Grandsire Опубликовано 12 Августа 2009 Жалоба Поделиться Опубликовано 12 Августа 2009 (изменено) Интересная тема получилась...Один пользователь с форума другому пользователю кидает в аське ссылку с форума на одну тему.Тот заходит по ней и видит,что он вошел под логами того парня,который дал ссылку.Того кто дал ссылку выкинуло в статус гостиДают мне эту ссылку тут-же.Захожу в тему и я становлюсь тем первым парнем..с его логами.А первого и второго перекидывает на мои логи...обоих..Полный пипец называется Как такое может быть в принципе..Успел сделать скрин адресной строки http://s2.ipicture.ru/uploads/090813/xTMufzTS0q.jpg Там в строке появилась куча циферек лишних... Потом смотрю что-то комп подвисать начал-перезагрузил,почистил куки и у себя и на форуме.Зашел по новой-все нормально.В той теме в строке опять нормальный адрес.Спрашиваю как у тех ребят,посоветовал им куки почистить-они говорят сейчас все ОК...И что это такое было? ИЛи еще сидит какая-то гадость? Изменено 12 Августа 2009 пользователем Grandsire Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Док Опубликовано 12 Августа 2009 Жалоба Поделиться Опубликовано 12 Августа 2009 Володь, а не могли прислать прогу, для похищения паролей, как бы по этой ссылки ?Ребята знакомые ?А то есть прога, что отсылаешь ссылку и кто открывает эту ссылку, то автоматом ворует пароли Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Grandsire Опубликовано 12 Августа 2009 Автор Жалоба Поделиться Опубликовано 12 Августа 2009 (изменено) Да это наши форумчане в теме про свап двигателя обсуждали свои вопросы)))Это НЕ прога какая-то думаю..Да и сама ссылка то с форума,с темы одной. Изменено 12 Августа 2009 пользователем Grandsire Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Док Опубликовано 12 Августа 2009 Жалоба Поделиться Опубликовано 12 Августа 2009 Понятно, тогда может спецы придут и что скажут по этому вопросуЯ такого не встречал, не обсуждение здесь, не таких проблем на форуме Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 FatCat Опубликовано 12 Августа 2009 Жалоба Поделиться Опубликовано 12 Августа 2009 (изменено) Дык в строке идентификатор сессии передался; по ссылке и попадали в чужую сессию. Руки не дойдут никак убрать выдачу сессии в адресную строку и сделать всех гостей по именам, отдав именем айпишник - по аналогии с тем, как делаются сессии ботам без идентификатора в адресной строке.Разработчики ступили 10 лет назад при разработке самой первой версии, и вот теперь эта тупость из версии в версию кочует. Изменено 12 Августа 2009 пользователем FatCat Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Grandsire Опубликовано 13 Августа 2009 Автор Жалоба Поделиться Опубликовано 13 Августа 2009 Дык в строке идентификатор сессии передался; по ссылке и попадали в чужую сессию. Руки не дойдут никак убрать выдачу сессии в адресную строку и сделать всех гостей по именам, отдав именем айпишник - по аналогии с тем, как делаются сессии ботам без идентификатора в адресной строке.Разработчики ступили 10 лет назад при разработке самой первой версии, и вот теперь эта тупость из версии в версию кочует. А что надо,что бы оперативно это сделать-ведь так могут и накуролесить не по детски на форуме.. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 FarStar Опубликовано 13 Августа 2009 Жалоба Поделиться Опубликовано 13 Августа 2009 В настройках куках (а английской версии: TOOLS & SETTINGS->Cookies) поставьте точку на Yes в последней настройке "Create a stronghold auto-log in cookie?". Тогда при смене ip-адреса из сессии будет вышвыривать в гости. Это опция как раз нужна, чтобы предотвратить подмену сессии злоумышленником. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Ritsuka Опубликовано 13 Августа 2009 Жалоба Поделиться Опубликовано 13 Августа 2009 (изменено) Угу, а еще есть проверка идентификатора браузера - тоже полезно. Grandsire, это не баг, просто у вас в настройках выставлен минимальный уровень безопасности касаемо сессий. А получить s=%ID% в строке адреса очень легко - если у вас на форум ведут два домена - www.example.com и example.com, не выставлены в настройках мультидоменные ".example.com" cookies и в настройках стоит, допустим, www.example.com как адрес форума, то, авторизовавшись на example.com, вы получите в строку адреса ту самую сессию, т.к. привязать вам правильную cookie форуму не удастся, а вторизовывать то как-то надо)) Изменено 13 Августа 2009 пользователем Ritsuka Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Grandsire Опубликовано 13 Августа 2009 Автор Жалоба Поделиться Опубликовано 13 Августа 2009 В настройках куках (а английской версии: TOOLS & SETTINGS->Cookies) поставьте точку на Yes в последней настройке "Create a stronghold auto-log in cookie?". Тогда при смене ip-адреса из сессии будет вышвыривать в гости. Это опция как раз нужна, чтобы предотвратить подмену сессии злоумышленником.В русской версии в куках есть этоСоздавать защищенные cookie при авторизации?