Гг. администрация! К Вам обращаюсь я!
С неделю назад захожу на сайт (как правило, система меня сразу узнает, т.к. захожу с одного и того же компьютера, реже - с другого, домашнего), а меня приветствуют как другого уважаемого участника. Ладно, думаю, и на старуху бывает проруха, вышел, перерегистрировался. Сегодня - опять "Здравствуйте, такой-то" (не я, и не тот, что в предыдущий раз).
У меня вопрос - насколько опасен этот "глюк". Ведь сразу же показывается состояние личной папки. Я, конечно, не лазил не проверял, - доступны ли письма. Но, может, в целях безопасности пойти свою личную переписку снести? И потом, пока я тут авторизуюсь "имяреком", какой-то другой "имярек" может, значит, мной авторизоваться и от моего имени сообщения публиковать?
Зарегистрирован: Mar 19, 2003
Сообщения: 442
Откуда: Москва
Добавлено:
Пн Фев 09, 2004 5:42 pm
Хм. Интересно.
Я никак не смогу ответить. И вроде на этом сайте такого еще не встречал.
Но подобная ситуация у меня был на питерском форуме (дисайплфорум.орг)
Мне там не ответили. Миш, просвяти...
Зарегистрирован: Feb 9, 2003
Сообщения: 1127
Откуда: Владивосток. Один из авторов сайта
Добавлено:
Вт Фев 10, 2004 3:51 am
SergeyGl писал(а):
Гг. администрация! К Вам обращаюсь я!
С неделю назад захожу на сайт (как правило, система меня сразу узнает, т.к. захожу с одного и того же компьютера, реже - с другого, домашнего), а меня приветствуют как другого уважаемого участника. Ладно, думаю, и на старуху бывает проруха, вышел, перерегистрировался. Сегодня - опять "Здравствуйте, такой-то" (не я, и не тот, что в предыдущий раз).
Прикольно. :) .
SergeyGl писал(а):
У меня вопрос - насколько опасен этот "глюк". Ведь сразу же показывается состояние личной папки. Я, конечно, не лазил не проверял, - доступны ли письма.
У тебя интернет через прокси? Это ведь может быть всего лишь кэш - страничка. Нажми F5, это может помочь.
SergeyGl писал(а):
Но, может, в целях безопасности пойти свою личную переписку снести? И потом, пока я тут авторизуюсь "имяреком", какой-то другой "имярек" может, значит, мной авторизоваться и от моего имени сообщения публиковать?
Попробуй в следующий раз опубликовать что-нибудь в тех/поддержке от чужого имени. Обязательно попробуй !
Это всё здорово конечно.А теперь с небес на землю...
1. Форум прописывает cookie на локальном компьютере.
В твой cookie наш сайт пишет твоё имя и хеш-код зашифрованный алгоритмом md5. Хеш-код "обратной дешифрации" не подлежит, т.е. твой пароль даже мы не знаем и не можем знать [и никто его тоже не знает естественно].
2. Ты входишь на сайт. Сайт берёт cookie с браузера компьютера за который ты сел!!! и начичает дешифровать твоё имя и твой хеш-код для сопоставления.
3. Вероятность что твой cookie вдруг совпал с cookie другого участника НУЛЕВАЯ.
В общем, такого не бывает. Ты НЕ можешь получить доступ к чужой авторизации.
Скорее всего ты зашёл на компьютер, с которого кто-то уже писал на наш сайт до тебя. То есть предыдущий пользователь компьютера уже "переписал" твой cookie на свой. Естественно заходя С ТОГО ЖЕ компьютера ты имеешь его доступ. Это понятно и само собой разумеется. Пользуйся кнопочкой "Выход" и можешь спать спокойно.
"Выход" ты можешь найти здесь:
1. Моя страница.
2. Если в верхнем меню нажмёшь на "стрелочку указывающую вниз", то тоже увидишь ссылку "Выход".
