1
unstop 2011-12-28 20:02:01 +08:00
cookie是存储在本地的数据,远程清除不掉的。
|
2
delectate 2011-12-28 20:02:46 +08:00
也不知道有效期是多久。
|
3
bhuztez 2011-12-28 20:04:30 +08:00
ipod touch上仍然是登录状态?
|
5
evlos 2011-12-28 20:05:27 +08:00
点“登出”没有用?!
|
6
evlos 2011-12-28 20:06:10 +08:00
在iOS里 -》 设置 -》 Safari -》 清除 Cookie ,搞定。
|
8
mlhorizon 2011-12-28 20:08:25 +08:00
这种情况关cookie啥事?
|
9
cjou 2011-12-28 20:08:27 +08:00
把密码改了不就行了嘛?
|
10
delectate 2011-12-28 20:08:57 +08:00
不明白,已经丢了,怎么会知道那个id还是登录状态呢?
|
11
hooopo 2011-12-28 20:09:14 +08:00 26
改密码和登出都木有用?
|
12
evlos 2011-12-28 20:10:27 +08:00
不是很理解,ipod已经丢了怎么还知道那个ID还在登陆呢?
|
14
bhuztez 2011-12-28 20:15:52 +08:00
@1212e 不是的,cookie里面是这么写的 auth: HEX(SHA1(uid ':' HEX(SHA1(password)))) , 也就是你改了密码,之前登录的Cookie都会不行的。
|
15
1212e OP |
16
bhuztez 2011-12-28 20:19:34 +08:00
@1212e 好吧,你是对的。改密码的时候,memcache里的auth没有被删掉,只能等那个memcache的记录过期才行,过期需要两周。
|
17
bhuztez 2011-12-28 20:23:47 +08:00
于是,这里又牵扯出v2ex另一块安全问题了,v2ex保存密码的时候,是直接存SHA1的,连salt都没有哦。至于改了密码不删那个伪session,简直就是在挑战你的想象力。
|
19
reus 2011-12-28 20:55:47 +08:00
这说明v2ex的验证cookie与密码无关…… 这不安全啊。
这得改验证算法吧 |
20
Livid MOD 大家说的确实是个问题,在更改密码的时候,旧有的 auth 缓存不会被清除。
我刚刚部署一个新版本,已经解决了这个问题。 我为造成的任何困扰向大家道歉。 V2EX 的源代码是开放的,因此大家如果发现有任何问题,请直接向我反馈,涉及安全的问题,我会在第一时间解决。 |
21
Livid MOD @1212e 你机器上有 Python 么?
你可以在 Python 里运行以下代码,然后将结果通过电子邮件发给我,然后我可以在后台清除这段 auth 缓存,这样其他已经登录的机器就会登出。 import hashlib hashlib.sha1('6461:' + hashlib.sha1('YOUR_PASSWORD').hexdigest()).hexdigest() 我现在加你的 Gtalk,请通过一下。 |
23
lwjef 2011-12-28 21:45:15 +08:00
- - 用户序号就是 salt 吗
|
25
lijia18 2011-12-28 21:57:36 +08:00
建议livid把加密过的pwd的一部分存到cookie里,这样更改密码就全都登出了。
|
26
bhuztez 2011-12-28 22:00:22 +08:00
@lijia18 一直是这么做的,刚才发生问题的原因是 http://www.v2ex.com/t/24554#reply16
|
27
cloudream 2011-12-29 00:07:36 +08:00
没有开find my iphone服务么⋯⋯
|
28
kuailewubi 2011-12-29 19:10:15 +08:00
你改完密码就没事儿了,改完了那边就登陆不上了。
|