Если опция включена, при авторизации пользователя создается дополнительная cookie, содержащая зашифрованную географическую информацию, что делает практически невозможной подмену cookie. Выключите только в том случае, если пользователи не могут оставаться авторизованными Да\Нет В безопасности такоеПроверить IP адрес пользователя при проверке сессииЕсли функция включена, IP адрес пользователя должен совпадать со значением, хранимым таблице сессий. Отключите данную функцию в интранете, когда многие пользователи имеют один и тот же IP адрес. Да\Нет В обоих случаях лучше Да,Да? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 desagr Опубликовано 13 Августа 2009 Жалоба Поделиться Опубликовано 13 Августа 2009 Наверное Да Нет..Почему нет? Пример-динамический ip-адрес. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Grandsire Опубликовано 13 Августа 2009 Автор Жалоба Поделиться Опубликовано 13 Августа 2009 Угу, а еще есть проверка идентификатора браузера - тоже полезно. Grandsire, это не баг, просто у вас в настройках выставлен минимальный уровень безопасности касаемо сессий. А получить s=%ID% в строке адреса очень легко - если у вас на форум ведут два домена - www.example.com и example.com, не выставлены в настройках мультидоменные ".example.com" cookies и в настройках стоит, допустим, www.example.com как адрес форума, то, авторизовавшись на example.com, вы получите в строку адреса ту самую сессию, т.к. привязать вам правильную cookie форуму не удастся, а вторизовывать то как-то надо))У меня в Домен Cookie Совет: используйте .your-domain.com для глобальных cookie Стоит forum.ru Наверное Да Нет..Почему нет? Пример-динамический ip-адрес. Во втором случае и стоит -нет. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 desagr Опубликовано 13 Августа 2009 Жалоба Поделиться Опубликовано 13 Августа 2009 Но Вы же спросили-я и ответил Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Grandsire Опубликовано 13 Августа 2009 Автор Жалоба Поделиться Опубликовано 13 Августа 2009 (изменено) Но Вы же спросили-я и ответил Да я к тому,что совпало с рекомендацией))Спасибо!)з.ы.ну и тормозило-еле дождался пока отвечу и при заходе на форум то же увидел сессию в строке браузера вверху. )) Но это было короткое время-потом при ссылках по форуму ничего лишнее не проскакивает. Изменено 13 Августа 2009 пользователем Grandsire Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Ritsuka Опубликовано 13 Августа 2009 Жалоба Поделиться Опубликовано 13 Августа 2009 Совет: используйте .your-domain.com для глобальных cookieСтоит forum.ru А имеет смысл поставить .forum.ru - точку в начале. Правда, это справедливо только для ситуации, когда вы контролируете все субдомены. В противном случае "соседи" смогут увести у вас аккаунты =) Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Grandsire Опубликовано 13 Августа 2009 Автор Жалоба Поделиться Опубликовано 13 Августа 2009 У нас нет субдоменов и прочего))Надо ли в этом случае ставить точку?Ведь в строке полного адреса она и так есть.http://www.сайт.ru/ Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 FatCat Опубликовано 13 Августа 2009 Жалоба Поделиться Опубликовано 13 Августа 2009 Grandsire, это не багАга, эта фича, чтобы с одного айпишника 2 разных гостя могли получить разные сессии. Посмотрите как сделаны сессии для ботов. Никакой путаницы, и никаких идиотских идентификаторов в адресной строке. Да, у ботов уникальный юзерагент для опознавания. А что мешает считать у гостей уникальным айпишник?А с этим бредоидиотизмом сессий в URL чудак находит твой форум в яндексе, сдуру кликает дважды, у него открывается 2 окна, а у меня как у идиота две разных сессии на этого посетителя и вся статистика посещаемости летит псу под хвост. Сейчас выстраиваю серьезную аналитическую систему, и постоянно спотыкаюсь на сессиях... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Ritsuka Опубликовано 13 Августа 2009 Жалоба Поделиться Опубликовано 13 Августа 2009 Точка в начале домена cookies означает маску "любое слово или вообще ничего".example.com. Т.е., cookie для домена .example.com будет работать на всех доменах, в том числе на:http://example.com http://www.example.com http://qqq.example.com http://i-am-a-robot.example.com http://sex.narkotiki.i.rock-n-roll.example.com etc А вот cookie домена www.example.com будет работать только для http://www.example.com. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Grandsire Опубликовано 13 Августа 2009 Автор Жалоба Поделиться Опубликовано 13 Августа 2009 хорошо..но я не уловлю связь между теоретической точкой и тем,что у нас произошло.)) Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Ritsuka Опубликовано 13 Августа 2009 Жалоба Поделиться Опубликовано 13 Августа 2009 А получить s=%ID% в строке адреса очень легко - если у вас на форум ведут два домена - www.example.com и example.com, не выставлены в настройках мультидоменные ".example.com" cookies и в настройках стоит, допустим, www.example.com как адрес форума, то, авторизовавшись на example.com, вы получите в строку адреса ту самую сессию Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 FarStar Опубликовано 13 Августа 2009 Жалоба Поделиться Опубликовано 13 Августа 2009 хорошо..