[bug] uitgelogt na vpn - Stoute bugs

dinsdag 13 februari 2007 18:07

Acties:

Topicstarter

Beste mensen,

Ik kwam er achter dat er een (in mijn ogen) fout zit bij het automatisch uitloggen.
howto om te bewijzen:

- Log op een pc met een vergrendel ip adres vinkje aan
- sluit browser (sessie is weg)
- open vpn verbinding
- open browser en ga naar got. Hier zie je dat je niet ingelogt bent (wat klopt omdat je een ander ip hebt)
- sluit de browser (sessie is weg als ie er al was, omdat je niet ingelogt bent)
- sluit vpn. Nu zit je weer op je eigen verbinding, met eigen ip.
- start browser en ga naar got. Nu ben je opeens nog steeds uitgelogt.. wtf.. ik heb toch echt aangevinkt dat ik op dit ip adres een jaar lang ingelogt wil blijven???

ik veronderstel dat er gekeken wordt of je een cookie hebt en vervolgens of je daarmee kan inloggen. Wanneer blijkt dat het cookie klopt maar het ip adres niet gaan jullie er (gok ik) vanuit dat cookie gestolen is, en daarom verwijderen jullie de hele sessie server side maar.. (of deleten cookie ofzo)

echter, waarom gebeurd dit? is het niet genoeg om gewoon te zeggen 'hey je ip adres klopt niet dus je bent niet ingelogt?'

This message was sent on 100% recyclable electrons.

dinsdag 13 februari 2007 18:14

Acties:

mithras

Met elke inlogsessie wordt er een sessie als cookie opgeslagen, afaik óók als je nog niet bent ingelogd.

Door die vpn sessie ziet React een verkeerde sessie (ip klopt niet), dus wordt die sessie verwijderd en ben je een guest, met dus een cookie als guest en een nieuw sessie id. Na opnieuw inloggen zonder vpn, is die oude cookie dus al overschreven door de nieuwe, dus de oude inlog is niet meer als cookie beschikbaar.
Dat is wat ik ervan dacht te weten

[ Voor 4% gewijzigd door mithras op 13-02-2007 18:14 ]

dinsdag 13 februari 2007 18:16

Acties:

BasieP

Topicstarter

mithras schreef op dinsdag 13 februari 2007 @ 18:14:
Met elke inlogsessie wordt er een sessie als cookie opgeslagen, afaik óók als je nog niet bent ingelogd.

Door die vpn sessie ziet React een verkeerde sessie (ip klopt niet), dus wordt die sessie verwijderd en ben je een guest, met dus een cookie als guest en een nieuw sessie id. Na opnieuw inloggen zonder vpn, is die oude cookie dus al overschreven door de nieuwe, dus de oude inlog is niet meer als cookie beschikbaar.
Dat is wat ik ervan dacht te weten

even voor de duidelijkheid:
ik log 1x in.
niet twee keer, en zeker geen 3x

wanneer ik een cookie krijg die mijn login cookie overschrijft wanneer ik got bezoek (en niet ingelogt ben)denk ik dat dit de bug is.
Ik vraag me ook af wat hier het nut van is.. (behalve het efficient killen van sessies)

This message was sent on 100% recyclable electrons.

dinsdag 13 februari 2007 18:17

Acties:

Zoefff

❤ 

Klopt, je oude cookie is gewoon niet meer aanwezig. Maar bij een incorrect ip (in het geval van een gelockte sessie) wordt de sessie ook verwijderd uit de sessietabel. Stel, je kopieert je eerste ReactID en zet dat weer terug in je cookie nadat de vpn-verbinding weer verbroken is, dan kan je daar ook niet meer mee inloggen. Het zal uit veiligheidsoverwegingen zo gemaakt zijn

BasieP schreef op dinsdag 13 februari 2007 @ 18:16:
[...]

even voor de duidelijkheid:
ik log 1x in.
niet twee keer, en zeker geen 3x

wanneer ik een cookie krijg die mijn login cookie overschrijft wanneer ik got bezoek (en niet ingelogt ben)denk ik dat dit de bug is.
Ik vraag me ook af wat hier het nut van is.. (behalve het efficient killen van sessies)

Dat is dus geen bug, maar intended behaviour. Je bezoekt GoT met een ReactID dat ingelogd is, maar waarbij het ip-adres niet klopt. Dat wordt gezien als een mogelijke poging tot sessie-hijacking, dus wordt de sessie verwijderd en je cookie bewust overschreven met een nieuw ReactID.

