Reveal.ru :: Просмотр темы - Сбои при авторизации
Начать новую тему Ответить на тему Список форумов Reveal.ru » Техническая поддержка Кто читал этот топик
Автор Сообщение
SergeyGl
Старожил
Старожил


Зарегистрирован: Nov 21, 2003
Сообщения: 374

Сообщение Добавлено: Пн Фев 09, 2004 5:31 pm Ответить с цитатойВернуться к началу

Гг. администрация! К Вам обращаюсь я!
С неделю назад захожу на сайт (как правило, система меня сразу узнает, т.к. захожу с одного и того же компьютера, реже - с другого, домашнего), а меня приветствуют как другого уважаемого участника. Ладно, думаю, и на старуху бывает проруха, вышел, перерегистрировался. Сегодня - опять "Здравствуйте, такой-то" (не я, и не тот, что в предыдущий раз).
У меня вопрос - насколько опасен этот "глюк". Ведь сразу же показывается состояние личной папки. Я, конечно, не лазил не проверял, - доступны ли письма. Но, может, в целях безопасности пойти свою личную переписку снести? И потом, пока я тут авторизуюсь "имяреком", какой-то другой "имярек" может, значит, мной авторизоваться и от моего имени сообщения публиковать?

_________________
С уважением,
Сергей Глушенков
Посмотреть профильОтправить личное сообщение
Slava
Старожил
Старожил


Зарегистрирован: Mar 19, 2003
Сообщения: 442
Откуда: Москва

Сообщение Добавлено: Пн Фев 09, 2004 5:42 pm Ответить с цитатойВернуться к началу

Хм. Интересно.
Я никак не смогу ответить. И вроде на этом сайте такого еще не встречал.
Но подобная ситуация у меня был на питерском форуме (дисайплфорум.орг)
Мне там не ответили. Миш, просвяти...
Посмотреть профильОтправить личное сообщениеОтправить e-mailПосетить сайт автора
Михаил
Постоянный житель
Постоянный житель


Зарегистрирован: Feb 9, 2003
Сообщения: 1127
Откуда: Владивосток. Один из авторов сайта

Сообщение Messageicon Добавлено: Вт Фев 10, 2004 3:51 am Ответить с цитатойВернуться к началу

SergeyGl писал(а):
Гг. администрация! К Вам обращаюсь я!
С неделю назад захожу на сайт (как правило, система меня сразу узнает, т.к. захожу с одного и того же компьютера, реже - с другого, домашнего), а меня приветствуют как другого уважаемого участника. Ладно, думаю, и на старуху бывает проруха, вышел, перерегистрировался. Сегодня - опять "Здравствуйте, такой-то" (не я, и не тот, что в предыдущий раз).

Прикольно. :) .

SergeyGl писал(а):
У меня вопрос - насколько опасен этот "глюк". Ведь сразу же показывается состояние личной папки. Я, конечно, не лазил не проверял, - доступны ли письма.

У тебя интернет через прокси? Это ведь может быть всего лишь кэш - страничка. Нажми F5, это может помочь.

SergeyGl писал(а):
Но, может, в целях безопасности пойти свою личную переписку снести? И потом, пока я тут авторизуюсь "имяреком", какой-то другой "имярек" может, значит, мной авторизоваться и от моего имени сообщения публиковать?

Попробуй в следующий раз опубликовать что-нибудь в тех/поддержке от чужого имени. Обязательно попробуй !

Это всё здорово конечно. А теперь с небес на землю...
1. Форум прописывает cookie на локальном компьютере.
В твой cookie наш сайт пишет твоё имя и хеш-код зашифрованный алгоритмом md5. Хеш-код "обратной дешифрации" не подлежит, т.е. твой пароль даже мы не знаем и не можем знать [и никто его тоже не знает естественно].
2. Ты входишь на сайт. Сайт берёт cookie с браузера компьютера за который ты сел!!! и начичает дешифровать твоё имя и твой хеш-код для сопоставления.
3. Вероятность что твой cookie вдруг совпал с cookie другого участника НУЛЕВАЯ.
В общем, такого не бывает. Ты НЕ можешь получить доступ к чужой авторизации.

Скорее всего ты зашёл на компьютер, с которого кто-то уже писал на наш сайт до тебя. То есть предыдущий пользователь компьютера уже "переписал" твой cookie на свой. Естественно заходя С ТОГО ЖЕ компьютера ты имеешь его доступ. Это понятно и само собой разумеется. Пользуйся кнопочкой "Выход" и можешь спать спокойно.

"Выход" ты можешь найти здесь:
1. Моя страница.
2. Если в верхнем меню нажмёшь на "стрелочку указывающую вниз", то тоже увидишь ссылку "Выход".


Если тебе нужно 100% надёжно быть уверенным, можешь подчистить cookies самостоятельно:
1) На русском IE 5.0:
Свойства обозревателя -> Общие -> Настройка -> Просмотр файлов.
Там список будет файлов cookie:что_то_там , их можно удалять без разбору, это временные файлы.
2) В браузере IE 6.0:
Tools -> Internet Options -> Delete Cookies -> Ok.

