Аккуратнее с личными сообщениями.
Чт авг 28, 2008 16:34 pm
На нашем форуме есть маленькая уязвимость, которая позволяет читать заголовки ЛС, других людей. Т.е. писать в заголовке открытым текстом "Люсик, сегодня в 10" не стоит. В теле сообщения можно - его никто не прочитает. Так же можно читать чужой профайл.
Суть проблемы: Если несколько человек сидят за одним прокси-сервером, то страницы форума сервером кешируются. А так как, страницы "Личные сообщения" и "Профайл" имеют для всех один постоянный URL (например,
privmsg.php?folder=inbox), который не идентифицируется для каждого пользователя, то я могу видеть из кеша страницу соседа.
С этим же связаны глюки, когда пользователи форума типа "логинились" под чужими аккаунтами.
Вот так... Решить можно просто, добавлять в url этих личных страниц переменную со случайным значением.
Суть проблемы: Если несколько человек сидят за одним прокси-сервером, то страницы форума сервером кешируются. А так как, страницы "Личные сообщения" и "Профайл" имеют для всех один постоянный URL (например,
privmsg.php?folder=inbox), который не идентифицируется для каждого пользователя, то я могу видеть из кеша страницу соседа.
С этим же связаны глюки, когда пользователи форума типа "логинились" под чужими аккаунтами.
Вот так... Решить можно просто, добавлять в url этих личных страниц переменную со случайным значением.
Чт авг 28, 2008 23:59 pm
Взял Димка и все рассказал!! 
Си++ и PHP bb = Hack!!!
Си++ и PHP bb = Hack!!!
Powered by phpBB © phpBB Group.
По всем вопросам пишите в службу поддержки [email protected]
phpBB Mobile / SEO by Artodia.