[ Voor 48% gewijzigd door Zoefff op 13-02-2007 18:22 ]

Fotoblog • Werkaandemuur.nl • Moestuincursus.nl • Twitter

dinsdag 13 februari 2007 18:21

Acties:

mithras

BasieP schreef op dinsdag 13 februari 2007 @ 18:16:
[...]

even voor de duidelijkheid:
ik log 1x in.
niet twee keer, en zeker geen 3x

Dat weet ik

Browse naar GoT en log in (er wordt een koekje aangemaakt
Start vpn
Browse naar GoT:
- Er is een cookie zie punt 1
- Ip komt niet overeen met ip uit bestaand cookie
- Oude sessie is dus niet goed (die in cookie staat) dus maak een nieuwe sessie voor de guest aan
- Sessie id van guest status overschrijft oude cookie
Sluit vpn af
Browse naar GoT:
- Er is een cookie zie punt 3
- Ip komt niet overeen met ip uit bestaand cookie
- Oude sessie is dus niet goed (die in cookie staat) dus maak een nieuwe sessie voor de guest aan
- Sessie id van guest status overschrijft oude cookie
Je hebt een nieuwe guest status en je login cookie-sessie van #1 is al 2x overschreven

Je logt dus maar 1x in (#1) en bezoekt 3x GoT (#1, #3 en #4)

wanneer ik een cookie krijg die mijn login cookie overschrijft wanneer ik got bezoek (en niet ingelogt ben)denk ik dat dit de bug is.
Ik vraag me ook af wat hier het nut van is.. (behalve het efficient killen van sessies)

Dat is niet aan mij

[ Voor 3% gewijzigd door mithras op 13-02-2007 18:23 ]

dinsdag 13 februari 2007 18:29

Acties:

BasieP

Topicstarter

ja mithras ik weet wat er gebeurd, maar je doet het overkomen alsof ik 3x inlog (wat niet zo is) dus wou even duidelijk zijn.

en @ een devadmin:
waar kan ik aangeven dat ik NIET wil dat mijn sessie gekilled wordt? ik werk namelijk erg veel via VPN en wil nog wel eens een browser starten. Aangezien got een van mijn home pages is is dus elke keer als ik mijn browser start mijn sessie weg.

Ik vind het leuk en aardig dat jullie aan mijn veiligheid denken, maar wat is er 'niet veilig' aan gewoon niet inloggen als het ip adres niet klopt?
het hele sessie verwijder geneuzel is in mijn ogen een nutteloze actie omdat zodra een echte 'hacker' het een keer ziet weet hij dat hij het niet weer op die manier moet proberen...

de deuren van je huis dichthouden is leuk, maar om ze direct dicht te spijkeren als er een reclameverkoper langs komt vind ik iets te ver gaan...

edit:
trouwens ook vreemd dat er een cookie wordt aangemaakt (die de login cookie overschrijft) wanneer je guest bent.. ik weet niet of dat echt zo is, of dat mitras ongelijk heeft, maar wat is het nut van zo'n cookie?
dat je een sessie bijhoud oke.. maar cookie setten? wat wil je registreren, terugkerende guests?

[ Voor 15% gewijzigd door BasieP op 13-02-2007 18:31 ]

This message was sent on 100% recyclable electrons.

dinsdag 13 februari 2007 19:00

Acties:

Zoefff

❤ 

Als je niet wilt dat die sessie verwijderd wordt moet je hem gewoon niet aan een ip locken, dan is er niets aan de hand

Fotoblog • Werkaandemuur.nl • Moestuincursus.nl • Twitter

dinsdag 13 februari 2007 19:40

Acties:

chem

Reist de wereld rond

zoefff geeft het juiste antwoord.

lock aan ip betekent verkeerd (ander) ip -> weg sessie.

Klaar voor een nieuwe uitdaging.

dinsdag 13 februari 2007 22:25

Acties:

Voutloos

Je vinkt ip-lock aan, dus wil niet je sessie delen over een andere verbinding. Dan lijkt het me ook wel een goed idee om te kijken of je de verbindingen niet zo kan configureren dat verkeer met tweakers.net altijd via je eigen ip gaat.

{signature}

dinsdag 13 februari 2007 22:55

Acties:

moto-moi

Ja, ik haat jou ook :w

^^ En hoe je dit een bug kunt noemen snap ik dan ook totaal niet, want het is juist gewenst gedrag van React.

God, root, what is difference? | Talga Vassternich | IBM zuigt