Чистить можно и ручками:
1) В Win98 папка Windows/Cookies/... Там будут верменные файлы, их можно удалять. Не напутайте ничего, а то Винду удалите :) .
2) В Win2000/XP. Documents and Settings/Ваш_логин/Cookies/... Файл index.dat удалять не нужно, впрочем вы и не сможете.

Я уверен, что спонтанно получить чужой доступ невозможно. Cookies уникальны и более того, временны.
Очевидно, что если вы зашли "под чужим логином", то вам нужно сообщить этим участникам, что они забывают нажимать на "Выход" или чистить cookies.

--
Я не раз обращал внимание, что пользуясь к примеру почтой mail.ru пользователи тоже не нажимают на "выйти". Такие оплошлности нельзя допускать...

_________________
Посему не судите никак прежде времени, пока не придет Господь, Который и осветит скрытое во мраке и обнаружит сердечные намерения [1-Кор. 4:5]
Посмотреть профильОтправить личное сообщениеОтправить e-mailПосетить сайт автораICQ Number
SergeyGl
Старожил
Старожил


Зарегистрирован: Nov 21, 2003
Сообщения: 374

Сообщение Добавлено: Вт Фев 10, 2004 3:26 pm Ответить с цитатойВернуться к началу

Михаил писал(а):
В твой cookie наш сайт пишет твоё имя и хеш-код зашифрованный алгоритмом md5. Хеш-код "обратной дешифрации" не подлежит, т.е. твой пароль даже мы не знаем и не можем знать [и никто его тоже не знает естественно]. 2. Ты входишь на сайт. Сайт берёт cookie с браузера компьютера за который ты сел!!! и начичает дешифровать твоё имя и твой хеш-код для сопоставления.
3. Вероятность что твой cookie вдруг совпал с cookie другого участника НУЛЕВАЯ.
В общем, такого не бывает. Ты НЕ можешь получить доступ к чужой авторизации.

Это я понял. Хорошо, коли так. Благодарю за разъяснение. Теперь нельзя ли по простому "для тех, кто приехал на бронепоезде":
Михаил писал(а):

Скорее всего ты зашёл на компьютер, с которого кто-то уже писал на наш сайт до тебя. То есть предыдущий пользователь компьютера уже "переписал" твой cookie на свой. Естественно заходя С ТОГО ЖЕ компьютера ты имеешь его доступ. Это понятно и само собой разумеется.

В смысле, "ты зашел на компьютер, с которого уже кто-то писал"? Посредством Сети получил доступ к компьютеру кого-то из посетителей сайта?
Михаил писал(а):

Я не раз обращал внимание, что пользуясь к примеру почтой mail.ru пользователи тоже не нажимают на "выйти". Такие оплошлности нельзя допускать...

Век живи - век учись. Спасибо. Теперь всегда буду нажимать. А вот ежели у меня связь с Интернетом разорвало до того, как я успел "Выход" нажать?

_________________
С уважением,
Сергей Глушенков
Посмотреть профильОтправить личное сообщение
Гость с юга
Старожил
Старожил


Зарегистрирован: Aug 6, 2003
Сообщения: 5377

Сообщение Добавлено: Вт Фев 10, 2004 4:08 pm Ответить с цитатойВернуться к началу

Миша, у меня тоже такой сбой произошел только что (жаль запостить ничего не успел). Но с моего компа 100% никто кроме меня на ревеал не заходил, так что причина в чем-то еще.
Посмотреть профильОтправить личное сообщение
nix
Старожил
Старожил


Зарегистрирован: Oct 01, 2003
Сообщения: 234
Откуда: Киев, Юг

Сообщение Добавлено: Вт Фев 10, 2004 7:05 pm Ответить с цитатойВернуться к началу

Цитата:
У тебя интернет через прокси? Это ведь может быть всего лишь кэш - страничка. Нажми F5, это может помочь.

Скорее всего так и есть. У меня на работе стоял прокси с включенным кэшем, так даже "выход" и не помогал - при следующем запуске броузера форум открывался уже с пройденой авторизациейicon_smile.gif Долго возился с настройками прокси - плюнул и отключил кеш. Все как рукой сняло...

_________________
Там, наверху. Там в подлинности голой
Лежат деянья наши без прикрас
Посмотреть профильОтправить личное сообщениеICQ Number
Михаил
Постоянный житель
Постоянный житель


Зарегистрирован: Feb 9, 2003
Сообщения: 1127
Откуда: Владивосток. Один из авторов сайта

Сообщение Добавлено: Ср Фев 11, 2004 3:34 am Ответить с цитатойВернуться к началу

Гость с юга писал(а):
Миша, у меня тоже такой сбой произошел только что (жаль запостить ничего не успел). Но с моего компа 100% никто кроме меня на ревеал не заходил, так что причина в чем-то еще.