но я не уловлю связь между теоретической точкой и тем,что у нас произошло.))Да нет тут никакой связи. Точнее прямой нет. А прямая связь уже выше озвучивалась:Создавать защищенные cookie при авторизации?Если опция включена, при авторизации пользователя создается дополнительная cookie, содержащая зашифрованную географическую информацию, что делает практически невозможной подмену cookie. Выключите только в том случае, если пользователи не могут оставаться авторизованными Да\Нет Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Grandsire Опубликовано 13 Августа 2009 Автор Жалоба Поделиться Опубликовано 13 Августа 2009 (изменено) FarStarНу эту настройку я включил конечно..А что еще полезно бы сделать,может на уровне скриптов где-то? Изменено 13 Августа 2009 пользователем Grandsire Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 FatCat Опубликовано 13 Августа 2009 Жалоба Поделиться Опубликовано 13 Августа 2009 А получить s=%ID% в строке адреса очень легко - если у вас на форум ведут два домена - www.example.com и example.com, не выставлены в настройках мультидоменные ".example.com" cookies и в настройках стоит, допустим, www.example.com как адрес форума, то, авторизовавшись на example.com, вы получите в строку адреса ту самую сессиюБоюсь, Вы путаете.Давайте подумаем логически.Захожу я на example.com. Получаю сессию. В адресной строке конечно же никакой сессии еще нет. Но в коде страницы в теге FORM уже адрес с "www".Жму сабмит, и попадаю на www.example.com; при этом у меня нет сессии под этот домен ни в адресной строке, ни в куках; и мне открывается ВТОРАЯ сессия - гостевая. Набираю с руки адрес example.com - и вижу, что я авторизован. Но все ссылки уводят на www.example.com, где я опять гость.А сессию в адресную строку получают не те, кто скачет между доменами, а те, у кого куки отключены. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Arhar Опубликовано 13 Августа 2009 Жалоба Поделиться Опубликовано 13 Августа 2009 А что мешает считать у гостей уникальным айпишник?у меня был недопровайдер "нетка" сильно много времени назад, там анлим у всех имел 1 внешний ip адрес "чето-там.чето-там.0.1" ну а попасть подставляя идентификатор сессии под другую учетку ничего не стоит, я уже писал как там происходит авторизация, не помню где, наверно у Сонга http://forum.sysman.ru/index.php?showtopic...st&p=198107 Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Grandsire Опубликовано 13 Августа 2009 Автор Жалоба Поделиться Опубликовано 13 Августа 2009 Arhar,а что по реально возникшей ситуации скажете?Есть вероятность повторения? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 FatCat Опубликовано 13 Августа 2009 Жалоба Поделиться Опубликовано 13 Августа 2009 Arhar,а что по реально возникшей ситуации скажете?Есть вероятность повторения?А чем она так страшна?Ну вошел я по идентификатору сессии от ника Arhar, ну увидел в шапке Вошли как: Arhar ( Выход )... И что дальше?Любое действие, любой переход по страницам, и либо меня авторизует собой по паролю в куках, либо выкинет в гостя; я все равно ничего не смогу сделать от имени другого пользователя или влезть в его конфиденциальную информацию. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Grandsire Опубликовано 13 Августа 2009 Автор Жалоба Поделиться Опубликовано 13 Августа 2009 Arhar,а что по реально возникшей ситуации скажете?Есть вероятность повторения?А чем она так страшна?Ну вошел я по идентификатору сессии от ника Arhar, ну увидел в шапке Вошли как: Arhar ( Выход )... И что дальше?Любое действие, любой переход по страницам, и либо меня авторизует собой по паролю в куках, либо выкинет в гостя; я все равно ничего не смогу сделать от имени другого пользователя или влезть в его конфиденциальную информацию.Теперь понятно)Спасибо. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Вопрос
Grandsire
Интересная тема получилась...Один пользователь с форума другому пользователю кидает в аське ссылку с форума на одну тему.
Тот заходит по ней и видит,что он вошел под логами того парня,который дал ссылку.
Того кто дал ссылку выкинуло в статус гости
Дают мне эту ссылку тут-же.Захожу в тему и я становлюсь тем первым парнем..с его логами.
А первого и второго перекидывает на мои логи...обоих..
Полный пипец называется
Как такое может быть в принципе..
Успел сделать скрин адресной строки
http://s2.ipicture.ru/uploads/090813/xTMufzTS0q.jpg
Там в строке появилась куча циферек лишних...
Потом смотрю что-то комп подвисать начал-перезагрузил,почистил куки и у себя и на форуме.
Зашел по новой-все нормально.В той теме в строке опять нормальный адрес.
Спрашиваю как у тех ребят,посоветовал им куки почистить-они говорят сейчас все ОК...
И что это такое было? ИЛи еще сидит какая-то гадость?
Изменено пользователем GrandsireСсылка на комментарий
Поделиться на других сайтах
31 ответ на этот вопрос
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.