Náhodné odhlašování
Moderátor: Moderátoři
- Křečík Barbuška
- Příspěvky: 11040
- Registrován: ned srp 29, 2004 09:01
- Bydliště: Brno
Re: Náhodné odhlašování
Nejedeme, společný uzel jsem poslal k šípku, prchl jsem k Netboxu.
Edit: jestli to nastalo změnou poskytovatele, netuším. Migroval jsem v době přerodu fóra a to se děly hrůzné věci . To odhlášení se mi stává velice zřídka, proto to ignoruji.
Edit: jestli to nastalo změnou poskytovatele, netuším. Migroval jsem v době přerodu fóra a to se děly hrůzné věci . To odhlášení se mi stává velice zřídka, proto to ignoruji.
Naposledy upravil(a) Křečík Barbuška dne stř pro 07, 2011 15:57, celkem upraveno 2 x.
Lada Granta Liftback 1,6 16V - skoro normální auto
Lada Kalina 1117 1,6 8V - neopodstatněné a nenaplněné naděje
ex VAZ 2105, VAZ 2104, VAZ 2107
Lada Kalina 1117 1,6 8V - neopodstatněné a nenaplněné naděje
ex VAZ 2105, VAZ 2104, VAZ 2107
Re: Náhodné odhlašování
Aha, to je nová informace. A to odhlašování Ti dělá až po změně uzlu, nebo jsi to zaregistroval už předtím?
- dmatej
- Příspěvky: 2847
- Registrován: pon bře 14, 2005 20:44
- Bydliště: Přehýšov
- Kontaktovat uživatele:
Re: Náhodné odhlašování
No, skoro dobře. Jde o to, že IP adresa klienta se za celou dobu nezmění - ale změní se IP adresa z pohledu serveru, protože serveru se neptá přímo klient, ale nějaká proxy "na cestě". A protože cest je víc, jelikož jednou by tolik požadavků od všech klientů neprošlo, občas komunikace "uhne" na jinou proxy.JmJ píše:Jde o to, ze phpbb identifikuje uzivatele behem sezeni, tedy od prihlaseni do odhlaseni, jednak podle identifikatoru, ktery phpBB pro daneho uzivatele v danem sezeni vygeneruje a ktery musi uzivateluv prohlizec pri kazdem pozadavku o stranku poslat, druhak podle ip adresy, ktera musi byt stejna jako pro prihlaseni, tretak jeste podle neceho dalsiho, co se nesmi behem sezeni zmenit.
Z toho plyne, ze pokud se uzivatel prihlasi z IP adresy A a pri dalsim nacteni nejake stranky na foru posle pozadavek z IP adresy B, tak je v prdeli a je odhlasen. U velkych poskytovatelu internetu, nebo treba u mobilnich operatoru, vyfasujete pro svuj pocitact IP adresu ze soukrome site operatora. Operator pak vase data posle do internetu pres nekterou ze svych internetovych bran, kterou si vybere treba podle vytizeni. Kazda brana ma jinou verejno IP v internetu. Takze dochazi k tomu, ze pro phpBB se uzivatel s jednim identifikatorem sezeni prihlasi z jine IP adresy a proto ho phpBB odstrihne.
Tyhle ruzne urovne parovani uzivatele k sezeni se daji vypinat, roste tim ale nezabezpecenost prace s forem.
(mozna sem to nepopsal technicky presne, ale doufam, ze pochopitelne).
Háček v HTTP protokolu je ten, že IP adresa v requestu je buď veřejná IP adresa klienta, nebo IP adresa poslední proxy na cestě. U mobilního připojení tak phpBB nemá jak zjistit IP adresu skutečného klienta, dokonce víc klientů bude mít stejnou (šlo to přes stejnou proxy). Proxy pak ví koho se ptala a pro koho se ptala, takže když dostane ze serveru odpověď, zase hlavičky vymění a klient se taky nic nedozví.
Mimochodem, bez HTTPS pak na každé takové proxy může někdo sedět a číst si, co píšete
Veškeré ty finty phpBB jsou jen špatnou ochranou proti tomu, aby vám někdo neukradl to sessionId. Jenže ten "někdo" to vůbec nepotřebuje, protože vám při přihlášení může klidně přečíst heslo, když už by k té komunikaci měl přístup.
