Řešil jsem to s JmJ, dal mi práva se v tom pohrabat. Snížil jsem to na A.B ještě v práci (tam mě to neodhlašovalo).
Teď jsem doma, přes Firefox, a zatím je to ok, takže to vypadá, že jsem trefil hřebíček na hlavičku
Jako promiň, nechtěl jsem z Tebe dělat blba, jen mě tyhle "hlášky" už celkem popouzely, zvlášť když jsi mi vůbec nijak nepomohl.
Cookies jsem mazal, dělal s tím všelijaké pokusy.
Proč to zlobí je popsané v tom FAQ docela dobře, o hlavičkách s X-* jsem psal, mimochodem, třeba drahé CISCO strojky to dost dlouho nepodporovaly ... potom jakmile Ti projde požadavek přes takovou mrchu, o hlavičky může přijít => dva uživatelé se dvěma sessionId můžou mít stejnou cestu a ověření je v kýbli.
Pokud se neudržuje cesta (síťařina, nastavení serveru + cokoliv na cestě může spojení přerušit + uživatel by to neměl poznat) a někde je cluster proxyn (typicky právě u mobilních operátorů, nebo třeba AOL v USA, to těžko dělá jeden stroj), může další požadavek přijít jinou cestou a ověření je opět v kýbli. Cesta se udržuje obvykle po dobu danou nastavením KEEP-ALIVE, ale opět - není žádná záruka, že cesta opravdu udržená bude.
http://en.wikipedia.org/wiki/HTTP_persistent_connection - koukám, že vývoj opět obrátil směr. Čili nová verze Firefoxu dost možná spojení spíš neudržuje a tím pádem roste riziko, že požadavek přijde jinou cestou. (kdyby byl aspoň rychlejší než ta Opera). (kdyby Opera měla tolik pluginů, Firefox snad vyhodim, poslední dobou mi pije krev - např. v kuse tu žere 30% výkonu, prase).
Jinak možná jsem i programátorskej mág, ale nejsem síťař a mám v tom mezery
Je to asi jako po autoelektrikáři chtít vyklepat blatník.
JmJ píše:
protoze ti to zrejme zacalo zlobit az nekdy ted (driv sis nestezoval) a jinym to jede dobre
Četl jsi to téma od začátku? Tuším, že Plavce to taky onehdá párkrát vykoplo.
Ano, používám nyní např.
http://forum.ladaklub.com/posting.php?m ... 4&p=341118 (uřízl jsem sid, které se z nějakého důvodu pořád dostává do URL ... že by tím, že jsem včera vypnul cookies? Tak je schválně zas zapnu
).
Další edit: Chvilku bylo sid v URL ještě po zapnutí cookies. To je divný, podle mě nějaká chyba v PhpBB, ale aspoň to konverguje - sid je teď pryč. Bez cookies mě to teď párkrát z Firefoxu odhlásilo, tedy doslova párkrát, čili dvakrát. Ale stačilo dát krok zpět a znova odeslat a spravilo se to, aniž bych se přihlašoval. Podle mě se možná nezneplatní stará session a udělá se nová, potom je tudíž možné se dostat i k té staré, což je špatně. Ale možná je ten scénář jiný, nevím.
Pokud mě to ještě odhlásí přes Firefox, dám vědět. Ale prdel si to ze mě dělat nebude, program má povinnost chovat se deterministicky!!!
Edit: Blbne to ověřování IP adresy a to z důvodu, že Vodafone používá hned dva naprosto nesouvisející rozsahy IP adres:
Moje IP je teď tahle: 10.23.66.119
Po přihlášení se ale v logu phpBB objeví tyhle dvě, náhodně; obě jsou stroje Vodafone, nejspíš nějaké bezestavové proxy, které se "za mě" zeptají fora, a pak mi přeloží odpověď - při změně mě to kvůli ověření vykopne, protože ty nesouhlasí ani v A
:
46.135.64.16
217.77.165.45
Tohle je na pytel zabezpečení, kašlu na to. Mám dotaz: jaká je výkonová rezerva? Co zapnout SSL místo těchhle sraček?
Hezký popis, v čem je zakopán pes a myšlenky, co s tím ... a tenhle článek je právě PŘESNĚ ten problém, viz výše ... a asi nic nevymyslíme. phpBB a Vodafone nejdou dohromady
http://phpnuke.org/modules.php?name=PHP ... -work.html
Mimochodem, nač se namáhat s kradením session, páč než jí na něco zneužiju, uživatel se sám odhlásí. I když počkat, vlastně máme trvalé přihlášení, to je ta velká bezpečnostní díra ...
Ať to nebo to, útočník si jen někde na cestě chytí požadavek z přihlášení, kde je plain login i password a má co chce kdykoliv chce. Bez ssl je každý zabezpečení skoro na nic ... a i to se dá prolomit, proto mají klíče omezenou platnost - tak, aby než nadupaný HW prolomí šifru, klíč je mu už na nic. Pokud to stihne, šifra jde na černou listinu
Nevýhoda SSL je větší náročnost na výkon serveru ...
To není, Davide, vůbec mířeno osobně proti Tobě, ale jde jen o mou všeobecnou obavu, vycházející z mých zkušeností s obdobným průběhem, byť z trošku jiného oboru. 
že jsem to dokonce pochopil i já. 
No nic. Tady už asi končím, neboť mé znalosti pro další duchaplnou debatu jsou nejspíš už nedostatečné. 
