Перейти к контенту
  • 0

Очень занятная загадка!!!!!!


Grandsire

Вопрос

Интересная тема получилась...Один пользователь с форума другому пользователю кидает в аське ссылку с форума на одну тему.

Тот заходит по ней и видит,что он вошел под логами того парня,который дал ссылку.

Того кто дал ссылку выкинуло в статус гости

Дают мне эту ссылку тут-же.Захожу в тему и я становлюсь тем первым парнем..с его логами.

А первого и второго перекидывает на мои логи...обоих..

Полный пипец называется :D

Как такое может быть в принципе..

Успел сделать скрин адресной строки

http://s2.ipicture.ru/uploads/090813/xTMufzTS0q.jpg

Там в строке появилась куча циферек лишних...

Потом смотрю что-то комп подвисать начал-перезагрузил,почистил куки и у себя и на форуме.

Зашел по новой-все нормально.В той теме в строке опять нормальный адрес.

Спрашиваю как у тех ребят,посоветовал им куки почистить-они говорят сейчас все ОК...

И что это такое было? ИЛи еще сидит какая-то гадость?

Изменено пользователем Grandsire
Ссылка на комментарий
Поделиться на других сайтах

Рекомендуемые сообщения

  • 0

Володь, а не могли прислать прогу, для похищения паролей, как бы по этой ссылки ?

Ребята знакомые ?

А то есть прога, что отсылаешь ссылку и кто открывает эту ссылку, то автоматом ворует пароли

Ссылка на комментарий
Поделиться на других сайтах

  • 0
Да это наши форумчане в теме про свап двигателя обсуждали свои вопросы)))Это НЕ прога какая-то думаю..Да и сама ссылка то с форума,с темы одной. Изменено пользователем Grandsire
Ссылка на комментарий
Поделиться на других сайтах

  • 0

Понятно, тогда может спецы придут и что скажут по этому вопросу

Я такого не встречал, не обсуждение здесь, не таких проблем на форуме

Ссылка на комментарий
Поделиться на других сайтах

  • 0

Дык в строке идентификатор сессии передался; по ссылке и попадали в чужую сессию.

 

Руки не дойдут никак убрать выдачу сессии в адресную строку и сделать всех гостей по именам, отдав именем айпишник - по аналогии с тем, как делаются сессии ботам без идентификатора в адресной строке.

Разработчики ступили 10 лет назад при разработке самой первой версии, и вот теперь эта тупость из версии в версию кочует.

Изменено пользователем FatCat
Ссылка на комментарий
Поделиться на других сайтах

  • 0
Дык в строке идентификатор сессии передался; по ссылке и попадали в чужую сессию.

 

Руки не дойдут никак убрать выдачу сессии в адресную строку и сделать всех гостей по именам, отдав именем айпишник - по аналогии с тем, как делаются сессии ботам без идентификатора в адресной строке.

Разработчики ступили 10 лет назад при разработке самой первой версии, и вот теперь эта тупость из версии в версию кочует.

 

А что надо,что бы оперативно это сделать-ведь так могут и накуролесить не по детски на форуме.. :D

Ссылка на комментарий
Поделиться на других сайтах

  • 0
В настройках куках (а английской версии: TOOLS & SETTINGS->Cookies) поставьте точку на Yes в последней настройке "Create a stronghold auto-log in cookie?". Тогда при смене ip-адреса из сессии будет вышвыривать в гости. Это опция как раз нужна, чтобы предотвратить подмену сессии злоумышленником.
Ссылка на комментарий
Поделиться на других сайтах

  • 0

Угу, а еще есть проверка идентификатора браузера - тоже полезно.

 

Grandsire, это не баг, просто у вас в настройках выставлен минимальный уровень безопасности касаемо сессий. А получить s=%ID% в строке адреса очень легко - если у вас на форум ведут два домена - www.example.com и example.com, не выставлены в настройках мультидоменные ".example.com" cookies и в настройках стоит, допустим, www.example.com как адрес форума, то, авторизовавшись на example.com, вы получите в строку адреса ту самую сессию, т.к. привязать вам правильную cookie форуму не удастся, а вторизовывать то как-то надо))

Изменено пользователем Ritsuka
Ссылка на комментарий
Поделиться на других сайтах

  • 0
В настройках куках (а английской версии: TOOLS & SETTINGS->Cookies) поставьте точку на Yes в последней настройке "Create a stronghold auto-log in cookie?". Тогда при смене ip-адреса из сессии будет вышвыривать в гости. Это опция как раз нужна, чтобы предотвратить подмену сессии злоумышленником.

