Перейти к содержанию
diver

Глюк Форума

Рекомендуемые сообщения

В общем ситуация...

У меня 2 браузера: Опера основной, и Хром для форума(поскольку опера некорректно отправляет тут сообщения....а то и вовсе не отправляет)Товарищ dzola бросает мне ссылку на форум, я на нее захожу через Оперу и оказываюсь ......под ее логином!

В недоумении обновляю форум в Хроме - мой логин. Обновляю Оперу - логин dzolu )Сейчас меня уже выбило из ее аккаунта, но в тот момент я мог зайти в личную переписку...и т.д.

Странность была в ссылке.

Вот как выглядит обычная ссылка на тему:

/forum/index.php?showtopic=48197

А вот такую ссылку я получил от нее(Фаерфокс).:

/forum/index.php?s=многамногацифрибукв&showtopic=48197

upd

Уже при переходе по той же ссылке, меня не бросает на ее акк. Видимо проблема не в ссылке и какой-то временной уязвимости форума..

Изменено пользователем diver

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Вот эта вот чать:

?s=много_букв_и_цифр

это id сессии.

Сессия полностью идентифицирует пользователя и позволяет действовать "от его имени".

Нет ничего удивительного что ты смог действовать от имени другого человека обладая его идентификатором сессии.

Как это работает (на пальцах):

1) Вариант с куками

Ты ввёл логин и пароль, если они были правильными - тебе присваивается session id.

Этот идентификатор приходит на твой браузер вместе с ответом на твой логин запрос и ставится тебе в куки.

Все твои следующие запросы на сайт сопровождаются этими куками.

В таком сценарии ты этот свой session id нигде не видишь.

На самом деле, его могут видеть люди, которые просматривают твоё нешифрованное соединение, ;) но это совсем другая история ;)

Сайт же, вместе с каждым твоим запросом, видит этот session id, по которому он знает, что ты - это ты. И разрешает тебе делать некие действия от твоего же имени.

2) Вариант без куков

У твоего товарища в браузере, видимо, отключены (либо по какой-то другой причине не работают) куки.

Короче сайт (этот форум) не смог куку проставить в браузере твоего товарища.

Когда куки не работают, сайты пытаются передавать сессию параметром через URL.

Плюс: ты можешь залогиниться, даже если не работают куки.

Минус: по неаккуратности, если ты кому-то передал такой url (содержащий id твоей сессии), то этот некто может совершать действия от твоего имени.

Это не "уязвимость". Это так всегда было.

Сессия заинвалидейтится ("станет негодной") либо по истечении какого-то таймаута, либо если человек который логинился (либо которому достался такой url) просто вылогинится.

Что и произошло в твоём случае.

То есть, грубо говоря, когда ты жмёшь logout сайту приходит запрос "вот я, вот мой session id, запомни что он больше не валиден".

С такого момента совершать действия от чьего-либо имени с этим session id становится невозможно.

Понятно объяснил? :)

Изменено пользователем ironcream
  • Годнота 2

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

особенно мне все понятно :)

2 diver Нет ну ты понял :))) надеюсь ты все ЛС успел прочитать :gg: потому что больше такого шанса у тя не будет Друг :)

Изменено пользователем dzola

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

ironcream, спасибо)

Все стало ясно) тонкостей про кукисы я не знал...

Но после обновления форум работает очень нестабильно...особоенно с оперой.. поэтому я подумал, что сломался

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Опера перешла на webkit и V8.

А это значит, что скоро-скоро она будет работать очень схоже с хромом, например.

Буквально со следующего релиза. Так они обещали.

Так что потерпи немного, будет тебе и в опере счастье.

  • Годнота 1

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Последние посетители   0 пользователей онлайн

    Ни одного зарегистрированного пользователя не просматривает данную страницу

×