Очень занятная загадка!!!!!!

[Grandsire]

Интересная тема получилась...Один пользователь с форума другому пользователю кидает в аське ссылку с форума на одну тему.

Тот заходит по ней и видит,что он вошел под логами того парня,который дал ссылку.

Того кто дал ссылку выкинуло в статус гости

Дают мне эту ссылку тут-же.Захожу в тему и я становлюсь тем первым парнем..с его логами.

А первого и второго перекидывает на мои логи...обоих..

Полный пипец называется

Как такое может быть в принципе..

Успел сделать скрин адресной строки

http://s2.ipicture.ru/uploads/090813/xTMufzTS0q.jpg

Там в строке появилась куча циферек лишних...

Потом смотрю что-то комп подвисать начал-перезагрузил,почистил куки и у себя и на форуме.

Зашел по новой-все нормально.В той теме в строке опять нормальный адрес.

Спрашиваю как у тех ребят,посоветовал им куки почистить-они говорят сейчас все ОК...

И что это такое было? ИЛи еще сидит какая-то гадость?

Изменено 12 Августа 2009 пользователем Grandsire

[Док]

Володь, а не могли прислать прогу, для похищения паролей, как бы по этой ссылки ?

Ребята знакомые ?

А то есть прога, что отсылаешь ссылку и кто открывает эту ссылку, то автоматом ворует пароли

[Grandsire]

Да это наши форумчане в теме про свап двигателя обсуждали свои вопросы)))Это НЕ прога какая-то думаю..Да и сама ссылка то с форума,с темы одной. Изменено 12 Августа 2009 пользователем Grandsire

[Док]

Понятно, тогда может спецы придут и что скажут по этому вопросу

Я такого не встречал, не обсуждение здесь, не таких проблем на форуме

[FatCat]

Дык в строке идентификатор сессии передался; по ссылке и попадали в чужую сессию.

 

Руки не дойдут никак убрать выдачу сессии в адресную строку и сделать всех гостей по именам, отдав именем айпишник - по аналогии с тем, как делаются сессии ботам без идентификатора в адресной строке.

Разработчики ступили 10 лет назад при разработке самой первой версии, и вот теперь эта тупость из версии в версию кочует.

Изменено 12 Августа 2009 пользователем FatCat

[Grandsire]

Дык в строке идентификатор сессии передался; по ссылке и попадали в чужую сессию.

 

Руки не дойдут никак убрать выдачу сессии в адресную строку и сделать всех гостей по именам, отдав именем айпишник - по аналогии с тем, как делаются сессии ботам без идентификатора в адресной строке.

Разработчики ступили 10 лет назад при разработке самой первой версии, и вот теперь эта тупость из версии в версию кочует.

 

А что надо,что бы оперативно это сделать-ведь так могут и накуролесить не по детски на форуме..

[FarStar]

В настройках куках (а английской версии: TOOLS & SETTINGS->Cookies) поставьте точку на Yes в последней настройке "Create a stronghold auto-log in cookie?". Тогда при смене ip-адреса из сессии будет вышвыривать в гости. Это опция как раз нужна, чтобы предотвратить подмену сессии злоумышленником.

[Ritsuka]

Угу, а еще есть проверка идентификатора браузера - тоже полезно.

 

Grandsire, это не баг, просто у вас в настройках выставлен минимальный уровень безопасности касаемо сессий. А получить s=%ID% в строке адреса очень легко - если у вас на форум ведут два домена - www.example.com и example.com, не выставлены в настройках мультидоменные ".example.com" cookies и в настройках стоит, допустим, www.example.com как адрес форума, то, авторизовавшись на example.com, вы получите в строку адреса ту самую сессию, т.к. привязать вам правильную cookie форуму не удастся, а вторизовывать то как-то надо))

Изменено 13 Августа 2009 пользователем Ritsuka

[Grandsire]

В настройках куках (а английской версии: TOOLS & SETTINGS->Cookies) поставьте точку на Yes в последней настройке "Create a stronghold auto-log in cookie?". Тогда при смене ip-адреса из сессии будет вышвыривать в гости. Это опция как раз нужна, чтобы предотвратить подмену сессии злоумышленником.