Если тебе нужно 100% надёжно быть уверенным, можешь подчистить cookies самостоятельно:
1) На русском IE 5.0:
Свойства обозревателя -> Общие -> Настройка -> Просмотр файлов.
Там список будет файлов cookie:что_то_там , их можно удалять без разбору, это временные файлы.
2) В браузере IE 6.0:
Tools -> Internet Options -> Delete Cookies -> Ok.
Чистить можно и ручками:
1) В Win98 папка Windows/Cookies/... Там будут верменные файлы, их можно удалять. Не напутайте ничего, а то Винду удалите :) .
2) В Win2000/XP. Documents and Settings/Ваш_логин/Cookies/... Файл index.dat удалять не нужно, впрочем вы и не сможете.
Я уверен, что спонтанно получить чужой доступ невозможно. Cookies уникальны и более того, временны.
Очевидно, что если вы зашли "под чужим логином", то вам нужно сообщить этим участникам, что они забывают нажимать на "Выход" или чистить cookies.
--
Я не раз обращал внимание, что пользуясь к примеру почтой mail.ru пользователи тоже не нажимают на "выйти". Такие оплошлности нельзя допускать...
_________________ Посему не судите никак прежде времени, пока не придет Господь, Который и осветит скрытое во мраке и обнаружит сердечные намерения [1-Кор. 4:5]
В твой cookie наш сайт пишет твоё имя и хеш-код зашифрованный алгоритмом md5. Хеш-код "обратной дешифрации" не подлежит, т.е. твой пароль даже мы не знаем и не можем знать [и никто его тоже не знает естественно]. 2. Ты входишь на сайт. Сайт берёт cookie с браузера компьютера за который ты сел!!! и начичает дешифровать твоё имя и твой хеш-код для сопоставления.
3. Вероятность что твой cookie вдруг совпал с cookie другого участника НУЛЕВАЯ.
В общем, такого не бывает. Ты НЕ можешь получить доступ к чужой авторизации.
Это я понял. Хорошо, коли так. Благодарю за разъяснение. Теперь нельзя ли по простому "для тех, кто приехал на бронепоезде":
Михаил писал(а):
Скорее всего ты зашёл на компьютер, с которого кто-то уже писал на наш сайт до тебя. То есть предыдущий пользователь компьютера уже "переписал" твой cookie на свой. Естественно заходя С ТОГО ЖЕ компьютера ты имеешь его доступ. Это понятно и само собой разумеется.
В смысле, "ты зашел на компьютер, с которого уже кто-то писал"? Посредством Сети получил доступ к компьютеру кого-то из посетителей сайта?
Михаил писал(а):
Я не раз обращал внимание, что пользуясь к примеру почтой mail.ru пользователи тоже не нажимают на "выйти". Такие оплошлности нельзя допускать...
Век живи - век учись. Спасибо. Теперь всегда буду нажимать. А вот ежели у меня связь с Интернетом разорвало до того, как я успел "Выход" нажать?
Миша, у меня тоже такой сбой произошел только что (жаль запостить ничего не успел). Но с моего компа 100% никто кроме меня на ревеал не заходил, так что причина в чем-то еще.
Зарегистрирован: Oct 01, 2003
Сообщения: 234
Откуда: Киев, Юг
Добавлено:
Вт Фев 10, 2004 7:05 pm
Цитата:
У тебя интернет через прокси? Это ведь может быть всего лишь кэш - страничка. Нажми F5, это может помочь.
Скорее всего так и есть. У меня на работе стоял прокси с включенным кэшем, так даже "выход" и не помогал - при следующем запуске броузера форум открывался уже с пройденой авторизацией Долго возился с настройками прокси - плюнул и отключил кеш. Все как рукой сняло...
_________________ Там, наверху. Там в подлинности голой
Лежат деянья наши без прикрас
Зарегистрирован: Feb 9, 2003
Сообщения: 1127
Откуда: Владивосток. Один из авторов сайта
Добавлено:
Ср Фев 11, 2004 3:34 am
Гость с юга писал(а):
Миша, у меня тоже такой сбой произошел только что (жаль запостить ничего не успел). Но с моего компа 100% никто кроме меня на ревеал не заходил, так что причина в чем-то еще.
