Дмитровский Форум V2

[Brasset]

На нашем форуме есть маленькая уязвимость, которая позволяет читать заголовки ЛС, других людей. Т.е. писать в заголовке открытым текстом "Люсик, сегодня в 10" не стоит. В теле сообщения можно - его никто не прочитает. Так же можно читать чужой профайл.

Суть проблемы: Если несколько человек сидят за одним прокси-сервером, то страницы форума сервером кешируются. А так как, страницы "Личные сообщения" и "Профайл" имеют для всех один постоянный URL (например,
privmsg.php?folder=inbox), который не идентифицируется для каждого пользователя, то я могу видеть из кеша страницу соседа.
С этим же связаны глюки, когда пользователи форума типа "логинились" под чужими аккаунтами.

Вот так... Решить можно просто, добавлять в url этих личных страниц переменную со случайным значением.

[Kmaro]

Взял Димка и все рассказал!!
Си++ и PHP bb = Hack!!!