diver 133 Жалоба Опубликовано 1 марта, 2013 (изменено) В общем ситуация...У меня 2 браузера: Опера основной, и Хром для форума(поскольку опера некорректно отправляет тут сообщения....а то и вовсе не отправляет)Товарищ dzola бросает мне ссылку на форум, я на нее захожу через Оперу и оказываюсь ......под ее логином!В недоумении обновляю форум в Хроме - мой логин. Обновляю Оперу - логин dzolu )Сейчас меня уже выбило из ее аккаунта, но в тот момент я мог зайти в личную переписку...и т.д.Странность была в ссылке.Вот как выглядит обычная ссылка на тему:/forum/index.php?showtopic=48197А вот такую ссылку я получил от нее(Фаерфокс).:/forum/index.php?s=многамногацифрибукв&showtopic=48197updУже при переходе по той же ссылке, меня не бросает на ее акк. Видимо проблема не в ссылке и какой-то временной уязвимости форума.. Изменено 1 марта, 2013 пользователем diver Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
ironcream 353 Жалоба Опубликовано 1 марта, 2013 (изменено) Вот эта вот чать:?s=много_букв_и_цифрэто id сессии.Сессия полностью идентифицирует пользователя и позволяет действовать "от его имени".Нет ничего удивительного что ты смог действовать от имени другого человека обладая его идентификатором сессии.Как это работает (на пальцах):1) Вариант с кукамиТы ввёл логин и пароль, если они были правильными - тебе присваивается session id.Этот идентификатор приходит на твой браузер вместе с ответом на твой логин запрос и ставится тебе в куки.Все твои следующие запросы на сайт сопровождаются этими куками.В таком сценарии ты этот свой session id нигде не видишь.На самом деле, его могут видеть люди, которые просматривают твоё нешифрованное соединение, но это совсем другая история Сайт же, вместе с каждым твоим запросом, видит этот session id, по которому он знает, что ты - это ты. И разрешает тебе делать некие действия от твоего же имени.2) Вариант без куковУ твоего товарища в браузере, видимо, отключены (либо по какой-то другой причине не работают) куки.Короче сайт (этот форум) не смог куку проставить в браузере твоего товарища.Когда куки не работают, сайты пытаются передавать сессию параметром через URL.Плюс: ты можешь залогиниться, даже если не работают куки.Минус: по неаккуратности, если ты кому-то передал такой url (содержащий id твоей сессии), то этот некто может совершать действия от твоего имени.Это не "уязвимость". Это так всегда было.Сессия заинвалидейтится ("станет негодной") либо по истечении какого-то таймаута, либо если человек который логинился (либо которому достался такой url) просто вылогинится.Что и произошло в твоём случае.То есть, грубо говоря, когда ты жмёшь logout сайту приходит запрос "вот я, вот мой session id, запомни что он больше не валиден".С такого момента совершать действия от чьего-либо имени с этим session id становится невозможно.Понятно объяснил? Изменено 1 марта, 2013 пользователем ironcream 2 Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
dzola 70 Жалоба Опубликовано 1 марта, 2013 (изменено) особенно мне все понятно 2 diver Нет ну ты понял )) надеюсь ты все ЛС успел прочитать потому что больше такого шанса у тя не будет Друг Изменено 1 марта, 2013 пользователем dzola Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
diver 133 Жалоба Опубликовано 1 марта, 2013 ironcream, спасибо)Все стало ясно) тонкостей про кукисы я не знал...Но после обновления форум работает очень нестабильно...особоенно с оперой.. поэтому я подумал, что сломался Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты
ironcream 353 Жалоба Опубликовано 1 марта, 2013 Опера перешла на webkit и V8.А это значит, что скоро-скоро она будет работать очень схоже с хромом, например.Буквально со следующего релиза. Так они обещали.Так что потерпи немного, будет тебе и в опере счастье. 1 Поделиться сообщением Ссылка на сообщение Поделиться на другие сайты