LINUX.ORG.RU

Баг? Дыра? Фантастическое стечение обстоятельств?


0

1

Ночи доброй! Стал свидетелем, как знакомый мне человек случайно вошёл под моим аккаунтом. Исключая версии утаскивания куки и подбор пароля, насколько реальна остается вероятность некорректной генерации сессии или чего там, что определяет авторизацию пользователя? Были ли на протяжении получаса какие-то манипуляции с БД или сервером? Вообще, что могло случится? И как?

Всю инфу модеры могут просмотреть сами, верно? В т.ч. User-Agent, IP, и прочее.

Подтверждаю, вот пишу сейчас с его акка.

Chaser_Andrey ★★★★★ ()

Кажется, никто не поверил :(

Тут жеж имел место быть баг!

Chaser_Andrey ★★★★★ ()
Ответ на: комментарий от shoewreck

В том и дело, что произошло это на совершенно постороннем компьютере, за десятки км от меня, на другом IP другого провайдера.

Chaser_Andrey ★★★★★ ()

Исключая версии:

- утаскивания куки

- подбор пароля


Есть версия, что утаскивания не было, а пароль ты ему передал сам.

anonymous ()

Не старайся, ты панику тут не спровоцируешь, потому что есть такое понятие как, правда =)

qsloqs ★★ ()
Ответ на: комментарий от Sylvia

Покопался в хистори, обнаружил, что за полчаса до происшедшего _мне_ этот же человек кинул ссылку с JSESSIONID, по которой я прошел. Это полезные сведения?

Chaser_Andrey ★★★★★ ()
Ответ на: комментарий от Chaser_Andrey

заходя по ссылке с JSESSIONID вы можете зайти с того аккаунта которому эта session id принадлежит, т.е. вы могли зайти с чужого аккаунта.

Sylvia ★★★★★ ()
Ответ на: комментарий от Sylvia

Это я понял, но получилось наоборот. Могло случится, что я, будучи залогиненный, получил ссылку с [не]существующей сессией, которая присвоилась мне, а потом удалённой стороне передались мои параметры авторизации по этой злополучной сессией?

Chaser_Andrey ★★★★★ ()
Ответ на: комментарий от Sylvia

Спасибо и на этом, по крайней мере ситуация немного перестала быть мистической.

Chaser_Andrey ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.