V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
1212e
V2EX  ›  信息安全

紧急! 麻烦@Livid清除一下我的cookie

  •  
  •   1212e · 2011-12-28 19:56:41 +08:00 · 4895 次点击
    这是一个创建于 4695 天前的主题,其中的信息可能已经有所发展或是发生改变。
    今天我的ipod touch丢了
    我发现改完密码仍然是登录状态
    麻烦@Livid清除一下我的cookie
    28 条回复    1970-01-01 08:00:00 +08:00
    unstop
        1
    unstop  
       2011-12-28 20:02:01 +08:00
    cookie是存储在本地的数据,远程清除不掉的。
    delectate
        2
    delectate  
       2011-12-28 20:02:46 +08:00
    也不知道有效期是多久。
    bhuztez
        3
    bhuztez  
       2011-12-28 20:04:30 +08:00
    ipod touch上仍然是登录状态?
    1212e
        4
    1212e  
    OP
       2011-12-28 20:05:21 +08:00
    @unstop 额 就是让我现在cookie验证不通过就行...
    evlos
        5
    evlos  
       2011-12-28 20:05:27 +08:00
    点“登出”没有用?!
    evlos
        6
    evlos  
       2011-12-28 20:06:10 +08:00
    在iOS里 -》 设置 -》 Safari -》 清除 Cookie ,搞定。
    1212e
        7
    1212e  
    OP
       2011-12-28 20:07:36 +08:00
    @evlos 是的
    @bhuztez ipod已经丢了啊... 我是改完密码用另一台没有登出v2ex的电脑测试发现的
    mlhorizon
        8
    mlhorizon  
       2011-12-28 20:08:25 +08:00
    这种情况关cookie啥事?
    cjou
        9
    cjou  
       2011-12-28 20:08:27 +08:00
    把密码改了不就行了嘛?
    delectate
        10
    delectate  
       2011-12-28 20:08:57 +08:00
    不明白,已经丢了,怎么会知道那个id还是登录状态呢?
    hooopo
        11
    hooopo  
       2011-12-28 20:09:14 +08:00   ❤️ 26
    改密码和登出都木有用?
    evlos
        12
    evlos  
       2011-12-28 20:10:27 +08:00
    不是很理解,ipod已经丢了怎么还知道那个ID还在登陆呢?
    evlos
        13
    evlos  
       2011-12-28 20:13:35 +08:00
    @evlos 喔,你说那IPOD存了COOKIE啊。那改了密码就结了。
    bhuztez
        14
    bhuztez  
       2011-12-28 20:15:52 +08:00
    @1212e 不是的,cookie里面是这么写的 auth: HEX(SHA1(uid ':' HEX(SHA1(password)))) , 也就是你改了密码,之前登录的Cookie都会不行的。
    1212e
        15
    1212e  
    OP
       2011-12-28 20:16:00 +08:00
    @cjou @hooopo @delectate
    用2个浏览器试试(别用两个IE外壳...)
    A浏览器 B浏览器 都先登录v2ex
    然后用A浏览器改v2ex密码+登出 , B别登出
    再用B访问v2ex

    @mlhorizon 哦,那请教一下关什么的事?


    更郁闷的是 前一阵子恢复过一次系统 没登录icloud ...............
    bhuztez
        16
    bhuztez  
       2011-12-28 20:19:34 +08:00
    @1212e 好吧,你是对的。改密码的时候,memcache里的auth没有被删掉,只能等那个memcache的记录过期才行,过期需要两周。
    bhuztez
        17
    bhuztez  
       2011-12-28 20:23:47 +08:00
    于是,这里又牵扯出v2ex另一块安全问题了,v2ex保存密码的时候,是直接存SHA1的,连salt都没有哦。至于改了密码不删那个伪session,简直就是在挑战你的想象力。
    1212e
        18
    1212e  
    OP
       2011-12-28 20:26:13 +08:00
    @bhuztez 好吧...其实也不是非常紧急,希望那人不会来乱发贴...


    现在还没弄清楚ipod是掉了还是被偷了....
    reus
        19
    reus  
       2011-12-28 20:55:47 +08:00
    这说明v2ex的验证cookie与密码无关…… 这不安全啊。
    这得改验证算法吧
    Livid
        20
    Livid  
    MOD
       2011-12-28 21:08:36 +08:00
    大家说的确实是个问题,在更改密码的时候,旧有的 auth 缓存不会被清除。

    我刚刚部署一个新版本,已经解决了这个问题。

    我为造成的任何困扰向大家道歉。

    V2EX 的源代码是开放的,因此大家如果发现有任何问题,请直接向我反馈,涉及安全的问题,我会在第一时间解决。
    Livid
        21
    Livid  
    MOD
       2011-12-28 21:12:55 +08:00
    @1212e 你机器上有 Python 么?

    你可以在 Python 里运行以下代码,然后将结果通过电子邮件发给我,然后我可以在后台清除这段 auth 缓存,这样其他已经登录的机器就会登出。

    import hashlib
    hashlib.sha1('6461:' + hashlib.sha1('YOUR_PASSWORD').hexdigest()).hexdigest()

    我现在加你的 Gtalk,请通过一下。
    1212e
        22
    1212e  
    OP
       2011-12-28 21:38:01 +08:00
    已经解决. 非常感谢@Livid ! 好客气啊:D
    lwjef
        23
    lwjef  
       2011-12-28 21:45:15 +08:00
    - - 用户序号就是 salt 吗
    bhuztez
        24
    bhuztez  
       2011-12-28 21:51:12 +08:00
    @lwjef 没有salt, 用户序号只是在生成cookie内容的时候用到
    lijia18
        25
    lijia18  
       2011-12-28 21:57:36 +08:00
    建议livid把加密过的pwd的一部分存到cookie里,这样更改密码就全都登出了。
    bhuztez
        26
    bhuztez  
       2011-12-28 22:00:22 +08:00
    @lijia18 一直是这么做的,刚才发生问题的原因是 http://www.v2ex.com/t/24554#reply16
    cloudream
        27
    cloudream  
       2011-12-29 00:07:36 +08:00
    没有开find my iphone服务么⋯⋯
    kuailewubi
        28
    kuailewubi  
       2011-12-29 19:10:15 +08:00
    你改完密码就没事儿了,改完了那边就登陆不上了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   962 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 22:02 · PVG 06:02 · LAX 14:02 · JFK 17:02
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.