ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 


  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: nginx-ru
Nginx-ru mailing list archive (nginx-ru@sysoev.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: ngx_http_userid_module - неточност и документации, cookie пред сказуем



On 01/20/12 16:29, Volodymyr Kostyrko wrote:
<<< HTTP/1.1 200 OK
<<< Server: nginx/1.0.11
<<< Date: Fri, 20 Jan 2012 11:04:19 GMT
<<< Content-Type: application/json
<<< Connection: close
<<< Set-Cookie: uid=wKgIPE8ZSjOvoyMQAwNlAg==; expires=Sat, 19-Jan-13 11:04:19
GMT; path=/
<<< P3P: policyref="/w3c/p3p.xml", CP="NOI CUR ADM PSA OUR STP STA"
<<<
offset 0, length -1, size -1, clength -1
Unknown

Т.е. зная во сколько пользователь подключался к сайту можно приблизительно
угадать какая у него будет создана сессия. Ну и соответственно в неё вклиниться.
Можно вообще мониторить сайт на предмет авторизированных пользователей.

модуль userid создавался совсем не для сессий, и uid использовать как session id плохая идея.

В любом случае в этом модуле нет механизма проверки сессий, так что непонятно зачем вообще нужно использовать uid в качестве session id.

--
 Anton Yuzhaninov

_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru


 




Copyright © Lexa Software, 1996-2009.