分页: 1 / 1
发现一枚大bug
发表于 : 2013-12-30 10:07
由 gcell
直接把论坛地址栏中的帖子复制给别人,别人在不知道我帐号密码的情况下,竟然可以通过点击链接使用我的帐号访问而且可以发帖,这是是神马情况!
请求管理员关注,涉bug帖子:
viewtopic.php?f=162&t=448911&p=3052498#p3052498
Re: 发现一枚大bug
发表于 : 2013-12-30 10:09
由 gcell
Re: 发现一枚大bug
发表于 : 2013-12-30 10:25
由 gcell
Re: 发现一枚大bug
发表于 : 2013-12-30 10:33
由 灰色小狼
未能重现
Re: 发现一枚大bug
发表于 : 2013-12-30 10:37
由 oneleaf
如果客户端没有启用Cookie,论坛则采用 sid=xxx 来标记会话。如果你朋友IP和你的一样,并且复制的链接包括了会话ID,就会出现这个情况。没有好的办法,复制链接的时候删除sid信息。
Re: 发现一枚大bug
发表于 : 2013-12-30 11:00
由 gcell
oneleaf 写了:如果客户端没有启用Cookie,论坛则采用 sid=xxx 来标记会话。如果你朋友IP和你的一样,并且复制的链接包括了会话ID,就会出现这个情况。没有好的办法,复制链接的时候删除sid信息。

看来暂时是无解了。
我是湘潭的、朋友是长沙的,应该不是同一个IP,地域上相邻估计应该是同一个IP段。
Re: 发现一枚大bug
发表于 : 2013-12-30 13:22
由 adagio
ID漂移事件嘛,以前发生过很多次了,搜搜看
解决办法就是不要复制带sid标记的地址,直接从&sid=开始后面删掉就OK
Re: 发现一枚大bug
发表于 : 2013-12-30 13:27
由 phoenixlzx
很明显把sid复制过去了... 你把你的用户session给别人就相当于在session有效期内把自己的帐号交给别人了。
Re: 发现一枚大bug
发表于 : 2013-12-30 19:09
由 qy117121
adagio 写了:ID漂移事件嘛,以前发生过很多次了,搜搜看
解决办法就是不要复制带sid标记的地址,直接从&sid=开始后面删掉就OK