1
Condică de sugestii și reclamatii / Home - Alt user afisat aleatoriu
« on: 06 June 2018, 22:55 »
Mi s-a intamplat chiar acum. As avea niste infos, poate te ajuta. Am atasat niste screenshots:
a) userul aratat dupa login
b) ce a intors serverul ca avatar dupa login
c) (suspected by me) last logged user inaintea mea
1) am fost aratat dupa login ca userul Rodon , user care este acum online. in screenshot se vede last logged user (.ro time) 22:30. Cand am facut screenshot ora mea era 21:38, ceea ce ub ora romaniei este 22:38, deci la 8 minute dupa userul respectiv, am dat eu login. ceea ce inseamna ca tu salvezi pe server (a se citi mai degraba cache-uiesti, nu salvezi) ceva legat de sesiunea lui last-logged-user. Deoarece dupa refresh imi arata corect userul meu, inseamna ca sesiunea propru zisa e cea corecta, deci nu e security issue. Insa totusi cacheuiesti pe server niste metadata a ultimului user logat, precum avatar, login name, etc. suficient cat sa ma arate ca alt user.
Recomand asa: Incearca urmatorii reproduction steps, sa vezi daca gasesti un scenariu de 100% repro:
- fa un user de test
- sterge cookies toate and cached files locale (doar asa for the sake of testing)
- deschide un browser chrome , da login cu userul normal.
- da logout, sterge cookies
- da login cu userul de test - vezi aici daca iti arata userul normal in loc de cel de test. ala ar fi bugul.
eventual intre logarile dintre cei doi useri poate merita verificate si cookies salvate local, acel phpsessid sau celelalte cookies, daca nu ma insel dupa ce se logheaza alt user niciun cookie local nu ar trb sa mai corespunda cu cel anterior.
a) userul aratat dupa login
b) ce a intors serverul ca avatar dupa login
c) (suspected by me) last logged user inaintea mea
1) am fost aratat dupa login ca userul Rodon , user care este acum online. in screenshot se vede last logged user (.ro time) 22:30. Cand am facut screenshot ora mea era 21:38, ceea ce ub ora romaniei este 22:38, deci la 8 minute dupa userul respectiv, am dat eu login. ceea ce inseamna ca tu salvezi pe server (a se citi mai degraba cache-uiesti, nu salvezi) ceva legat de sesiunea lui last-logged-user. Deoarece dupa refresh imi arata corect userul meu, inseamna ca sesiunea propru zisa e cea corecta, deci nu e security issue. Insa totusi cacheuiesti pe server niste metadata a ultimului user logat, precum avatar, login name, etc. suficient cat sa ma arate ca alt user.
Recomand asa: Incearca urmatorii reproduction steps, sa vezi daca gasesti un scenariu de 100% repro:
- fa un user de test
- sterge cookies toate and cached files locale (doar asa for the sake of testing)
- deschide un browser chrome , da login cu userul normal.
- da logout, sterge cookies
- da login cu userul de test - vezi aici daca iti arata userul normal in loc de cel de test. ala ar fi bugul.
eventual intre logarile dintre cei doi useri poate merita verificate si cookies salvate local, acel phpsessid sau celelalte cookies, daca nu ma insel dupa ce se logheaza alt user niciun cookie local nu ar trb sa mai corespunda cu cel anterior.