Odhlašování to dělá víc lidem i na jiných forech. A já to tuhle musel vysvětlovat i zákazníkovi, že máme v auditních logách stejnou ip adresu pro různé uživatele - právě díky tomu mám tohle "našprtané". V podstatě se na serveru NEDÁ spolehlivě zjistit IP adresa klienta. A to nemusí ani používat všelijaké ty anonymizéry - což jsou v praxi jen proxy, které nevyplňují hlavičku X-...-FOR (dle specifikace nemusí a jak jsem už psal, i drahý hardware to leckdy neumí).
Co se týče SSL, jsou dvě možnosti:
1) Koupit ověřený certifikát
2) Certifikát si vygenerovat zdarma.
Druhá možnost má tu nevýhodu, že každý uživatel bude muset "potvrdit výjimku" v prohlížeči, protože "certifikát nebyl vydán ověřenou autoritou".
(příběh pro pobavení - vloni nebo předloni někdo naboural jednu z těch ověřených a byl z toho docela povyk )
Obě možnosti mají stejný stupeň zabezpečení, resp. druhá může mít i vyšší, neb si vygenerujete certifikát s klíčem o síle, jaká vás napadne, kdežto u první možnosti cena se stupňem bezpečnosti roste.
Ideální by byla možnost 0+2, čili jen spustit druhý listener na jiném portu a s podporou HTTPS. Kdo by chtěl přes HTTP, mohl by, kdo přes HTTPS, mohl by taky.
Obecně k administraci by se vždycky mělo lézt přes HTTPS, protože tam riziko, že někdo ukradne heslo, může mít fatální důsledky.
To odhlašování se děje někdy co půl minuty, někdy po 10 minutách. Někdy vůbec, nejspíš to závisí od vytížení mobilní sitě a místa, kde klient dřepí. Rozhodně já tu sedím doma u "pecka" na židli, nedriftuju ...
Jak mají naši mobilní operátoři uspořádanou síť netuším, předpokládám, že všechno nejde přes nějakého velkého bratra, ale možná taky jo. Vlastně - asi spíš jo, vzhledem k tomu, že PČR by měla mít přístup k odposlechům ...
Možná by pomohlo, kdyby Vodafénu nějaká ta proxy umřela ... ale čert ví, jakou tam mají výkonovou rezervu ...
EDIT: Zkusil jsem v URL nahradit http https, jen tak pro srandu, zjištění:
1) Orangeline na portu 443 (HTTPS) poslouchá. (HTTP má port 80, tyhle dva jsou každý pro své číslo "defaultní", proto vám je prohlížeč nepíše )
2) Dokonce mají certifikát, samozřejmě neplacený, tož jsem dal výjimku
3) A dostal jsem 404, čili "nenalezeno". Chybí krůček
Stroje Laďka 2101 a Beruška 1118 a Punťa (Grande Punto) a Škleblík (VW Passat).
- ger007
- Příspěvky: 4784
- Registrován: úte kvě 06, 2008 13:38
- Bydliště: NMnV - Brno
- Kontaktovat uživatele:
Re: Náhodné odhlašování
ahaaaaa
Be better, not second best
if not better, be different
LADA !
1x2104X 16V, 1x 21044, 2 x 1111, 1xB210, 1xJawa550, 1x Toyota Avensis T25
детские игрушки
if not better, be different
LADA !
1x2104X 16V, 1x 21044, 2 x 1111, 1xB210, 1xJawa550, 1x Toyota Avensis T25
детские игрушки
Re: Náhodné odhlašování
mna to minule tiez parkrat odhlasilo....asi 3krat.Ale nestaujem sa
Lada 2171 Priora 1,6 MPi (2013), Lada 2105 v regenerácii (1985), Lada 21044 1,9 MPi (1998), Škoda Felícia 1,3 SPi - 40kw (1996), 2 x Babetta 210 (1984,1988), Simson 70 ccm (1989), Zetor 4011 (1966)
- Luděk Musil
- Příspěvky: 10571
- Registrován: úte čer 01, 2004 07:55
- Bydliště: Vyškov/Rašov
- Kontaktovat uživatele:
Re: Náhodné odhlašování
Zajímavá debata ... ... nerozumím skoro ani slovo ... .
