1
бкрс
Найдена дыра в безопасности сайта из-за того, что он интегрирован с форумом. Если кто-то заимеет доступ базе или к вашему компу с печенюшками, то он может стать вами без всяких паролей. Хотя и непонятно зачем это кому-то может быть нужным.

Уязвимость исправлена, но получился отрицательный побочный эффект. Он повлияет на тех, кто часто залогинен с разных девайсов, например, с компа и телефона.

Короче - если вы входите или выходите, то логин на других девайсах сбрасывается. Одновременно быть залогиненным на разных девайсах нельзя. В некоторых случаях это хорошо, в некоторых плохо, в большинстве не имеет значения. Можно сделать опционально.


Зато у вас по всему телу разольётся ощущение безопасности
[Изображение: 139.jpg]
2014.10.26
Тема Ответить
2
小熊
бкрс, плохо-плохо-плохо

Я с четырёх устройств захожу: ноутбук, смартфон, маленький планшет и большой планшет.

Верните как было. Никому мои печеньки не нужны.
2014.10.26
Тема Ответить
3
бкрс
小熊, так и знал, что кто-то будет резко против. Пока выключил, подумаю как лучше, может опционально. Или просто периодически (раз в месяц) для профилактики.
Может только себе оставлю 14

Это как раз причина почему девелоперы движка так не делают.
2014.10.26
Тема Ответить
4
бкрс
Придумал как сделать - оставлю только для себя (люблю мурашки безопасности и редко захожу не с ноута), а включать для всех только если будет какой-то шухер.
2014.10.26
Тема Ответить
5
小熊
бкрс, честно говоря, это сложно и "дырой" то назвать. Чтобы получить доступ к моим печенькам, злоумышленнику сначала нужно получить доступ к файловой системе моего устройства на правах администратора/суперюзера...

Параноики всегда могут пользоваться инкогнито-режимом, поддерживаемым во всех современных браузерах. В этом режиме печеньки не сохраняются по завершении сессии.
2014.10.26
Тема Ответить
6
бкрс
2014.10.26小熊 бкрс, честно говоря, это сложно и "дырой" то назвать. Чтобы получить доступ к моим печенькам, злоумышленнику сначала нужно получить доступ к файловой системе моего устройства на правах администратора/суперюзера...
Это одно из самых узких мест безопасности. Кроме непосредственно с печенек вашего компа, этот ключ (его вы можете увидеть в куке mybbuser: id_key) может быть стянут с базы данных при какой-нибудь sql дырке, которая наверняка есть, учитывая что тут всё самодельное. В отличии от пароля, этот ключ хранится в открытом виде и обновляется только при смене пароля, т.е. крайне редко.
Я просто сделал так, чтобы ключ обновлялся при каждом входе и выходе, что сбрасывает остальные логины, но зато если у кого-то он окажется, долго он им пользоваться не сможет.
2014.10.26
Тема Ответить
7
бкрс
Но это явно слабость системы (движок форума), говорят, что в следующих версиях возможно исправят. В идеале нужно проверять ип, бразуер, экран и т.п., если что-то меняется на новом девайсе - вводить пароль.

Кстати, недавно вышло большое обновление форума, больше всего мне там нравится soft delete - т.е. удалённые посты и темы помещаются в корзину, от куда могут быть восстановлены. Обновлю когда стабилизируют.
2014.10.26
Тема Ответить
8
小熊
бкрс, не уверен, есть ли прямая связь, но со вчерашнего дня стало часто разлогинивать, особенно если включен прокси в браузере. Иногда вообще не позволяет залогиниться.
2014.12.31
Тема Ответить
9
бкрс
小熊, вчера ничего крупного не делал, надо подождать немного. У меня ни разу само не разлогиневалось.
Хотя с прокси проблема в том, что форум и вики очень тяжело грузят, непонятно почему, остальное терпимо, но хуже чем без.
2014.12.31
Тема Ответить
Ответить