发现一枚大bug

gcell · #1

直接把论坛地址栏中的帖子复制给别人，别人在不知道我帐号密码的情况下，竟然可以通过点击链接使用我的帐号访问而且可以发帖，这是是神马情况！

请求管理员关注，涉bug帖子：viewtopic.php?f=162&t=448911&p=3052498#p3052498

gcell · #2

gcell · #3

灰色小狼 · #4

未能重现

oneleaf · #5

如果客户端没有启用Cookie，论坛则采用 sid=xxx 来标记会话。如果你朋友IP和你的一样，并且复制的链接包括了会话ID，就会出现这个情况。没有好的办法，复制链接的时候删除sid信息。

gcell · #6

oneleaf 写了：如果客户端没有启用Cookie，论坛则采用 sid=xxx 来标记会话。如果你朋友IP和你的一样，并且复制的链接包括了会话ID，就会出现这个情况。没有好的办法，复制链接的时候删除sid信息。

看来暂时是无解了。
我是湘潭的、朋友是长沙的，应该不是同一个IP，地域上相邻估计应该是同一个IP段。

adagio · #7

ID漂移事件嘛，以前发生过很多次了，搜搜看
解决办法就是不要复制带sid标记的地址，直接从&sid=开始后面删掉就OK

phoenixlzx · #8

很明显把sid复制过去了... 你把你的用户session给别人就相当于在session有效期内把自己的帐号交给别人了。

qy117121 · #9

adagio 写了：ID漂移事件嘛，以前发生过很多次了，搜搜看
解决办法就是不要复制带sid标记的地址，直接从&sid=开始后面删掉就OK