Ура! Да, я тоже "засёк" этот глюк. Причём у меня назвали "Вера". Я тоже не смог ничего запостить и вообще, в принципе даже перейти куда-нибудь не смог, так как сразу "выходил".
Это - кэш на уровне провайдера Мастерхост. Других вариантов нет. То есть вы получаете последний вариант странички index.html который сформировался на сайте. Скорее всего даже этот человек будет в "он-лайне". Вообще, такой кэш должен очищаться, но по каким-то причинам он не чистится или даже не успевает чиститься. Это не наш глюк и это не критично. Вы не сможете добиться следующей загрузки страницы с этим же логином, потому что на кеш странички никаких сессий на сайте не заводится.
Повторюсь, что нельзя получить чужой кукис [файлик такой маленький], они не "рассылаются" но идут только на сайт и это - конечный их путь. Если у вас нет чужого кукиса, то войти никуда вы не сможете, потому что авторизация производится исключительно по нему и никак иначе.
В общем, это случайная загрузка из кэша.
--
Я ещё гляну как эту тему вырубить. На других хостингах этой проблемы не возникало.
SergeyGl писал(а):
В смысле, "ты зашел на компьютер, с которого уже кто-то писал"? Посредством Сети получил доступ к компьютеру кого-то из посетителей сайта?
Нет. Допустим на компьютере с которого ты выходишь в интернет сидел ещё кто-либо, кто загружал страницы сайта Ревеал. Если этот человек на нажал на "Выход", то следующий кто сядет за этот же компьютер и зайдет на Ревеал, получит ЕГО доступ.
SergeyGl писал(а):
Цитата:
пользуясь к примеру почтой mail.ru пользователи тоже не нажимают на "выйти". Такие оплошлности нельзя допускать...
А вот ежели у меня связь с Интернетом разорвало до того, как я успел "Выход" нажать?
Значит следующий кто сядет за этот компьютер почитает твою почту.
_________________ Посему не судите никак прежде времени, пока не придет Господь, Который и осветит скрытое во мраке и обнаружит сердечные намерения [1-Кор. 4:5]
Зарегистрирован: Mar 19, 2003
Сообщения: 442
Откуда: Москва
Добавлено:
Ср Фев 11, 2004 1:24 pm
Цитата:
Это - кэш на уровне провайдера Мастерхост. Других вариантов нет.
Тоже так подумал и хотел написать, но ты меня опередил.
Я знаю, что некоторые хостеры ставят у себя что-то типа прокси, чтобы пользователи качали странички с кеша и не грузили серваки. Видать и у мастерхоста точно так же.
Нет. Допустим на компьютере с которого ты выходишь в интернет сидел ещё кто-либо, кто загружал страницы сайта Ревеал. Если этот человек на нажал на "Выход", то следующий кто сядет за этот же компьютер и зайдет на Ревеал, получит ЕГО доступ.
Спасибо. Нет, сие невозможно. За моим компом не бывает никто, кроме меня. Когда кабинет не закрыт, значит, я сам за ним сижу. Иного не дано.
Впрочем, в меру своих скромных знаний, я понял, в чем дело. И что это не опасно.
Еще раз спасибо за разъяснения.
Зарегистрирован: Mar 12, 2003
Сообщения: 852
Откуда: Минск, Беларусь, РПЦ
Добавлено:
Ср Фев 11, 2004 7:30 pm
А если у вас в организации выход в сеть настроен через proxy (см. настройки ИЕ) то такое вполне возможно.В таком случае, имхо, стоит воспользоваться советом nix-a т.е. отключить кэш. Успехов.
_________________ Argumenta ponderantur, non numerantur
(lat.) Сила доказательств определяется их весомостью, а не количеством
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах