Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
хм... 09.10.01 19:05 Число просмотров: 1144
Автор: paganoid Статус: Member
|
> > > crypt(substr($ip, 5), substr($pass, 3)); > > хорошо что $pass в параметрах ф-ии есть :) > > все равно как-то неспортивно.. > > впрочем, сдаюсь, что я привязался.. > > Я открыт для любых предложений :)
;)
я все еще не могу понять, как же это по приведенной схеме мне удаётся войти под разными sessid с одного ip ....
> Как бы есть всего два способа передавать сессию - либо > через куки, либо через спрятанные поля/куски ссылок.
Это понятно. Просто, честно говоря, первый раз вижу такую схему.
Обычно так - зашёл, получил случайный sess_id, который занёсся в базу,
нажал "выход" - из базы sessid вытерли. И всё. Больше не зайдёшь.
А тут как-то.. хм... Вот всё думаю, что же тут не так, помимо возможности повторного входа ... Ну и про ф-ю crypt. Вот тут на сервере используется crypt с 9-значным salt (вроде) . Это хорошо. А обычно 2х значный. Если бы и тут был двухзначный, то всё бы это очень быстро ломалось перебором.
Т.е. вставил URL, все по нему сходили, записал IP всех людей, прикинул приблизительно ху из ху, и начинаешь шпарить маленький короткий перебор по всем 2значным комбинациям salt...
>На форуме используются оба. В режиме с включенными куками
> после нажатия "выход" все сбрасывается.
Угу, я подметил.
> В принципе, есть еще вариант закрытия каталога средствами > апача, и он, в общем-то, работает, но к общему > использованию я его пока не готовил.
тогда будет выскакивать это жуткое окно , енто не красиво... хотя...
|
|
|