ctapkom 0 Опубликовано: 26 октября 2010 Рассказать Опубликовано: 26 октября 2010 (изменено) Доброго времени суток! Я уже год пользуюсь лицензионным движком DLE (последняя релиз-версия 9.0). Под сайт и прочие службы выделен сервер, на нем CentOS 5.5, apache 2, php 5, mysql 5 С недавнего времени (около месяца) начали появляться жалобы от клиентов о том, что люди попадают в чужие сессии, например при попытке зайти "Мой профиль", открываются чужие настройки, причем их можно менять и сохранять!!! Всего зарегистрировано порядка 30 тыс пользователей, ежедневно на сайте бывает 3-4 тыс. пользователей. Жалоб пока не много (порядка 10-15), но они есть, а значит и есть проблема. Изначально думал, что проблема с turbo-Режимом оперы (она использует свой прокси), но как выяснилось, запрет на turbo-оперу не помог, пользователи по-прежнему слетают в чужие сесии (проверял лично, через удаленный рабочий стол), причем в куках параметр phpsessid = deleted Прошу отписаться, кто сталкивался с подобной проблемой, атака ли это, или баг DLE или настроек сессий в php.ini, и как справились. В любом случае готов обсуждать предложения. Надеюсь на помощь. Особенно жду ответа от разработчиков. www.serva4ok.ru Изменено 26 октября 2010 пользователем ctapkom Цитата Ссылка на сообщение Поделиться на других сайтах
WWW.ZEOS.IN 1 161 Опубликовано: 26 октября 2010 Рассказать Опубликовано: 26 октября 2010 (изменено) Ну с сессиями всё нормально вроде http://h.zeos.in/?u=www.serva4ok.ru&usag=3&h=www.serva4ok.ru - каждый раз разная. Точно также и тут http://h.zeos.in/?u=dle-news.ru&usag=3&h=dle-news.ru тоже интересно узнать, что же это у Вас такое... Хотя больше похоже, что как-то не правильно настроены сессии, раз такое происходит Изменено 26 октября 2010 пользователем WWW.ZEOS.IN Цитата Ссылка на сообщение Поделиться на других сайтах
celsoft 6 081 Опубликовано: 26 октября 2010 Рассказать Опубликовано: 26 октября 2010 Никогда не сталкивался с подобной проблемой, но если смотреть со стороны DLE, то он не назначает имен сессий,и никак не может на них влияет, т.к. получает идентификаторы сессии автоматически от сервера, поэтому от DLE тут зависит ничего не может. При переходе по ссылке "Мой профиль" ссылка ведет всегда на свой профиль, и на чужой вести не может независимо от сессий, значит он вошел просто на сайт, при этом информация на сервер от него пришла о том что браузер содержит идентификатор сессии, причем чужой и он оказался авторизованным. Откуда могла взяться подобная информация в потоке от пользователя к серверу, я со 100% уверенностью сказать не могу, но могу предположить что это какие то глюки интернет провайдера или его кеширующего прокси сервера, мне так кажется. Т.е. какой то другой пользователь этого провайдера также пользовался сайтом, и он мог например от кеширующего прокси в результате какого нибудь глюка, получить чужую страницу и соответственно с чужим идентификатором сессии, а браузер потом передает постоянно эту сессию и последующих посещениях страниц сайта. Может быть какие то проблемы с сервером, но я о таких никогда не слышал, но все равно стоит уточнить, на каких либо специализиющихся по системному администрованию форумах. Со стороны DLE я ничем вам помочь не могу, потому что в нем нет ничего что касалось бы идентификаторов сессий и инициализации сессий под специальзированными идентификаторами. Цитата Ссылка на сообщение Поделиться на других сайтах
ctapkom 0 Опубликовано: 26 октября 2010 Рассказать Опубликовано: 26 октября 2010 Автор Ну с сессиями всё нормально вроде http://h.zeos.in/?u=www.serva4ok.ru&usag=3&h=www.serva4ok.ru - каждый раз разная. Точно также и тут http://h.zeos.in/?u=dle-news.ru&usag=3&h=dle-news.ru тоже интересно узнать, что же это у Вас такое... Хотя больше похоже, что как-то не правильно настроены сессии, раз такое происходит сессии как раз очень даже правильно настроены. Раньше была точно такая же проблема, но более глобальная: ставил связку nginx+apache, nginx отдавал статику, причем даже с нормально настроенным модулем mod_rpaf были проблемы с авторизацией (10-20% пользователей попадали в чужой аккаунт). Пришлось просто снести nginx и оставить только apache. Я поэтому сейчас и подумал, что дело в турбо-режиме оперы. После этого делал полную реконфигурацию сервера, установил новую ос (была до этого ArchLinux), и все вроде бы замечательно работало, и работает (лично у себя подобных глюков ни разу не замечал). Скорее всего действительно людей кидает кэширующий сервер, однако ip-адреса этих клиентов совершенно разные, вряд ли с одного провайдера. Вообщем раз подобных проблем здесь ранее не описывалось, скорее всего дело в донастройке сервера... Хотя может кто-то пользует какую-нибудь малоизвестную уязвимость DLE. Так уж получается, что хостинг в принципе атакуют чаще других порталов, и на защиту мы тратим очень много времени и сил. Цитата Ссылка на сообщение Поделиться на других сайтах
MSK 289 Опубликовано: 12 ноября 2010 Рассказать Опубликовано: 12 ноября 2010 (изменено) НКто-то мне тоже писал про такую проблему. Получали подобные сообщения от пользователей. То же грешили на прокси. Если я не ошибаюсь, после смены настройки "Контроль изменения IP адреса" на более высокий, жалоб не было. Вот тут _http://dklab.ru/chicken/nablas/56.html писалось про сессии и nginx Изменено 12 ноября 2010 пользователем MSK Цитата Ссылка на сообщение Поделиться на других сайтах
Рекомендованные сообщения
Присоединяйтесь к обсуждению
Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.