Конференция VBStreets

[FaKk2]

От твоего имени что-нибудь написать что-ли, чтобы ты в следующий раз SID не оставлял?

Кхм, мне казалось, что SID привязан к IP. Разве не так?

[tyomitch]

Привязан. Правда-правда.

[gaidar]

Не всегда, поскольку IP клиента может меняться, то сопоставление SID и IP зачастую вредит и от него избавляются.

[Хакер]

FaKk2
Речь не про phpBB ?

Если да, то заимев sid всё равно не получится войти с чужого компьютера. Можете спать спокойно...

[ANDLL]

Если вы конечно не юзаете публичного proxy-сервера и ваш IP нельзя подменить....

[Хакер]

ANDLL
Да ну? И позволь поинтересоваться - причём здесь IP ?

[ANDLL]

Хакер
Ну и как на phpBB идентифицируются сессии?

[Денис Победря]

Кукисы?

[Хакер]

ANDLL
Он проверяет AL-ключ и UID на соответсвие с тем, что был передан конкретной сессии в последний раз.

Даже если у тебя одинаковый IP у тебя будет свой ALK и свой UID.

[tyomitch]

Не всегда, поскольку IP клиента может меняться, то сопоставление SID и IP зачастую вредит и от него избавляются.

На этом форуме оно точно вредит. Но от него ещё не избавились

[Хакер]

Вот любите вы себя строить мегамонстрами АСМа и прочих системных дел. Ну ладно, так вот, вы хотя бы тут не выпендривайтесь.

Во первых, проверка на совпадение IP ведётся только по подсети т.е. по первым 3 байтам.

Большинство провайдеров раздёют динамические адреса с одинаковой подсетью.

Такчто после переподключений всё должно работать.

Во-вторых, всё это влияет на то, будет ли продолжаться сессия со старым UID-ом или же будет произведена перелогинеровка, с проверкой переданного ALK.

Но на саму сессию IP адрес никак особенно не влияет.

[tyomitch]

1) ну и зачем проверка на "подсеть"? (И почему ей всегда считается /24? провайдеры с более чем 256 адресами не в счёт?)
2) многократно проверенный факт в том, что после смены IP подсветка прочитанных сообщений сбрасывается.
3) при чём тут АСМ и прочие системные дела? очень хочется как-нибудь уязвить? Давай я тебя теперь в каждом топике буду называть "мегамонстром PHP и прочих серверных дел".

[gaidar]

Хакер, ты приведи код, который выполняет проверку и объясни, что там происходит. Тогда и "чморить" тебя никто не будет . Ты же монстр PHPBB

[Хакер]

Я уже приводил его. Смотрите топик в соотв. теме в разделе VBStreets.

[Wild VB Code for Food]

Вот любите вы себя строить мегамонстрами АСМа и прочих системных дел. Ну ладно, так вот, вы хотя бы тут не выпендривайтесь.

Во первых, проверка на совпадение IP ведётся только по подсети т.е. по первым 3 байтам.

Большинство провайдеров раздёют динамические адреса с одинаковой подсетью.

Такчто после переподключений всё должно работать.

Во-вторых, всё это влияет на то, будет ли продолжаться сессия со старым UID-ом или же будет произведена перелогинеровка, с проверкой переданного ALK.

Но на саму сессию IP адрес никак особенно не влияет.

В phpBB не самым образом реализован контроль сессий\кукишов. Глупо заносить все кукиши\сессии в базу. Горазбо проще нести в себе всё необходимые данные, особенно в случае с сессиями, тк их изменить нельзя, ибо они хранятся на сервере. С кукишкми дело обстоит сложнее, но не намного, кукишы хранятся у юзера, вот их-то и надо контролировать.