31 ответов в данной теме

[^-^ (WMID 273407224562 )]

Приветствую!

Думал, что это временный баг. Но нет ничего временного, чем постоянное.

 

Суть:

1) жму кнопку "Выход";

2) перекидывает на login.wmtransfer и бежит обратный отсчёт;

3) как только добежало до нуля - перекидывает назад на форум (всё стандартно);

4) выход произведён;

5) возвращаюсь на форум через некоторое время (час, 12 часов) - вуаля, а я снова авторизован!

Раньше, когда жал на выход - происходил разлогин. Сейчас - я уже авторизован. И так кже не первый месяц...

У меня семёрка и хром.

 

Кто-нибудь чего-то такого наблюдает?

[Mart (WMID 697343309585 )]

^-^ 27 сент. 2018 - 05:05, писал:

 

Кто-нибудь чего-то такого наблюдает?

 

Наблюдаю автоматический вход на все три форума WebMoney - этот, форум INDX и форум шарехолдер. Раньше этого не было.

 

Выход осуществляется, далее предлагается или вернуться, или зайти другим WMID. В окне этого предложения есть чекбокс с опцией "запомнить меня на этом компьютере".

 

Браузер - ФФ, ОС - Линукс.

Сообщение отредактировал Mart: 27 сентября 2018 - 08:25

[Mart (WMID 697343309585 )]

^-^ 27 сент. 2018 - 05:05, писал:

 

3) как только добежало до нуля - перекидывает назад на форум (всё стандартно);

 

Если убрать птичку в чекбоксе "запомнить меня на этом компьютере", то этого не будет.

[! добрый торговец ! (WMID 217358758215 )]

А я *выход* тут вообще давно не жму уже

[Mart (WMID 697343309585 )]

Мне снился сон про наш "весёлый" наворот.
Что будто вновь — кругом пятьсот,
Ищу я выход из ворот, 
Но нет его, есть только вход, 
и то не тот.

/Владимир Высоцкий. 1972/

[^-^ (WMID 273407224562 )]

Mart 27 сент. 2018 - 05:21, писал:

Наблюдаю автоматический вход на все три форума WebMoney - этот, форум INDX и форум шарехолдер. Раньше этого не было.
 
Выход осуществляется, далее предлагается или вернуться, или зайти другим WMID. В окне этого предложения есть чекбокс с опцией "запомнить меня на этом компьютере".

Вот именно - это если установлена галка в чекбоксе. Но вот бИда - у меня галка не установлена.

 

Не устанавливаю галку потому, что при входе на любой сайт системы WebMoney (не путать с подключёнными к login.wmtransfer) сразу же происходит редирект на login и назад на сайт. Т.е. нечто подобное автоавторизации.

 

Но Вы, Mart, плохо прочитали мои действия при этой автоавторизации. Т.е. она вообще не происходит и на login меня не перекидывает. Я УЖЕ АВТОРИЗОВАН.

Ещё раз повторюсь: я жму выход, перекидывает на login - обратный отсчёт, назад на форум и я как бы вышел. Но проходит 12 часов. Я ввожу в адресной строке forum.web.money и вуаля! Я авторизован!

Как?!

Сообщение отредактировал ^-^: 28 сентября 2018 - 23:06

[Mart (WMID 697343309585 )]

^-^ 28 сент. 2018 - 20:06, писал:

 

 

Но Вы, Mart, плохо прочитали мои действия при этой автоавторизации. Т.е. она вообще не происходит и на login меня не перекидывает. Я УЖЕ АВТОРИЗОВАН.

 

 

Может быть и плохо прочитал. Собственно говоря ответил на вопрос:

 

 

^-^ 27 сент. 2018 - 05:05, писал:

 

У меня семёрка и хром.

 

Кто-нибудь чего-то такого наблюдает?

 

Вот что у себя наблюдаю, то и написал. Какая ОС, какой браузер. Что подобного наблюдаю.

[M_rt (WMID 472367407583 )]

Вот я вышел и зашел другим своим WMID. Следовательно у меня вот такой ситуации не наблюдается:

 

 

^-^ 28 сент. 2018 - 20:06, писал:

 

 

Но Вы, Mart, плохо прочитали мои действия при этой автоавторизации. Т.е. она вообще не происходит и на login меня не перекидывает. Я УЖЕ АВТОРИЗОВАН.

 

 

А вот на форуме INDX птичку я не снимал, поэтому автоматом происходит авторизация одним WMID.

 

Что будет, если сниму:

- точно также будет происходить автоматическая авторизация тем WMID, которым заходил последним. Но будет возможность не дожидаясь автоматического перенаправления на сайт (кажется там 3 секунды) нажать на кнопку "войти другим WMID".

 

^-^

Попробуйте нажать на кнопку "Или используйте ...", выбрав из предлагаемых системой вариантов.

Сообщение отредактировал M_rt: 29 сентября 2018 - 13:40

[Mart (WMID 697343309585 )]

Оп! И снова удалось зайти другим WMID. Чудеса?!

