Horde basiert. Das Problem ist, dass Hetzner daran rumgefrickelt hat und ein sogenanntes "MailAdmin"-Modul einsetzt, das ich bisher noch nirgendwo anders gesehen habe - zum Glück.

Hetzner MailAdmin

Dieser MailAdmin gibt den Leuten die Möglichkeit, ihr Passwort zu ändern und E-Mail-Forwardings einzurichten. Soweit ganz nett. Um das ganze für den hMailServer zu realisieren, musste ich damals schon tief in die Trickkiste greifen.

Wirklich gut gelungen ist dieses Ding allerdings nicht. Versucht man nämlich mal, sich dort auszuloggen, kommt man zuerst auf diese wunderschöne, Vertrauen erweckende Seite, die einem zu verstehen gibt, dass der Logout erfolgreich war.

MailAdmin-Logout

Wenn man danach versucht, sich neu einzuloggen, wird man mit einem Login-Screen begrüßt. Man scheint also wirklich ausgeloggt worden zu sein. Wirklich toll!

MailAdmin-Login

Dem geneigten Leser wird aufgefallen sein, dass trotz Logout links immernoch die Menüleiste von Horde zu sehen ist. Und jetzt ratet mal, was passiert, wenn man in dieser Leiste einfach wieder auf den MailAdmin-Button klickt. Genau! Man ist wieder eingeloggt. Tolle Wurst! Damit man überhaupt versteht, warum man diesen Logout-Link unbedingt verwenden sollte und wann es überhaupt Sinn macht, muss man sich die Anwendung erstmal genauer ansehen.

Der MailAdmin-Button macht anscheinend nichts anderes, als die Adresse mail.your-server.de/mailadmin/ aufzurufen. Wenn ihr mich fragt, wird das ganze deshalb gemacht, um das Cookie auslesen zu können, das Horde angelegt hat. Die Seite macht nämlich nichts anderes, als auf die Adresse "www[Zahl].your-server.de/admin/?form_login=[Mailadresse]&form_passwd=[Passwort]&A=checkin&setlang=de" weiterzuleiten. Die Informationen [Zahl], [Mailadresse] und [Passwort] wurde wahrscheinlich anhand der Informationen im Cookie aus irgendeiner Datenbank gefischt.

Warum ich denke, dass die Informationen aus dem - von Horde angelegten - Cookie verwendet werden? Ganz einfach: Weil die MailAdmin-Adresse nicht mehr funktioniert, wenn man sich aus Horde ausgeloggt hat.
Ein Problem bleibt dieser ganze zusammengeschusterte Kram allerdings trotzdem. Denn, oh wunder! Die Seite, auf die man weitergeleitet wurde, legt einen Cookie und eine Session an. Dank dieser beiden Dinge kommt man durch direktes Aufrufen an die Admin-Oberfläche, obwohl man sich aus Horde ausgeloggt hat!
Wenn man also den MailAdmin aufgerufen hat, muss man sich auch explizit aus beiden Seiten (dem MailAdmin und Horde) ausloggen. Ehrlich gesagt würde es mich wundern, wenn das irgendjemand einfach so macht.
Eingeloggte Grüße, Kenny

1 Kommentar » Schreibe einen Kommentar

Schreibe einen Kommentar

Um Ihnen beim weiteren Kommentieren auf dieser Webseite die erneute Eingabe Ihrer Daten zu ersparen, wird beim Absenden Ihres Kommentars ein Cookie an Ihren Browser gesendet und von diesem gespeichert. Mit dem Absenden eines Kommentars auf dieser Webseite stimmen Sie der Speicherung und Übertragung dieses Cookies explizit zu.

Pflichtfelder sind mit * markiert.