от моего имени запостили какой-то видос, рекламу http://anime.joyreactor.cc/post/1473517 на почту пришло такое Вопрос - как? В почте в логах ip никаки... / dev :: реактор :: дырка? :: уязвимость :: песочница

Ондатра Петровна

devреактордырка?уязвимостьпесочница

от моего имени запостили какой-то видос, рекламу http://anime.joyreactor.cc/post/1473517
на почту пришло такое

Вопрос - как? В почте в логах ip никаких левых нет.

Re: ДжойРеактор
От кого: Aniom Pictures <design@aniom.ru> □
Кому: Вася Пупкин <astrocit@mail.ru>
Сегодня, 20:19
Мы в принципе никто. Просто немного рекламируемся. Не волнуйтесь мы больше не будем постить ничего с вашего ника. Прошлый пост удалили. Удачи!
4 августа 2014 г., 22:11 пользователь

Они же извинились.

04.08.2014, 17:39

+2,3

Я и не обвиняю, я просто интересуюсь - как это было сделано. На комп грешить и менять все пароли, или просто реактор глючит?

Ондатра Петровна

04.08.2014, 17:40

+0,1

Пароли все равно меняй, лишним не будет.

04.08.2014, 18:00

+0,1

Ты кликнул на видео и у тебя спёрли куку.
При этом мне об этом никто не сказал.

У Ну... если он встречается с таким и уже через месяц жрет то, что оно готовит - он достоин обращения в вампира. — 5Р #
Ранаты фильма Сумерки ^ ^ О
This film is dedicated
— duPeer tt —4.6
У Серьезно? кто то на это купился? — lailune # — 0.4
У А что там такое? у меня просто javascript не

04.08.2014, 19:23

+1,5

А кука хранится в форме хэша? Тогда простой сменой пароля можно обойтись?

Ондатра Петровна

04.08.2014, 19:53

+0,1

кука хранится в виде куки. Смена пароля бы не помогла. Надо перелогиниваться. Сейчас тебе ничего делать не надо - я всех перелогинил принудительно.

04.08.2014, 20:06

+2,8

Понятно, почему меня отлогинило.

А сколько куки тут живут?

04.08.2014, 20:53

+0,1

могут жить бесконечно долго, если ты время от времени логинишься и не логаутишься.

04.08.2014, 22:18

0,0

а куки никак не привязываются к IP адресу у нас?

05.08.2014, 05:32

0,0

Нет. У нас не банк, чтобы так сильно заботиться о секурити. Некоторые ходят с ноутбуком из дома в офис и обратно - их постоянно разлогинивало бы.

05.08.2014, 05:56

0,0

А если HTTP-only допилить на сессионную куку? Ведь будет лучше. Или она много где в JS используется, и перепиливать код будет проблемно?

12.08.2014, 00:31

0,0

крадётся кука, которая отвечает за автологин

12.08.2014, 07:52

0,0

Я может чего-то недопонимаю. Почему у куки remember нет параметра httponly? Она используется в JS сайта?

Response Headers view parsed
HTTP/1.1 302 Found Server: nginx/1.4.4 Date: Wed, 13 Aug 2014 06:02:42 GMT Content-Type: text/html; charset=utf-8 Transfer-Encoding : chunked Connection: keep-alive X-Powered-By: PHP/5.4.24 Location: http ://joyreactor.cc/
Set-Cookie:

13.08.2014, 06:06

0,0

Хм, я так понимаю, механизм сессий реализован с использованием стандартных средств симфони, а кука, отвечающая за запоминание - хранится в бд, и обрабатывается своим костылем? =) А нафига? Кука joyreactor вон на три дня выдается, чому её не использовать для автологина? Garbage Collector чистит их на сервере?

13.08.2014, 06:21

0,0

не, я нубяра и не знал про httponly =)

13.08.2014, 06:32

0,0

сделал, спасибо за наводку =)

13.08.2014, 06:42

+0,3

так тебя тоже Вася Пупкин зовут?

04.08.2014, 23:24

0,0

Похожие посты ↓↓↓

876560, 1482893, 1460979, 1813217, 1480354, 1444945, 1504339, 1443594, 1458826, 1511604, 1427723, 1504242, 1442200, 1530028, 1535412