 

Но еще большие чудеса в том, что и выйти можно. Работает выход. В картинках:

 

 

 

Сообщение отредактировал Mart: 29 сентября 2018 - 14:05

[Mart (WMID 697343309585 )]

Mart 29 сент. 2018 - 10:48, писал:

Оп! И снова удалось зайти другим WMID. Чудеса?!

 

Но еще большие чудеса в том, что и выйти можно. Работает выход. В картинках:

 

 

 

 

На последней картинке видно, что я оказался на форуме как неавторизованный пользователь, то есть вышел.

[Mart (WMID 697343309585 )]

Еще картинки, которые могут оказаться полезными для решения проблемы с выходом:

 

 

 

[! добрый торговец ! (WMID 217358758215 )]

Очевидно, что по какой-то причине при нажатии *выход* авторизационная сессия не затирается на сервере ВМ, но продолжает храниться, либо даже дублируется в двух различных местах, например, на севере вм-логина и в бд форума. Можно, конечно, затереть куку в браузере, но проблему это вероятно не решит, пока сессия не потерта на сервере, есть некоторая вероятность, что кто-то другой по ней может зайти, при большом желании и имея только куку из браузера. Кнопка выхода, по большому счету, существует именно для избежания подобной неприятности.

 

ЗЫ

Залез на куки форума посмотреть и обнаружил куку sfct со значением Qiwi. Интересно, чего бы она значила и какое отношение к форуму имеет?

Сообщение отредактировал ! добрый торговец !: 29 сентября 2018 - 15:20

[Mart (WMID 697343309585 )]

! добрый торговец ! 29 сент. 2018 - 12:13, писал:

...

Можно, конечно, затереть куку в браузере, но проблему это вероятно не решит, пока ...

 

У меня решилась "проблема". Только не одну куку удалил, а все куки страницы, на картинке видно на какую кнопку я там собирался нажимать и потом нажал. И вышел.

Также на картинках можно увидеть, что при желании браузеру для  любой страницы можно разрешать принимать куки только на сессию, тогда и чистить каждый раз необходимости нет. Но для форума это слишком большая паранойя, другое дело для каких-то банковских или других "денежных" сайтов.

При открытии новой сессии автоматом не зашел. Пришлось шлепать на "Вход", ну и далее как на картинках, только в другой последовательности.

 

Резюме:

Выход работает. Хотя, может быть, я неправильно читаю, и ТС что-то другое подразумевал.

 

Может пригодиться:

https://login.wmtran...er/Options.aspx

 

Сообщение отредактировал Mart: 29 сентября 2018 - 16:04

[^-^ (WMID 273407224562 )]

Mart 29 сент. 2018 - 10:48, писал:

Оп! И снова удалось зайти другим WMID. Чудеса?!

Гений!

Ещё раз для Гения:

^-^ 27 сент. 2018 - 05:05, писал:

5) возвращаюсь на форум через некоторое время (час, 12 часов)

^-^ 28 сент. 2018 - 20:06, писал:

Ещё раз повторюсь: я жму выход, перекидывает на login - обратный отсчёт, назад на форум и я как бы вышел. Но проходит 12 часов. Я ввожу в адресной строке forum.web.money и вуаля! Я авторизован!

Вы же говорите в ДАННЫЙ МОМЕНТ ВРЕМЕНИ. А не через 12 часов.

Подобную штуку наблюдаю только на форуме вэбмани. Может оно конечно проблема с Invision Community, но проблема эта может коснуться тех, кто не на личном компе вошёл на форум, ответил, там почитал темы, и вышел. А через время кто-то входит на этот форум с того же браузера (уже не владелец WMID) и он будет авторизован на форуме. Т.е. я хочу сказать, что это не нормальное поведение авторизации и возможно такую картину наблюдают не все. Но у меня вот оно есть.

 

И триллион картинок с куками мне приводить не нужно. Ясен пень, что если я их очищу, то авторизация удалится. Только вот об этом знают не все пользователи сети интернет.

[^-^ (WMID 273407224562 )]

Скорее всего

! добрый торговец ! 29 сент. 2018 - 12:13, писал:

в бд форума.

Что значит некоторая? Как тогда я получаюсь авторизованным, когда я УЖЕ ВЫХОДИЛ, и вернувшись на форум через ~12 часов вижу себя СНОВА АВТОРИЗОВАННЫМ?!

! добрый торговец ! 29 сент. 2018 - 12:13, писал:

есть некоторая вероятность, что кто-то другой по ней может зайти, при большом желании и имея только куку из браузера.

! добрый торговец ! 29 сент. 2018 - 12:13, писал:

Кнопка выхода, по большому счету, существует именно для избежания подобной неприятности.

Маленькая поправочка: выйти вначале удаётся. Но вот по возвращению на форум через n-время я снова авторизован.

И

! добрый торговец ! 29 сент. 2018 - 12:13, писал:

но продолжает храниться, либо даже дублируется в двух различных местах, например, на севере вм-логина и в бд форума.

на сервере вм-логина авторизационная сессия хранится максимум час, если мне не изменяет память. Рекомендуемая настройка - 5 минут. И эта авторизация нужна только лишь в момент времени, когда пользователь вернулся на сайт и сайт делает проверку: запрос к вм-логину - действительно ли такой-то WMID авторизовался или нет. Т.е. по большому счёту достаточно даже 15 секунд для данной операции.

