直接把论坛地址栏中的帖子复制给别人,别人在不知道我帐号密码的情况下,竟然可以通过点击链接使用我的帐号访问而且可以发帖,这是是神马情况!
请求管理员关注,涉bug帖子:viewtopic.php?f=162&t=448911&p=3052498#p3052498
发现一枚大bug
- gcell
- 帖子: 429
- 注册时间: 2007-04-30 2:25
- 来自: 湖南湘潭
- 联系:
发现一枚大bug
孰能浊静之以徐清,孰能安动之以馀生!
gcell -- http://gcell.blog.163.com/
gcell -- http://gcell.blog.163.com/
- gcell
- 帖子: 429
- 注册时间: 2007-04-30 2:25
- 来自: 湖南湘潭
- 联系:
Re: 发现一枚大bug
孰能浊静之以徐清,孰能安动之以馀生!
gcell -- http://gcell.blog.163.com/
gcell -- http://gcell.blog.163.com/
- gcell
- 帖子: 429
- 注册时间: 2007-04-30 2:25
- 来自: 湖南湘潭
- 联系:
Re: 发现一枚大bug
孰能浊静之以徐清,孰能安动之以馀生!
gcell -- http://gcell.blog.163.com/
gcell -- http://gcell.blog.163.com/
- 灰色小狼
- 帖子: 4585
- 注册时间: 2008-12-06 10:38
- 系统: Arch
Re: 发现一枚大bug
未能重现
- oneleaf
- 论坛管理员
- 帖子: 10448
- 注册时间: 2005-03-27 0:06
- 系统: Ubuntu 12.04
Re: 发现一枚大bug
如果客户端没有启用Cookie,论坛则采用 sid=xxx 来标记会话。如果你朋友IP和你的一样,并且复制的链接包括了会话ID,就会出现这个情况。没有好的办法,复制链接的时候删除sid信息。
- gcell
- 帖子: 429
- 注册时间: 2007-04-30 2:25
- 来自: 湖南湘潭
- 联系:
Re: 发现一枚大bug
看来暂时是无解了。oneleaf 写了:如果客户端没有启用Cookie,论坛则采用 sid=xxx 来标记会话。如果你朋友IP和你的一样,并且复制的链接包括了会话ID,就会出现这个情况。没有好的办法,复制链接的时候删除sid信息。
我是湘潭的、朋友是长沙的,应该不是同一个IP,地域上相邻估计应该是同一个IP段。
孰能浊静之以徐清,孰能安动之以馀生!
gcell -- http://gcell.blog.163.com/
gcell -- http://gcell.blog.163.com/
- adagio
- 论坛版主
- 帖子: 22110
- 注册时间: 2008-02-17 23:47
- 来自: 美丽富饶的那啥星球
Re: 发现一枚大bug
ID漂移事件嘛,以前发生过很多次了,搜搜看
解决办法就是不要复制带sid标记的地址,直接从&sid=开始后面删掉就OK
解决办法就是不要复制带sid标记的地址,直接从&sid=开始后面删掉就OK
明天就换大三八!
——8核CPU、8G内存、8T硬盘……
8卡交火,80寸大屏放8个……
IPv8的光纤要8条……
---------------------------------------------------------------------------------
★ [图片版]新手当自强(续)FAQ
★ [新手进阶]挂载、fstab、调整linux分区
★ [图片版]E17桌面环境配置手把手
——8核CPU、8G内存、8T硬盘……
8卡交火,80寸大屏放8个……
IPv8的光纤要8条……
---------------------------------------------------------------------------------
★ [图片版]新手当自强(续)FAQ
★ [新手进阶]挂载、fstab、调整linux分区
★ [图片版]E17桌面环境配置手把手
- phoenixlzx
- 帖子: 2245
- 注册时间: 2009-07-29 20:11
- 系统: Arch Linux
- 来自: Gensokyo
- 联系:
Re: 发现一枚大bug
很明显把sid复制过去了... 你把你的用户session给别人就相当于在session有效期内把自己的帐号交给别人了。
- qy117121
- 论坛版主
- 帖子: 50557
- 注册时间: 2007-12-14 13:40
- 系统: Winbuntu
- 来自: 志虚国乌由市
- 联系:
Re: 发现一枚大bug
adagio 写了:ID漂移事件嘛,以前发生过很多次了,搜搜看
解决办法就是不要复制带sid标记的地址,直接从&sid=开始后面删掉就OK