В русской версии в куках есть это

Создавать защищенные cookie при авторизации?

Если опция включена, при авторизации пользователя создается дополнительная cookie, содержащая зашифрованную географическую информацию, что делает практически невозможной подмену cookie. Выключите только в том случае, если пользователи не могут оставаться авторизованными Да\Нет

 

В безопасности такое

Проверить IP адрес пользователя при проверке сессии

Если функция включена, IP адрес пользователя должен совпадать со значением, хранимым таблице сессий. Отключите данную функцию в интранете, когда многие пользователи имеют один и тот же IP адрес.

Да\Нет

 

В обоих случаях лучше Да,Да?

[desagr]

Наверное Да Нет..

Почему нет? Пример-динамический ip-адрес.

[Grandsire]

Угу, а еще есть проверка идентификатора браузера - тоже полезно.

 

Grandsire, это не баг, просто у вас в настройках выставлен минимальный уровень безопасности касаемо сессий. А получить s=%ID% в строке адреса очень легко - если у вас на форум ведут два домена - www.example.com и example.com, не выставлены в настройках мультидоменные ".example.com" cookies и в настройках стоит, допустим, www.example.com как адрес форума, то, авторизовавшись на example.com, вы получите в строку адреса ту самую сессию, т.к. привязать вам правильную cookie форуму не удастся, а вторизовывать то как-то надо))

У меня в

Домен Cookie

Совет: используйте .your-domain.com для глобальных cookie

 

Стоит forum.ru

 

Наверное Да Нет..

Почему нет? Пример-динамический ip-адрес.

 

Во втором случае и стоит -нет.

[desagr]

Но Вы же спросили-я и ответил

[Grandsire]

Но Вы же спросили-я и ответил

Да я к тому,что совпало с рекомендацией))Спасибо!)

з.ы.

ну и тормозило-еле дождался пока отвечу и при заходе на форум то же увидел сессию в строке браузера вверху.

 

)) Но это было короткое время-потом при ссылках по форуму ничего лишнее не проскакивает.

Изменено 13 Августа 2009 пользователем Grandsire

[Ritsuka]

Совет: используйте .your-domain.com для глобальных cookie

Стоит forum.ru

 

А имеет смысл поставить .forum.ru - точку в начале. Правда, это справедливо только для ситуации, когда вы контролируете все субдомены. В противном случае "соседи" смогут увести у вас аккаунты =)

[Grandsire]

У нас нет субдоменов и прочего))Надо ли в этом случае ставить точку?Ведь в строке полного адреса она и так есть.

http://www.сайт.ru/

[FatCat]

Grandsire, это не баг

Ага, эта фича, чтобы с одного айпишника 2 разных гостя могли получить разные сессии.

Посмотрите как сделаны сессии для ботов. Никакой путаницы, и никаких идиотских идентификаторов в адресной строке. Да, у ботов уникальный юзерагент для опознавания. А что мешает считать у гостей уникальным айпишник?

А с этим бредоидиотизмом сессий в URL чудак находит твой форум в яндексе, сдуру кликает дважды, у него открывается 2 окна, а у меня как у идиота две разных сессии на этого посетителя и вся статистика посещаемости летит псу под хвост. Сейчас выстраиваю серьезную аналитическую систему, и постоянно спотыкаюсь на сессиях...

[Ritsuka]

Точка в начале домена cookies означает маску "любое слово или вообще ничего".example.com.

 

Т.е., cookie для домена .example.com будет работать на всех доменах, в том числе на:

http://example.com
http://www.example.com
http://qqq.example.com
http://i-am-a-robot.example.com
http://sex.narkotiki.i.rock-n-roll.example.com
etc

 

А вот cookie домена www.example.com будет работать только для http://www.example.com.

