41 replies to this topic

[bonzazx45]

Дружбан мне линканул тему на форуме в скайпе, я прошел по ссылке. И, внезапно, я на форуме под его аккаунтом, могу даже редактировать его профиль. Могу предоставить скрины в ЛС администрации форума

[SHEER]

А дружбан случайно не заходил с твоего компа раньше на форум к примеру когда был у тебя в гостях? Может поставил галочку сохранять пароль и забыл.

[bonzazx45]

А дружбан случайно не заходил с твоего компа раньше на форум к примеру когда был у тебя в гостях? Может поставил галочку сохранять пароль и забыл.

Исключено, мы живем в разных городах, я его ниразу в реале не видел. И я думаю по логам того чара можно проследить откуда он заходил

[ImSoLucky]

Исключено, мы живем в разных городах, я его ниразу в реале не видел. И я думаю по логам того чара можно проследить откуда он заходил

Попробуй зайти в его онлайн банкинг, пусть ссылку кинет  . Может у тебя волшебный скайп?

Edited by ImSoLucky, 15 April 2015 - 19:42.

[DireSnake]

косяку уже года...три. сам так же ловился. когда ссылку сокорпам кидал. кажется - что ты на форуме под чужим акком. реально же - под своим. и при попытке что-то сделать - вернешься в свой логин.

[zaren]

косяку уже года...три. сам так же ловился. когда ссылку сокорпам кидал. кажется - что ты на форуме под чужим акком. реально же - под своим. и при попытке что-то сделать - вернешься в свой логин.

была аналогичная ситуация, постилось из под моего аккаунта

[.up]

Небось кинул ссылку с ид сессии.

Я могу включить проверку ИП, но тогда будет неудобно людям, которые часто из разных мест заходят.

[bonzazx45]

косяку уже года...три. сам так же ловился. когда ссылку сокорпам кидал. кажется - что ты на форуме под чужим акком. реально же - под своим. и при попытке что-то сделать - вернешься в свой логин.

Пытался топик стартеру по ссылке по которой прошел пихнуть минус в репу, не смог. Только после того как перелогинился под свой акк функция стала доступной. Ибо дружбан уже пихнул туда минус

Небось кинул ссылку с ид сессии.

Я могу включить проверку ИП, но тогда будет неудобно людям, которые часто из разных мест заходят.

Ну т.е. это штука известна администрации и враги не ломали форум?

[.up]

ага

 

В следующий раз стирай ид сессии, если он есть в ссылке.

[AveN Revenge]

К сожалению не шарю что такое ID сессии, но такая чихарда у нас (в нашей компании) очень частая... Уже даже привыкли, слава богу сейчас смотрим, от кого пишем... А то мало-ли )

 

З.Ы. Проблема только с Ив-ру форумом, с другими форумами такой проблемы не встречали...

[vmarkelov]

httр://fоrum.еvе-ru.com/index.php?s=f4cbbc4faabbccdf910293833e56bd112&showtopic=113142

Вот то что выделено - это ID, его и удалять.

[nikitas]

Небось кинул ссылку с ид сессии.

Я могу включить проверку ИП, но тогда будет неудобно людям, которые часто из разных мест заходят.

Надо включить проверку И по ip И по браузеру. Человек может авторизоваться в нескольких местах и комфортно работать. "Трудности" будут только для мобильных юзеров (каждый раз заставлять браузер авторизоваться по заранее забитым паролям  ). Несколько сессий держать на одной учетке позволяет любой нормальный форум.

 

httр://fоrum.еvе-ru.com/index.php?s=f4cbbc4faabbccdf910293833e56bd112&showtopic=113142
Вот то что выделено - это ID, его и удалять.

Люди разной кривизны рук, потрут больше или меньше

 

Вообще я думал, что это исправили в IPB после 1.3 версии, как сие перешло на платную основу, и что во многих популярных форумах это нечто иное, как косяк разрабов или дань традиции, ан нет, ИПБ тоже болен этим заболеванием.

Ща я вам масла в огонь подолью, чтобы вы (пользователи) ныть начали и просить АПа поднять секьюрность:

 

1. Вася расшарил картинку на хостинге картинок
2. Петя посмотрел топик
3. Коля посмотрел топик

 

А у админа вот такая картинка

 

Выдернуто из лога доступа. Мне даже страшно подумать, какой профит от этого может получить человек, который хостит изображения если тут нихрена ничего не проверяется!

 

 

Банально:

1. запихнуть в подпись 1 пиксельный гиф
2. светится в политике у всех алли
3. профит и драма на форуме   

[nikitas]

Никитас как обычно сорвал покровы. Жаль тут всем пофиг на дырки

По сути в админку я не попаду. Так как нормальная админка требует двойной авторизации (логин и пароль админа).

Максимум что я смогу, это попав в сессию к АПу забанить к черту модеров, удалить к черту сообщения. Это выведет форум из строя на день-два, может и три, если будут слоупочить. Пока АП из последнего бекапа не восстановит.

 

У меня же на этот форум много бОльшие планы, без членовредительства, мне нужен тут рабочий аккаунт и контакты

[.up]

Обычно сессия не светится в адресе. Дохнет она через час.

 

Когда-то была по ип включена, но люди стали жаловаться, что им неудобно.

[Hlad]

У меня же на этот форум много бОльшие планы, без членовредительства

Но с членом связанные? 

[Alexfishka]

К сожалению не шарю что такое ID сессии, но такая чихарда у нас (в нашей компании) очень частая... Уже даже привыкли, слава богу сейчас смотрим, от кого пишем... А то мало-ли )

 

З.Ы. Проблема только с Ив-ру форумом, с другими форумами такой проблемы не встречали...

Кидай ссылку используя линк на сообщение в правом верхнем углу поста, тогда все нормально будет.

[Ползучий Рак]

у меня нету в ссылке никакой id сесии, чем я болен и как это вылечить?

[unti1x]

А зачем id сессии вообще передаётся get'ом? у него куки отключены что-ли?

Edited by unti1x, 16 April 2015 - 9:19.

[nikitas]

А зачем id сессии вообще передаётся get'ом? у него куки отключены что-ли?

Смею подумать - чтобы не было проблем при смешанной работе http/https. Так как есть секьюр куки и обычные. И если на форуме есть поддержка двух соединений (безопасное и нет), то обычная кука не будет работать на https и, по идее,  наоборот.

Так же есть такая тема, как то, что гостям куки не ставят и сессии в базу не пишут (некоторые форумы, а может и все), но генерируют уникальный ИДшник сессии в ссылке. Он нужен для того, чтобы гость мог зарегистрироваться и ввести капчу. 

Но для меня загадка, за коим хреном если на форуме обычный http и капча отсутствует нужна сессия в ссылке.

В принципе, в этом случае АП может ее просто вырезать как (s=[a-zA-Z0-9]{32}) из ссылок обычным правилом в nginx или при помощи модуля subs . Далее просто отловить глюки и ввести исключения (например на форме реги).

Более глубокий моддинг - исходники, но куда проще на стороне фронтенда.

Но с членом связанные? 

У вас в команде и так полно членов, от мала до сколько попало. Да и членство в вашем кружке увеличивает только виртуальную пипку, а в реальности же волосы на ладошках начинают расти и характер портится.

 

Но что, несомненно, является конечным результатом моих изысканий, это поиметь вас и ваш субботник, конечно.

upd: отщепятки

Edited by nikitas, 16 April 2015 - 10:09.