41 ответов в теме

[fireframe]

.... забанить к черту модеров...

У меня же на этот форум много бОльшие планы

[unti1x]

Он нужен для того, чтобы гость мог зарегистрироваться и ввести капчу. 

Каким боком вообще капча сюда относится?

[nikitas]

Каким боком вообще капча сюда относится?

чисто логически сессия - капча - ввести - проверить - как? - по сессии

[unti1x]

чисто логически сессия - капча - ввести - проверить - как? - по сессии

так зачем её в гет совать, когда она уже есть в куках?

[nikitas]

так зачем её в гет совать, когда она уже есть в куках?

А зачем ты меня об этом спрашиваешь? Я чтоли говнофорумы пишу?)

[unti1x]

А зачем ты меня об этом спрашиваешь? Я чтоли говнофорумы пишу?)

Ну, так ты ж придумал связь между капчей и сессией в гете =D

[MegaDocent]

Небось кинул ссылку с ид сессии.

Я могу включить проверку ИП, но тогда будет неудобно людям, которые часто из разных мест заходят.

 

Нинада!

Могу одновременно сидеть с мобильного и компа. Или переключаться часто.

 

И да, присоединяюсь к вопросу выше - почему у меня никогда такая фигня не высвечивается?

Сообщение отредактировал MegaDocent: 17 April 2015 - 12:05

[nikitas]

Ну, так ты ж придумал связь между капчей и сессией в гете =D

Ай ты фантазер! Погугли что бывает, если принудительно отрубить сессию в ссылках (в исходниках или на фронтенде) на разных движках: ipb, mybb, phpbb. Каждый ведет по разному.

Нинада!

Могу одновременно сидеть с мобильного и компа. Или переключаться часто.

 

И да, присоединяюсь к вопросу выше - почему у меня никогда такая фигня не высвечивается?

Напиши первые 5 символов своей текущей сессии (sessionid cookie), я по логам проверю

Первому, неверующему про значение сессии, прямо из печки, "когда все в куках лежит":

 

на главной форума, при наведении на ники внизувыдает окошко:
 

http://forum.eve-ru.com/index.php?s=СЕССИЯ&&app=members&module=ajax&secure_key=КЛЮЧ&section=card&mid=ИД_ЮЗЕРА

Спрашивается на кой хрен, "когда все в куках"!

[unti1x]

Ай ты фантазер! Погугли что бывает, если принудительно отрубить сессию в ссылках (в исходниках или на фронтенде) на разных движках: ipb, mybb, phpbb. Каждый ведет по разному.

Никогда не интересовался движками форумов. И не тянет.

[nikitas]

Никогда не интересовался движками форумов. И не тянет.

Тогда зачем со свиным рылом в калашный ряд лезешь?

[MegaDocent]

Ай ты фантазер! Погугли что бывает, если принудительно отрубить сессию в ссылках (в исходниках или на фронтенде) на разных движках: ipb, mybb, phpbb. Каждый ведет по разному.

Напиши первые 5 символов своей текущей сессии (sessionid cookie), я по логам проверю

Первому, неверующему про значение сессии, прямо из печки, "когда все в куках лежит":

 

на главной форума, при наведении на ники внизувыдает окошко:
 

http://forum.eve-ru.com/index.php?s=СЕССИЯ&&app=members&module=ajax&secure_key=КЛЮЧ&section=card&mid=ИД_ЮЗЕРА

Спрашивается на кой хрен, "когда все в куках"!

 

У меня внизу, при наведении, выдается

http://forum.eve-ru.com/index.php?showuser=12345

Сообщение отредактировал MegaDocent: 17 April 2015 - 12:43

[nikitas]

 

У меня внизу, при наведении, выдается

http://forum.eve-ru.com/index.php?showuser=12345

Там скрипт. Если откроешь консоль браузера и выберешь вкладку сетевой активности, то увидишь get запросы к серверу, при наведении мыши. То, что ты написал - это ссылка на профиль. А вот окошко - это продукт скрипта (как указал выше).

MegaDocent, так же если в этом запросе вырезать сессию, то.. форум возьмет ее из кукисов. А вот ключ.. без ключа он выдаст еррор при том, что ключ так же можно было бы хранить в кукисах. Разрабы - такие разрабы.

А на phpbb при вырезании сессии из исходников отваливается капча. То бишь форум фальшивит каждый раз (родная капча).

[MegaDocent]

Там скрипт. Если откроешь консоль браузера и выберешь вкладку сетевой активности, то увидишь get запросы к серверу, при наведении мыши. То, что ты написал - это ссылка на профиль. А вот окошко - это продукт скрипта (как указал выше).

MegaDocent, так же если в этом запросе вырезать сессию, то.. форум возьмет ее из кукисов. А вот ключ.. без ключа он выдаст еррор при том, что ключ так же можно было бы хранить в кукисах. Разрабы - такие разрабы.

А на phpbb при вырезании сессии из исходников отваливается капча. То бишь форум фальшивит каждый раз (родная капча).

 

Ок. Только КАК это оказывается у простых пользователей?

[nikitas]

Ок. Только КАК это оказывается у простых пользователей?

Не понял вопроса..

[MegaDocent]

Не понял вопроса..

Ну я никогда строку в таком формате не видел, кроме как зайдя в консоль браузера.

Откуда простые пользователи её берут, чтобы скопировать и послать кому-то?

Как она у них оказывается в адресной строке?

Сообщение отредактировал MegaDocent: 17 April 2015 - 13:41

[nikitas]

Ну я никогда строку в таком формате не видел, кроме как зайдя в консоль браузера.

Откуда простые пользователи её берут, чтобы скопировать и послать кому-то?

Как она у них оказывается в адресной строке?

Хрен знает. Тут же не только эта строчка. Тут полным-полно модулей. Может где-то, да и проскальзывает.

Я сейчас просмотрел логи: там и я пару (всего 2) раз светился. Хотя я на 100% уверен и всегда смотрю на адресную строку.

В общем дело в форуме. Браузеры отпадают, так как там разные по статистике.

Самое интересное, что реальная картина много страшнее. Так как я оперую логами CDN'а, а там первый запрос или expired.

[MegaDocent]

Хм. Написав мне письмо в личку никитас смог вычислить мой IP.

Не отвечайте ему в личку! 

 

p.s. А дыры таки есть. И править таки нужно, да.

[MegaDocent]

А я почитал главную под твоим sessionID.
Да, дырок много.

И чем она под мои сессион ид отличается? =)


Да, а ты как мою сессию узнал?

Сообщение отредактировал MegaDocent: 17 April 2015 - 17:46

[.up]

на главной форума, при наведении на ники внизувыдает окошко:
 

http://forum.eve-ru.com/index.php?s=СЕССИЯ&&app=members&module=ajax&secure_key=КЛЮЧ&section=card&mid=ИД_ЮЗЕРА

Это не сессия, а защита от CSRF скорей всего.

 

Хм. Написав мне письмо в личку никитас смог вычислить мой IP.

Да это как бы вообще не проблема)