A k tomu odhlašování. V práci používám OS Windows 7 profi, Internet explorer 8, stabilní stolní stanice na podnikové síti, přes "poštovní server" spojení se světem.
Pro domácí použití notebook ASUS, OS Windows 7 home, Internet explorer 7 (? nevím), pro připojení k internetu používám USB modem od T-mobile, připojuju se různě Vyškov, Brno, Rašov, Sněžné, občas Chrudim, Trutnov, Špindl.
Pravda - internet jako takový mi občas zatuhne, když je slabý signál. Ale nevzpomínám si, že by mě někdy forum "vykoplo". L.
A k tomu odhlašování. V práci používám OS Windows 7 profi, Internet explorer 8, stabilní stolní stanice na podnikové síti, přes "poštovní server" spojení se světem.
Pro domácí použití notebook ASUS, OS Windows 7 home, Internet explorer 7 (? nevím), pro připojení k internetu používám USB modem od T-mobile, připojuju se různě Vyškov, Brno, Rašov, Sněžné, občas Chrudim, Trutnov, Špindl.
Pravda - internet jako takový mi občas zatuhne, když je slabý signál. Ale nevzpomínám si, že by mě někdy forum "vykoplo". L.
21011 -> (78) 84-99; 2103 -> (78) 99-04; 21073 -> (96) 04-07; 21044 -> (99) 07-13; 21044 -> (96) 12-16; Granta bílá -> 16-?; Vesta SW cross barvy Phantom (19) 20-?; 21011 - veterán (75) 12-?
Nemožné na počkání, zázraky do 3 dnů ´
Nemožné na počkání, zázraky do 3 dnů ´
- dmatej
- Příspěvky: 2847
- Registrován: pon bře 14, 2005 20:44
- Bydliště: Přehýšov
- Kontaktovat uživatele:
Re: Náhodné odhlašování
Luďku, sice IE může za leccos, ale tentokrát je z obliga. Jde o uspořádání sítě a o tom ty jednak vůbec nerozhoduješ, nemáš ho jak ovlivnit, nic na tom nezmění ani browser (tedy - s pár výjimkami, kdy se dá zakázat nějaká podmnožina toho, co smí používat - např. cookies), ani operační systém, ani typ ani stáří notebooku ...
Jeden konec je dán Tvým zařízením, čili ten USB modem. Za ním bude následovat nějaký stroj, nejspíš nějaký stožár, který funguje nejspíš na jiné technologii a IP adresy mu nic neříkají. Přenese signál k nějakému stroji, který se chová už "internetově-síťově", čili má IP adresu, MAC adresu ... Ten vezme data, koukne se na hlavičky a poptá se jiných strojů, jestli neznají cíl. Obvykle odpoví, že ne, ale ví o někom, kdo zná. Tohle se několikrát opakuje, až se zpátky vrátí odpověď cíle. Při tom hledání cesty se jich najde klidně víc, u každé se určí "cena", nebo spíš jen u několika prvních.
Tohle slouží jen k navázání spojení. Dříve se tohle pak udržovalo dle nastavení keep-alive na serveru. Podle té wiki se ale zdá, že od keep-alive se ustupuje a spojení se pro každý dotaz navazuje znova - to je možné, protože ty síťové prvky i sítě jsou hodně rychlé, nemají nouzi o paměť, takže si i leccos pamatují - ve výsledku se tedy naopak ušetří na všech těch keep-alive paketech.
Nevýhoda je, že cesta může 30x vyjít stejně a po 31. je jiná. Dá se očekávat, že to vykopávání se bude stávat čím dál častěji víc a víc lidem, ale málokdy někomu, kdo je připojený do páteřní sítě přes nějakého malého poskytovatele, čili přes jeden stroj.
