Баг? Дыра? Фантастическое стечение обстоятельств?

0

1

Ночи доброй! Стал свидетелем, как знакомый мне человек случайно вошёл под моим аккаунтом. Исключая версии утаскивания куки и подбор пароля, насколько реальна остается вероятность некорректной генерации сессии или чего там, что определяет авторизацию пользователя? Были ли на протяжении получаса какие-то манипуляции с БД или сервером? Вообще, что могло случится? И как?

Всю инфу модеры могут просмотреть сами, верно? В т.ч. User-Agent, IP, и прочее.

Ссылка

←	wiki - wtf?

отметить как не решенную

→

Подтверждаю, вот пишу сейчас с его акка.

Chaser_Andrey ★★★★★
(18.10.10 03:16:53 MSD) автор топика

Ссылка

Кажется, никто не поверил :(

Тут жеж имел место быть баг!

Chaser_Andrey ★★★★★
(21.10.10 03:40:19 MSD) автор топика

Ссылка

Если кошка сядет за мой компьютер, то она тоже сможет писать с моего акка. Это баг?

shoewreck ★
(21.10.10 09:28:58 MSD)

Ответ на: комментарий от shoewreck 21.10.10 09:28:58 MSD

В том и дело, что произошло это на совершенно постороннем компьютере, за десятки км от меня, на другом IP другого провайдера.

Chaser_Andrey ★★★★★
(21.10.10 11:04:50 MSD) автор топика

Ссылка

Исключая версии:

- утаскивания куки

- подбор пароля

Есть версия, что утаскивания не было, а пароль ты ему передал сам.

anonymous
(22.10.10 18:49:02 MSD)

Ссылка

ссылочку с JSESSIONID не кидали знакомому ?)

Sylvia ★★★★★
(22.10.10 18:50:27 MSD)

trojan/keyloger

derlafff ★★★★★
(22.10.10 18:50:49 MSD)

Ссылка

Не старайся, ты панику тут не спровоцируешь, потому что есть такое понятие как, правда =)

~~qsloqs~~ ★★
(22.10.10 18:51:56 MSD)

Ссылка

Ответ на: комментарий от Sylvia 22.10.10 18:50:27 MSD

Покопался в хистори, обнаружил, что за полчаса до происшедшего _мне_ этот же человек кинул ссылку с JSESSIONID, по которой я прошел. Это полезные сведения?

Chaser_Andrey ★★★★★
(22.10.10 20:57:19 MSD) автор топика

Ответ на: комментарий от Chaser_Andrey 22.10.10 20:57:19 MSD

заходя по ссылке с JSESSIONID вы можете зайти с того аккаунта которому эта session id принадлежит, т.е. вы могли зайти с чужого аккаунта.

Sylvia ★★★★★
(22.10.10 21:01:30 MSD)

Ответ на: комментарий от Sylvia 22.10.10 21:01:30 MSD

Это я понял, но получилось наоборот. Могло случится, что я, будучи залогиненный, получил ссылку с [не]существующей сессией, которая присвоилась мне, а потом удалённой стороне передались мои параметры авторизации по этой злополучной сессией?

Chaser_Andrey ★★★★★
(22.10.10 21:06:04 MSD) автор топика