1
xfspace 2017-09-02 22:30:21 +08:00 via Android
估计是参数放在 URL 里,且未鉴权?
|
2
superboss01 OP @xfspace URL 里面无任何参数 用户 B 本身的数据对象也是正确的 就是 SESSION 里面本应该是 A 的数据 居然 B 也获取到了
|
3
crz 2017-09-02 22:39:24 +08:00
@superboss01 那就是有 bug ?
|
4
t6attack 2017-09-02 22:58:39 +08:00
我遇到过诡异的事:
小时候,是电话串线。当时看报纸,发现很多时候,是老鼠搞乱电线导致的。 网络时代,是网络串线。某巨型网站,刷新以后发现是别人的帐号,而且能进行各种操作。一般是运营商缓存设备的锅。 虽然少见,但也不算稀奇,大家应该都遇到过。 |
5
t6attack 2017-09-02 23:01:10 +08:00
对对,网络时代不叫 “串线”,叫 “串号”。
|
6
parametrix 2017-09-02 23:02:19 +08:00
@t6attack 妈呀,网络串线 666,就这还有人坚持不上 https,毕竟运营商缓存是特性呢
|
7
t6attack 2017-09-02 23:27:13 +08:00
@parametrix 也不都是运营商的锅。网站方自己配置不当也可能导致问题。
知乎、12306、甚至 Steam,都是自己的锅。 https://www.baidu.com/s?ie=UTF-8&wd=%E4%B8%B2%E5%8F%B7%E4%BA%8B%E4%BB%B6 https://www.baidu.com/s?ie=UTF-8&wd=Steam+%E8%B4%A6%E5%8F%B7%E4%B8%B2%E5%8F%B7 大家都知道,新浪微博先是登录过程上的 https,N 年以后,才是全站 https。 之前登录过程上 https,就是因为一次串号事件的结果。 http://sec.chinabyte.com/374/12542374.shtml |
8
t6attack 2017-09-02 23:28:04 +08:00
|
9
flynaj 2017-09-03 00:29:07 +08:00 via Android
微信缓存下来的,
|
10
beijinglowb 2017-09-03 00:56:51 +08:00 via iPhone
毫不稀奇,这种事我遇到的多了。局域网特别是大学校园网,很容易出现类似问题。原理是,校园网或鹏博士这类宽带,在地区宽带 CDN 对用户内容进行缓存,以加快网站速度。
缓存的时候你自身的 COOKIE 会话值一类根据某种算法传输到了运营商 CDN 进行解析,决定是否输出缓存数据。 但是运营商 CDN 出现了问题,把你和他人的会话混淆了。于是就出现一个问题,你自己的网页访问 CDN,CDN 向网站发出了他人的认证信息,网站返回的自然是他人的内容。 |
11
superboss01 OP @all 这个怪的就是服务器接收到的 a 和 b 2 用户的 cookie 都是不一样的。 可就是 b 居然还获取到了 a 的会话数据
然后全站 https 百思不得其解。单独进行代码测试的话一切正常 |
12
wanglaihuai 2017-09-03 02:04:38 +08:00 via Android
当年还不是智能机的时候,我用手机打开网页 QQ,居然莫名其妙登录的是别人的 QQ 号。到现在我还一脸懵比。难道串号了?
|
13
superboss01 OP 都散了吧 虽然问题解决了 不过看样子用别人写的东西还是不放心靠谱 我还是自己写自己的会话处理逻辑吧 本来有的,懒得写而已
|