K tomu problémům přispěje i to, že IPv4 je prakticky vyčerpaná, takže když chce operátor nějaký rozsah navíc, nejspíš mu nemůžou rozšířit ten současný, ale dostaně nějaký další (viz Vodafone, ty adresy, co jsem psal, jsou každá úplně někde jinde).
Po navázání spojení se teprv posílá dotaz a zpátky odpověď. Dřív se pak "cesta" podržela, teď se zavře.
No. Ještě bych měl říct, že ten Tvůj USB modem je v nějaké podsíti, uzavřené v té T-Mobile. Např. nakonec ty můžeš dostat stejnou IP adresu u T-mobile jako já u Vodafone. Když se ptáme na ladaforum, naše modemy mají určené stroje, kterých se musí zeptat, když se chtějí bavit s někým venku. Ten stroj dostane dotaz od nás a ven se ptá za nás, takže phpBB dostane dvě různé IP adresy, přestože my máme stejné
Čti pomalu, snažil jsem se, ale po práci vysvětluju ještě 100x hůř než obvykle ... kruci, nepamatuju si, jak to "obvykle" vypadá!
Jeden konec je dán Tvým zařízením, čili ten USB modem. Za ním bude následovat nějaký stroj, nejspíš nějaký stožár, který funguje nejspíš na jiné technologii a IP adresy mu nic neříkají. Přenese signál k nějakému stroji, který se chová už "internetově-síťově", čili má IP adresu, MAC adresu ... Ten vezme data, koukne se na hlavičky a poptá se jiných strojů, jestli neznají cíl. Obvykle odpoví, že ne, ale ví o někom, kdo zná. Tohle se několikrát opakuje, až se zpátky vrátí odpověď cíle. Při tom hledání cesty se jich najde klidně víc, u každé se určí "cena", nebo spíš jen u několika prvních.
Tohle slouží jen k navázání spojení. Dříve se tohle pak udržovalo dle nastavení keep-alive na serveru. Podle té wiki se ale zdá, že od keep-alive se ustupuje a spojení se pro každý dotaz navazuje znova - to je možné, protože ty síťové prvky i sítě jsou hodně rychlé, nemají nouzi o paměť, takže si i leccos pamatují - ve výsledku se tedy naopak ušetří na všech těch keep-alive paketech.
Nevýhoda je, že cesta může 30x vyjít stejně a po 31. je jiná. Dá se očekávat, že to vykopávání se bude stávat čím dál častěji víc a víc lidem, ale málokdy někomu, kdo je připojený do páteřní sítě přes nějakého malého poskytovatele, čili přes jeden stroj.
K tomu problémům přispěje i to, že IPv4 je prakticky vyčerpaná, takže když chce operátor nějaký rozsah navíc, nejspíš mu nemůžou rozšířit ten současný, ale dostaně nějaký další (viz Vodafone, ty adresy, co jsem psal, jsou každá úplně někde jinde).
Po navázání spojení se teprv posílá dotaz a zpátky odpověď. Dřív se pak "cesta" podržela, teď se zavře.
No. Ještě bych měl říct, že ten Tvůj USB modem je v nějaké podsíti, uzavřené v té T-Mobile. Např. nakonec ty můžeš dostat stejnou IP adresu u T-mobile jako já u Vodafone. Když se ptáme na ladaforum, naše modemy mají určené stroje, kterých se musí zeptat, když se chtějí bavit s někým venku. Ten stroj dostane dotaz od nás a ven se ptá za nás, takže phpBB dostane dvě různé IP adresy, přestože my máme stejné
Čti pomalu, snažil jsem se, ale po práci vysvětluju ještě 100x hůř než obvykle ... kruci, nepamatuju si, jak to "obvykle" vypadá!
Stroje Laďka 2101 a Beruška 1118 a Punťa (Grande Punto) a Škleblík (VW Passat).
- Křečík Barbuška
- Příspěvky: 11040
- Registrován: ned srp 29, 2004 09:01
- Bydliště: Brno
Re: Náhodné odhlašování
Zrovna dneska jsem byl od tud "vykopnut" .
