Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
хм... 09.10.01 19:35 Число просмотров: 1202
Автор: dl <Dmitry Leonov>
|
> я все еще не могу понять, как же это по приведенной схеме
> мне удаётся войти под разными sessid с одного ip ....
Я тоже :)
> > Как бы есть всего два способа передавать сессию - либо
> > через куки, либо через спрятанные поля/куски ссылок.
> Это понятно. Просто, честно говоря, первый раз вижу такую
> схему.
> Обычно так - зашёл, получил случайный sess_id, который
> занёсся в базу,
> нажал "выход" - из базы sessid вытерли. И всё. Больше не
> зайдёшь.
Ну можно, конечно. Просто этот вариант вообще всегда рассматривался как вторичный, возмущавшихся им до сих пор не было.
> А тут как-то.. хм... Вот всё думаю, что же тут не так,
> помимо возможности повторного входа ... Ну и про ф-ю crypt.
> Вот тут на сервере используется crypt с 9-значным salt
> (вроде) . Это хорошо. А обычно 2х значный. Если бы и тут
> был двухзначный, то всё бы это очень быстро ломалось
> перебором.
> Т.е. вставил URL, все по нему сходили, записал IP всех
> людей, прикинул приблизительно ху из ху, и начинаешь
> шпарить маленький короткий перебор по всем 2значным
> комбинациям salt...
Угу, только не очень понятно, как прикидывать, ху из ху :) К тому же у большинства в настройках стоит использование cookie, при котором проверка идентификатора в поле не проводится... Кроме того, я не обещал, что дал абсолютно точный вид функции :)
|
|
|
подробно о проекте
Анализ криптографических сетевых...