Ура! Да, я тоже "засёк" этот глюк. Причём у меня назвали "Вера". Я тоже не смог ничего запостить и вообще, в принципе даже перейти куда-нибудь не смог, так как сразу "выходил".

Это - кэш на уровне провайдера Мастерхост. Других вариантов нет. То есть вы получаете последний вариант странички index.html который сформировался на сайте. Скорее всего даже этот человек будет в "он-лайне". Вообще, такой кэш должен очищаться, но по каким-то причинам он не чистится или даже не успевает чиститься. Это не наш глюк и это не критично. Вы не сможете добиться следующей загрузки страницы с этим же логином, потому что на кеш странички никаких сессий на сайте не заводится.

Повторюсь, что нельзя получить чужой кукис [файлик такой маленький], они не "рассылаются" но идут только на сайт и это - конечный их путь. Если у вас нет чужого кукиса, то войти никуда вы не сможете, потому что авторизация производится исключительно по нему и никак иначе.

В общем, это случайная загрузка из кэша.

--
Я ещё гляну как эту тему вырубить. На других хостингах этой проблемы не возникало.

SergeyGl писал(а):
В смысле, "ты зашел на компьютер, с которого уже кто-то писал"? Посредством Сети получил доступ к компьютеру кого-то из посетителей сайта?

Нет. Допустим на компьютере с которого ты выходишь в интернет сидел ещё кто-либо, кто загружал страницы сайта Ревеал. Если этот человек на нажал на "Выход", то следующий кто сядет за этот же компьютер и зайдет на Ревеал, получит ЕГО доступ.

SergeyGl писал(а):
Цитата:
пользуясь к примеру почтой mail.ru пользователи тоже не нажимают на "выйти". Такие оплошлности нельзя допускать...
А вот ежели у меня связь с Интернетом разорвало до того, как я успел "Выход" нажать?

Значит следующий кто сядет за этот компьютер почитает твою почту.

_________________
Посему не судите никак прежде времени, пока не придет Господь, Который и осветит скрытое во мраке и обнаружит сердечные намерения [1-Кор. 4:5]
Посмотреть профильОтправить личное сообщениеОтправить e-mailПосетить сайт автораICQ Number
Slava
Старожил
Старожил


Зарегистрирован: Mar 19, 2003
Сообщения: 442
Откуда: Москва

Сообщение Добавлено: Ср Фев 11, 2004 1:24 pm Ответить с цитатойВернуться к началу

Цитата:
Это - кэш на уровне провайдера Мастерхост. Других вариантов нет.

Тоже так подумал и хотел написать, но ты меня опередил.
Я знаю, что некоторые хостеры ставят у себя что-то типа прокси, чтобы пользователи качали странички с кеша и не грузили серваки. Видать и у мастерхоста точно так же.
Посмотреть профильОтправить личное сообщениеОтправить e-mailПосетить сайт автора
SergeyGl
Старожил
Старожил


Зарегистрирован: Nov 21, 2003
Сообщения: 374

Сообщение Добавлено: Ср Фев 11, 2004 4:29 pm Ответить с цитатойВернуться к началу

Михаил писал(а):
Нет. Допустим на компьютере с которого ты выходишь в интернет сидел ещё кто-либо, кто загружал страницы сайта Ревеал. Если этот человек на нажал на "Выход", то следующий кто сядет за этот же компьютер и зайдет на Ревеал, получит ЕГО доступ.

Спасибо. Нет, сие невозможно. За моим компом не бывает никто, кроме меня. Когда кабинет не закрыт, значит, я сам за ним сижу. Иного не дано.
Впрочем, в меру своих скромных знаний, я понял, в чем дело. И что это не опасно.
Еще раз спасибо за разъяснения.

_________________
С уважением,
Сергей Глушенков
Посмотреть профильОтправить личное сообщение
Дмитрий Ковалёв
Старожил
Старожил


Зарегистрирован: Mar 12, 2003
Сообщения: 852
Откуда: Минск, Беларусь, РПЦ

Сообщение Добавлено: Ср Фев 11, 2004 7:30 pm Ответить с цитатойВернуться к началу

А если у вас в организации выход в сеть настроен через proxy (см. настройки ИЕ) то такое вполне возможно.В таком случае, имхо, стоит воспользоваться советом nix-a т.е. отключить кэш. Успехов.


_________________
Argumenta ponderantur, non numerantur
(lat.) Сила доказательств определяется их весомостью, а не количеством
Посмотреть профильОтправить личное сообщениеICQ Number
Показать сообщения:   
Начать новую тему Ответить на тему Кто читал этот топик
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
 
Reveal.ru - дружественная критика МЦХ (Международная Церковь Христа)
(c) Авторское право сайта Reveal.ru. Все права сохранены.
При полной или частичной перепечатке обязательно указывать авторство Reveal.ru.
К тому-же, при цитировании в сети интернет, убедительно просим ставить гиперссылку на Reveal.ru
Copyright 2006 © by PHP-Nuke :: Открытие страницы: 3.154 секунды
:: Связаться