В русской версии в куках есть это

Создавать защищенные cookie при авторизации?

Если опция включена, при авторизации пользователя создается дополнительная cookie, содержащая зашифрованную географическую информацию, что делает практически невозможной подмену cookie. Выключите только в том случае, если пользователи не могут оставаться авторизованными Да\Нет

 

В безопасности такое

Проверить IP адрес пользователя при проверке сессии

Если функция включена, IP адрес пользователя должен совпадать со значением, хранимым таблице сессий. Отключите данную функцию в интранете, когда многие пользователи имеют один и тот же IP адрес.

Да\Нет

 

В обоих случаях лучше Да,Да?

Ссылка на комментарий
Поделиться на других сайтах

  • 0
Угу, а еще есть проверка идентификатора браузера - тоже полезно.

 

Grandsire, это не баг, просто у вас в настройках выставлен минимальный уровень безопасности касаемо сессий. А получить s=%ID% в строке адреса очень легко - если у вас на форум ведут два домена - www.example.com и example.com, не выставлены в настройках мультидоменные ".example.com" cookies и в настройках стоит, допустим, www.example.com как адрес форума, то, авторизовавшись на example.com, вы получите в строку адреса ту самую сессию, т.к. привязать вам правильную cookie форуму не удастся, а вторизовывать то как-то надо))

У меня в

Домен Cookie

Совет: используйте .your-domain.com для глобальных cookie

 

Стоит forum.ru

 

Наверное Да Нет..

Почему нет? Пример-динамический ip-адрес.

 

Во втором случае и стоит -нет.

Ссылка на комментарий
Поделиться на других сайтах

  • 0
Но Вы же спросили-я и ответил :D

Да я к тому,что совпало с рекомендацией))Спасибо!)

з.ы.

ну и тормозило-еле дождался пока отвечу и при заходе на форум то же увидел сессию в строке браузера вверху.

 

)) Но это было короткое время-потом при ссылках по форуму ничего лишнее не проскакивает.

Изменено пользователем Grandsire
Ссылка на комментарий
Поделиться на других сайтах

  • 0
Совет: используйте .your-domain.com для глобальных cookie

Стоит forum.ru

 

А имеет смысл поставить .forum.ru - точку в начале. Правда, это справедливо только для ситуации, когда вы контролируете все субдомены. В противном случае "соседи" смогут увести у вас аккаунты =)

Ссылка на комментарий
Поделиться на других сайтах

  • 0

У нас нет субдоменов и прочего))Надо ли в этом случае ставить точку?Ведь в строке полного адреса она и так есть.

http://www.сайт.ru/

Ссылка на комментарий
Поделиться на других сайтах

  • 0
Grandsire, это не баг

Ага, эта фича, чтобы с одного айпишника 2 разных гостя могли получить разные сессии. :D

Посмотрите как сделаны сессии для ботов. Никакой путаницы, и никаких идиотских идентификаторов в адресной строке. Да, у ботов уникальный юзерагент для опознавания. А что мешает считать у гостей уникальным айпишник?

А с этим бредоидиотизмом сессий в URL чудак находит твой форум в яндексе, сдуру кликает дважды, у него открывается 2 окна, а у меня как у идиота две разных сессии на этого посетителя и вся статистика посещаемости летит псу под хвост. Сейчас выстраиваю серьезную аналитическую систему, и постоянно спотыкаюсь на сессиях...

Ссылка на комментарий
Поделиться на других сайтах

  • 0

Точка в начале домена cookies означает маску "любое слово или вообще ничего".example.com.

 

Т.е., cookie для домена .example.com будет работать на всех доменах, в том числе на:

http://example.com
http://www.example.com
http://qqq.example.com
http://i-am-a-robot.example.com
http://sex.narkotiki.i.rock-n-roll.example.com
etc

 

А вот cookie домена www.example.com будет работать только для http://www.example.com.

Ссылка на комментарий
Поделиться на других сайтах

  • 0
хорошо..но я не уловлю связь между теоретической точкой и тем,что у нас произошло.))
Ссылка на комментарий
Поделиться на других сайтах

  • 0
А получить s=%ID% в строке адреса очень легко - если у вас на форум ведут два домена - www.example.com и example.com, не выставлены в настройках мультидоменные ".example.com" cookies и в настройках стоит, допустим, www.example.com как адрес форума, то, авторизовавшись на example.com, вы получите в строку адреса ту самую сессию
Ссылка на комментарий
Поделиться на других сайтах

  • 0
хорошо..но я не уловлю связь между теоретической точкой и тем,что у нас произошло.))