Lada Granta Liftback 1,6 16V - skoro normální auto
Lada Kalina 1117 1,6 8V - neopodstatněné a nenaplněné naděje
ex VAZ 2105, VAZ 2104, VAZ 2107
Lada Kalina 1117 1,6 8V - neopodstatněné a nenaplněné naděje
ex VAZ 2105, VAZ 2104, VAZ 2107
- Křečík Barbuška
- Příspěvky: 11040
- Registrován: ned srp 29, 2004 09:01
- Bydliště: Brno
Re: Náhodné odhlašování
Vypozoroval jsem mechanismus posledního vykopnutí. Výchozí stav: vyprázdněné cookies a ostatní nesmysly z IE. Jal jsem se vybírat SZ, klikl na odkaz v Outlooku, zadal jméno, heslo a vyplnil haklík, že chci být přihlášen i při další návštěvě. SZ přečetl, odpověděl, uklidil a zavřel okno. Při dalším přístupu na fórum bylo třeba zadat heslo ... . Toto ovšem není pravidlem, jindy projde tento proces v pohodě.
Lada Granta Liftback 1,6 16V - skoro normální auto
Lada Kalina 1117 1,6 8V - neopodstatněné a nenaplněné naděje
ex VAZ 2105, VAZ 2104, VAZ 2107
Lada Kalina 1117 1,6 8V - neopodstatněné a nenaplněné naděje
ex VAZ 2105, VAZ 2104, VAZ 2107
- Křečík Barbuška
- Příspěvky: 11040
- Registrován: ned srp 29, 2004 09:01
- Bydliště: Brno
Re: Náhodné odhlašování
Aby to tu neuslo, dnes mě to dvakrát vykoplo .
Průběh: vše prázdné, kliknutí na link v mailu přihlášení i s haklíkem na zapamatování, přečtení přříspěvku a zavření okna. Pak zase kliknutí na link z mailu atd atd. . Asi tak při pátém kliknutí to zase chtělo přihlašovací údaje. První případ cca. kolem 15:30 druhý teď 22:05, Outlook Express 6, IE8, XP Home.
Průběh: vše prázdné, kliknutí na link v mailu přihlášení i s haklíkem na zapamatování, přečtení přříspěvku a zavření okna. Pak zase kliknutí na link z mailu atd atd. . Asi tak při pátém kliknutí to zase chtělo přihlašovací údaje. První případ cca. kolem 15:30 druhý teď 22:05, Outlook Express 6, IE8, XP Home.
Lada Granta Liftback 1,6 16V - skoro normální auto
Lada Kalina 1117 1,6 8V - neopodstatněné a nenaplněné naděje
ex VAZ 2105, VAZ 2104, VAZ 2107
Lada Kalina 1117 1,6 8V - neopodstatněné a nenaplněné naděje
ex VAZ 2105, VAZ 2104, VAZ 2107
- dmatej
- Příspěvky: 2847
- Registrován: pon bře 14, 2005 20:44
- Bydliště: Přehýšov
- Kontaktovat uživatele:
Re: Náhodné odhlašování
Trochu se to zlepšilo, když jsem si tudle hrál s nastavením, ale vypadá to, že některá nastavení phpBB statečně ignoruje. Dneska mě to taky jednou už koplo, víc se už ale asi nedá dělat ...
Stroje Laďka 2101 a Beruška 1118 a Punťa (Grande Punto) a Škleblík (VW Passat).
- dmatej
- Příspěvky: 2847
- Registrován: pon bře 14, 2005 20:44
- Bydliště: Přehýšov
- Kontaktovat uživatele:
Re: Náhodné odhlašování
http://www.phpbb.com/support/documents. ... ion=3#v309
- je nová verze, ale o odhlašování nic nepíšou. Zkusil jsem se v tom zase hrabat, jakékoliv podezřelé věci hlašte
- je nová verze, ale o odhlašování nic nepíšou. Zkusil jsem se v tom zase hrabat, jakékoliv podezřelé věci hlašte
Stroje Laďka 2101 a Beruška 1118 a Punťa (Grande Punto) a Škleblík (VW Passat).