Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
хм... 09.10.01 19:35 Число просмотров: 1202
Автор: dl <Dmitry Leonov>
|
> я все еще не могу понять, как же это по приведенной схеме > мне удаётся войти под разными sessid с одного ip ....
Я тоже :)
> > Как бы есть всего два способа передавать сессию - либо > > через куки, либо через спрятанные поля/куски ссылок. > Это понятно. Просто, честно говоря, первый раз вижу такую > схему. > Обычно так - зашёл, получил случайный sess_id, который > занёсся в базу, > нажал "выход" - из базы sessid вытерли. И всё. Больше не > зайдёшь.
Ну можно, конечно. Просто этот вариант вообще всегда рассматривался как вторичный, возмущавшихся им до сих пор не было.
> А тут как-то.. хм... Вот всё думаю, что же тут не так, > помимо возможности повторного входа ... Ну и про ф-ю crypt. > Вот тут на сервере используется crypt с 9-значным salt > (вроде) . Это хорошо. А обычно 2х значный. Если бы и тут > был двухзначный, то всё бы это очень быстро ломалось > перебором. > Т.е. вставил URL, все по нему сходили, записал IP всех > людей, прикинул приблизительно ху из ху, и начинаешь > шпарить маленький короткий перебор по всем 2значным > комбинациям salt...
Угу, только не очень понятно, как прикидывать, ху из ху :) К тому же у большинства в настройках стоит использование cookie, при котором проверка идентификатора в поле не проводится... Кроме того, я не обещал, что дал абсолютно точный вид функции :)
|
|
|