Да нет тут никакой связи. Точнее прямой нет.

 

А прямая связь уже выше озвучивалась:

Создавать защищенные cookie при авторизации?

Если опция включена, при авторизации пользователя создается дополнительная cookie, содержащая зашифрованную географическую информацию, что делает практически невозможной подмену cookie. Выключите только в том случае, если пользователи не могут оставаться авторизованными Да\Нет

Ссылка на комментарий
Поделиться на других сайтах

  • 0

FarStar

Ну эту настройку я включил конечно..А что еще полезно бы сделать,может на уровне скриптов где-то?

Изменено пользователем Grandsire
Ссылка на комментарий
Поделиться на других сайтах

  • 0
А получить s=%ID% в строке адреса очень легко - если у вас на форум ведут два домена - www.example.com и example.com, не выставлены в настройках мультидоменные ".example.com" cookies и в настройках стоит, допустим, www.example.com как адрес форума, то, авторизовавшись на example.com, вы получите в строку адреса ту самую сессию

Боюсь, Вы путаете.

Давайте подумаем логически.

Захожу я на example.com. Получаю сессию. В адресной строке конечно же никакой сессии еще нет. Но в коде страницы в теге FORM уже адрес с "www".

Жму сабмит, и попадаю на www.example.com; при этом у меня нет сессии под этот домен ни в адресной строке, ни в куках; и мне открывается ВТОРАЯ сессия - гостевая. Набираю с руки адрес example.com - и вижу, что я авторизован. Но все ссылки уводят на www.example.com, где я опять гость.

А сессию в адресную строку получают не те, кто скачет между доменами, а те, у кого куки отключены.

Ссылка на комментарий
Поделиться на других сайтах

  • 0
А что мешает считать у гостей уникальным айпишник?

у меня был недопровайдер "нетка" сильно много времени назад, там анлим у всех имел 1 внешний ip адрес "чето-там.чето-там.0.1"

 

ну а попасть подставляя идентификатор сессии под другую учетку ничего не стоит, я уже писал как там происходит авторизация, не помню где, наверно у Сонга

 

 

http://forum.sysman.ru/index.php?showtopic...st&p=198107

Ссылка на комментарий
Поделиться на других сайтах

  • 0

Arhar,

а что по реально возникшей ситуации скажете?Есть вероятность повторения?

Ссылка на комментарий
Поделиться на других сайтах

  • 0
Arhar,

а что по реально возникшей ситуации скажете?Есть вероятность повторения?

А чем она так страшна?

Ну вошел я по идентификатору сессии от ника Arhar, ну увидел в шапке Вошли как: Arhar ( Выход )... И что дальше?

Любое действие, любой переход по страницам, и либо меня авторизует собой по паролю в куках, либо выкинет в гостя; я все равно ничего не смогу сделать от имени другого пользователя или влезть в его конфиденциальную информацию.

Ссылка на комментарий
Поделиться на других сайтах

  • 0
Arhar,

а что по реально возникшей ситуации скажете?Есть вероятность повторения?

А чем она так страшна?

Ну вошел я по идентификатору сессии от ника Arhar, ну увидел в шапке Вошли как: Arhar ( Выход )... И что дальше?

Любое действие, любой переход по страницам, и либо меня авторизует собой по паролю в куках, либо выкинет в гостя; я все равно ничего не смогу сделать от имени другого пользователя или влезть в его конфиденциальную информацию.

Теперь понятно)Спасибо.

Ссылка на комментарий
Поделиться на других сайтах

Присоединиться к обсуждению

Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.

Гость
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Ответить на вопрос...

×   Вы вставили отформатированный текст.   Удалить форматирование

  Допустимо не более 75 смайлов.

×   Ваша ссылка была автоматически заменена на медиа-контент.   Отображать как ссылку

×   Ваши публикации восстановлены.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

Зарузка...
×
×
  • Создать...

Важная информация

Находясь на нашем сайте, вы соглашаетесь на использование файлов cookie, а также с нашим положением о конфиденциальности Политика конфиденциальности и пользовательским соглашением Условия использования.