[Grandsire]

хорошо..но я не уловлю связь между теоретической точкой и тем,что у нас произошло.))

[Ritsuka]

А получить s=%ID% в строке адреса очень легко - если у вас на форум ведут два домена - www.example.com и example.com, не выставлены в настройках мультидоменные ".example.com" cookies и в настройках стоит, допустим, www.example.com как адрес форума, то, авторизовавшись на example.com, вы получите в строку адреса ту самую сессию

[FarStar]

хорошо..но я не уловлю связь между теоретической точкой и тем,что у нас произошло.))

Да нет тут никакой связи. Точнее прямой нет.

 

А прямая связь уже выше озвучивалась:

Создавать защищенные cookie при авторизации?

Если опция включена, при авторизации пользователя создается дополнительная cookie, содержащая зашифрованную географическую информацию, что делает практически невозможной подмену cookie. Выключите только в том случае, если пользователи не могут оставаться авторизованными Да\Нет

[Grandsire]

FarStar

Ну эту настройку я включил конечно..А что еще полезно бы сделать,может на уровне скриптов где-то?

Изменено 13 Августа 2009 пользователем Grandsire

[FatCat]

А получить s=%ID% в строке адреса очень легко - если у вас на форум ведут два домена - www.example.com и example.com, не выставлены в настройках мультидоменные ".example.com" cookies и в настройках стоит, допустим, www.example.com как адрес форума, то, авторизовавшись на example.com, вы получите в строку адреса ту самую сессию

Боюсь, Вы путаете.

Давайте подумаем логически.

Захожу я на example.com. Получаю сессию. В адресной строке конечно же никакой сессии еще нет. Но в коде страницы в теге FORM уже адрес с "www".

Жму сабмит, и попадаю на www.example.com; при этом у меня нет сессии под этот домен ни в адресной строке, ни в куках; и мне открывается ВТОРАЯ сессия - гостевая. Набираю с руки адрес example.com - и вижу, что я авторизован. Но все ссылки уводят на www.example.com, где я опять гость.

А сессию в адресную строку получают не те, кто скачет между доменами, а те, у кого куки отключены.

[Arhar]

А что мешает считать у гостей уникальным айпишник?

у меня был недопровайдер "нетка" сильно много времени назад, там анлим у всех имел 1 внешний ip адрес "чето-там.чето-там.0.1"

 

ну а попасть подставляя идентификатор сессии под другую учетку ничего не стоит, я уже писал как там происходит авторизация, не помню где, наверно у Сонга

 

 

http://forum.sysman.ru/index.php?showtopic...st&p=198107

[Grandsire]

Arhar,

а что по реально возникшей ситуации скажете?Есть вероятность повторения?

[FatCat]

Arhar,

а что по реально возникшей ситуации скажете?Есть вероятность повторения?

А чем она так страшна?

Ну вошел я по идентификатору сессии от ника Arhar, ну увидел в шапке Вошли как: Arhar ( Выход )... И что дальше?

Любое действие, любой переход по страницам, и либо меня авторизует собой по паролю в куках, либо выкинет в гостя; я все равно ничего не смогу сделать от имени другого пользователя или влезть в его конфиденциальную информацию.

[Grandsire]

Arhar,

а что по реально возникшей ситуации скажете?Есть вероятность повторения?

А чем она так страшна?

Ну вошел я по идентификатору сессии от ника Arhar, ну увидел в шапке Вошли как: Arhar ( Выход )... И что дальше?

Любое действие, любой переход по страницам, и либо меня авторизует собой по паролю в куках, либо выкинет в гостя; я все равно ничего не смогу сделать от имени другого пользователя или влезть в его конфиденциальную информацию.

Теперь понятно)Спасибо.