Сообщение отредактировал ^-^: 29 сентября 2018 - 16:40

[! добрый торговец ! (WMID 217358758215 )]

^-^ 29 сент. 2018 - 13:34, писал:

Что значит некоторая? Как тогда я получаюсь авторизованным, когда я УЖЕ ВЫХОДИЛ, и вернувшись на форум через ~12 часов вижу себя СНОВА АВТОРИЗОВАННЫМ?!

! добрый торговец ! 29 сент. 2018 - 12:13, писал:

есть некоторая вероятность, что кто-то другой по ней может зайти, при большом желании и имея только куку из браузера.

Ну, в смысле, другой человек завладевший кукой, потому что кука - ключ к открытой сессии на форуме, которая не потерлась при нажатии кнопки выхода, либо потерлась, но не везде где надо.

Сообщение отредактировал ! добрый торговец !: 29 сентября 2018 - 18:47

[^-^ (WMID 273407224562 )]

! добрый торговец ! 29 сент. 2018 - 15:44, писал:

Ну, в смысле, другой человек завладевший кукой, потому что кука - ключ к открытой сессии на форуме, которая не потерлась при нажатии кнопки выхода, либо потерлась, но не везде где надо.

Просто сессионная кука - она же выдаётся как-то заумно и подменить её очень сложно. Т.е. сервер не примет подменённую куку. Ну, по крайней мере я так думаю. Любую другую - пожалуйста, но не сессионную.

 

Скорее при выходе для текущей сессии в бд пишется, что мол я вышел. Но при повторном посещении форума, когда предыдущая сессия истекла (сколько она там - час хранится? - сессионный ключ для данного ПК) мне выдаётся новая сессия с авторизационными данными, в которых не указано, что я вышел. И тем самым я получаю авторизацию.

 

Просто я хотел, чтобы кто-то проверил эту, пока гипотетическую, проблему. Нужно просто выйти и не посещать форум часов 12. И потом снова вернуться сюда. Желательно сохранить параметры бага: "Win7 Ultimate, 32bit, Chrome Версия 69.0.3497.100 (Официальная сборка), (32 бит)".

[! добрый торговец ! (WMID 217358758215 )]

^-^ 29 сент. 2018 - 18:37, писал:

! добрый торговец ! 29 сент. 2018 - 15:44, писал:

Ну, в смысле, другой человек завладевший кукой, потому что кука - ключ к открытой сессии на форуме, которая не потерлась при нажатии кнопки выхода, либо потерлась, но не везде где надо.

Просто сессионная кука - она же выдаётся как-то заумно и подменить её очень сложно. Т.е. сервер не примет подменённую куку. Ну, по крайней мере я так думаю. Любую другую - пожалуйста, но не сессионную.

Да че там заумного? Ну к юзер-агенту может привязка есть еще, а может и нет, к ай-пи точно нет, иначе у меня авторизация по несколько раз на дню слетала бы, просто тестить лень. Кука session_id, кстати, вообще до закрытия браузера только действует.
Сейчас выйду, а днем посмотрим, раз вам так интересно

Сообщение отредактировал ! добрый торговец !: 30 сентября 2018 - 01:22

[^-^ (WMID 273407224562 )]

! добрый торговец ! 29 сент. 2018 - 22:13, писал:

Ну к юзер-агенту может привязка есть еще, а может и нет, к ай-пи точно нет, иначе у меня авторизация по несколько раз на дню слетала бы, просто тестить лень. Кука session_id, кстати, вообще до закрытия браузера только действует.

Не всегда. На этом форуме пишет: + 1 год.

Да и можете, например, этому форуму подсунуть сессионную куку. За одно и проверите, можно ли   
 

! добрый торговец ! 29 сент. 2018 - 22:13, писал:

Сейчас выйду, а днем посмотрим, раз вам так интересно

Вот, это уже хоть что-то. Самому интересно, чё за... ерунда-то такая, а! 

[! добрый торговец ! (WMID 217358758215 )]

^-^ 30 сент. 2018 - 05:45, писал:

! добрый торговец ! 29 сент. 2018 - 22:13, писал:

Сейчас выйду, а днем посмотрим, раз вам так интересно

Вот, это уже хоть что-то. Самому интересно, чё за... ерунда-то такая, а! 

Да, после успешного выхода, зашел (просто страницу форума перезагрузил, без нажатия *вход*) через 12 часов и я снова авторизован!
Кука session_id сменилась, а вот pass_hash осталась прежней, значит, она и является ключем к *воскрешению* сессии и сама сессия нифига не трется на форуме после выхода. Просто пометка о выходе туда пишется, но через некоторое время автоматом чистятся эти пометки, видимо, а сессия остается открытой.

Кстати, вчера при анализе авторизации, заметил что ставится еще одна кука ipsconnect_..., но ставится она по хитрому, для всего домена .money, может и в этом дело еще.

Сообщение отредактировал ! добрый торговец !: 30 сентября 2018 - 14:48