Перейти к публикации

Открываются чужие сессии


Рекомендованные сообщения

Доброго времени суток!

Я уже год пользуюсь лицензионным движком DLE (последняя релиз-версия 9.0). Под сайт и прочие службы выделен сервер, на нем CentOS 5.5, apache 2, php 5, mysql 5

С недавнего времени (около месяца) начали появляться жалобы от клиентов о том, что люди попадают в чужие сессии, например при попытке зайти "Мой профиль", открываются чужие настройки, причем их можно менять и сохранять!!!

Всего зарегистрировано порядка 30 тыс пользователей, ежедневно на сайте бывает 3-4 тыс. пользователей. Жалоб пока не много (порядка 10-15), но они есть, а значит и есть проблема. Изначально думал, что проблема с turbo-Режимом оперы (она использует свой прокси), но как выяснилось, запрет на turbo-оперу не помог, пользователи по-прежнему слетают в чужие сесии (проверял лично, через удаленный рабочий стол), причем в куках параметр phpsessid = deleted

Прошу отписаться, кто сталкивался с подобной проблемой, атака ли это, или баг DLE или настроек сессий в php.ini, и как справились. В любом случае готов обсуждать предложения. Надеюсь на помощь. Особенно жду ответа от разработчиков.

www.serva4ok.ru

Изменено пользователем ctapkom
Ссылка на сообщение
Поделиться на других сайтах

Ну с сессиями всё нормально вроде http://h.zeos.in/?u=www.serva4ok.ru&usag=3&h=www.serva4ok.ru - каждый раз разная.

Точно также и тут http://h.zeos.in/?u=dle-news.ru&usag=3&h=dle-news.ru

:rolleyes: тоже интересно узнать, что же это у Вас такое...

Хотя больше похоже, что как-то не правильно настроены сессии, раз такое происходит :unsure:

Изменено пользователем WWW.ZEOS.IN
Ссылка на сообщение
Поделиться на других сайтах

Никогда не сталкивался с подобной проблемой, но если смотреть со стороны DLE, то он не назначает имен сессий,и никак не может на них влияет, т.к. получает идентификаторы сессии автоматически от сервера, поэтому от DLE тут зависит ничего не может. При переходе по ссылке "Мой профиль" ссылка ведет всегда на свой профиль, и на чужой вести не может независимо от сессий, значит он вошел просто на сайт, при этом информация на сервер от него пришла о том что браузер содержит идентификатор сессии, причем чужой и он оказался авторизованным. Откуда могла взяться подобная информация в потоке от пользователя к серверу, я со 100% уверенностью сказать не могу, но могу предположить что это какие то глюки интернет провайдера или его кеширующего прокси сервера, мне так кажется. Т.е. какой то другой пользователь этого провайдера также пользовался сайтом, и он мог например от кеширующего прокси в результате какого нибудь глюка, получить чужую страницу и соответственно с чужим идентификатором сессии, а браузер потом передает постоянно эту сессию и последующих посещениях страниц сайта.

Может быть какие то проблемы с сервером, но я о таких никогда не слышал, но все равно стоит уточнить, на каких либо специализиющихся по системному администрованию форумах.

Со стороны DLE я ничем вам помочь не могу, потому что в нем нет ничего что касалось бы идентификаторов сессий и инициализации сессий под специальзированными идентификаторами.

Ссылка на сообщение
Поделиться на других сайтах

Ну с сессиями всё нормально вроде http://h.zeos.in/?u=www.serva4ok.ru&usag=3&h=www.serva4ok.ru - каждый раз разная.

Точно также и тут http://h.zeos.in/?u=dle-news.ru&usag=3&h=dle-news.ru

:rolleyes: тоже интересно узнать, что же это у Вас такое...

Хотя больше похоже, что как-то не правильно настроены сессии, раз такое происходит :unsure:

сессии как раз очень даже правильно настроены. Раньше была точно такая же проблема, но более глобальная: ставил связку nginx+apache, nginx отдавал статику, причем даже с нормально настроенным модулем mod_rpaf были проблемы с авторизацией (10-20% пользователей попадали в чужой аккаунт). Пришлось просто снести nginx и оставить только apache. Я поэтому сейчас и подумал, что дело в турбо-режиме оперы. После этого делал полную реконфигурацию сервера, установил новую ос (была до этого ArchLinux), и все вроде бы замечательно работало, и работает (лично у себя подобных глюков ни разу не замечал). Скорее всего действительно людей кидает кэширующий сервер, однако ip-адреса этих клиентов совершенно разные, вряд ли с одного провайдера. Вообщем раз подобных проблем здесь ранее не описывалось, скорее всего дело в донастройке сервера... Хотя может кто-то пользует какую-нибудь малоизвестную уязвимость DLE. Так уж получается, что хостинг в принципе атакуют чаще других порталов, и на защиту мы тратим очень много времени и сил.

Ссылка на сообщение
Поделиться на других сайтах
  • 3 недели спустя...

НКто-то мне тоже писал про такую проблему.

Получали подобные сообщения от пользователей.

То же грешили на прокси.

Если я не ошибаюсь, после смены настройки "Контроль изменения IP адреса" на более высокий, жалоб не было.

Вот тут _http://dklab.ru/chicken/nablas/56.html писалось про сессии и nginx

Изменено пользователем MSK
Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...