[BC3] Ik ben niet Sir_Floppy!

Dit stond in [url="/listtopics.php/16"]Tweakers.net Moddereter Forum[/url] leek mij dat het daar niet thuishoort en dat Arjen/Jorma/Kees/Rick/Femme nog eens goed moeten kijken waar dit probleem zit, puur door een link te volgen als een bepaald persoon ingelogd zijn, ik snap het niet zo heeel goed allemaal, maar volgens mij kan dat niet de bedoeling zijn

Klinkt fout? Volgende keer komt iemand ingelogd als Femme of zo, dan ben je echt niet blij.

"Heee, ik ben ingelogd als Femme..."
"... Goh.. waar zouden die rode kruisjes achter de fora voor zijn???"
*klik*klik*klik*klik*
"Whoops..."

Whehe, gelukkig zitten daar nou net geen kruisjes, maar wel bij berichten enzo.

Op maandag 16 april 2001 13:09 schreef Chaos het volgende:
"Heee, ik ben ingelogd als Femme..."
"... Goh.. waar zouden die rode kruisjes achter de fora voor zijn???"
*klik*klik*klik*klik*
"Whoops..."

Dat kan niet omdat dit een fout is doordat users connecten via een proxy. Ik had er laatst op school ook last van dat ik ineens ingelogd was als degene die 2 stoelen verder zat als mij.

Dat kan niet omdat dit een fout is doordat users connecten via een proxy.

Als hij kan posten als iemand anders dan kan hij ook modereren als iemand anders en kan hij ook deleten als iemand anders. Als een proxy cookies gaat zitten cachen is die proxy wel heeeeeeeel erg fout bezig, dus dat lijkt me nogal sterk.

Op maandag 16 april 2001 14:00 schreef Chaos het volgende:

[..]

Als hij kan posten als iemand anders dan kan hij ook modereren als iemand anders en kan hij ook deleten als iemand anders. Als een proxy cookies gaat zitten cachen is die proxy wel heeeeeeeel erg fout bezig, dus dat lijkt me nogal sterk.

edit:
Dat proxyverhaal gaat idd wel op voor de index pagina ja, maar daar kun je verder niets mee

Ik heb het over GoT, niet over T.net.

Ik ook.

Op maandag 16 april 2001 14:04 schreef Chaos het volgende:
Ik ook.

Hier kan je niet modereren

Hier kan je niet modereren

Wel als je mod of admin bent.

Op maandag 16 april 2001 14:05 schreef Chaos het volgende:

[..]

Wel als je mod of admin bent.

Duh

Duh

Duh?

Er vinden steeds meer van dit soort vage dingen plaats, het is dus een kwestie van tijd totdat iemand ineens ingelogd is als moderator/admin en een kwestie van nog wat meer tijd totdat dit iemand met kwade bedoelingen overkomt. En dan hoop ik dat de crew regelmatig backups maakt...

Op maandag 16 april 2001 14:09 schreef Chaos het volgende:

[..]

Duh?

Er vinden steeds meer van dit soort vage dingen plaats, het is dus een kwestie van tijd totdat iemand ineens ingelogd is als moderator/admin en een kwestie van nog wat meer tijd totdat dit iemand met kwade bedoelingen overkomt. En dan hoop ik dat de crew regelmatig backups maakt...

Volgens mij pak jij mijn "duh" een beetje verkeerd op

En ja, dit is een serieus probleem wat al een paar maanden bekend is volgens mij.

[onder de gordel mode]
Staat dit al op de todo lijst
[/onder de gordel mode]

Staat dit al op de todo lijst

Wil degene die vanmiddag ineens als Floris ingelogd is dit even op de todo-list zetten?

De naam todo list is eigenlijk behoorlijk misleidend

Op maandag 16 april 2001 14:12 schreef Chaos het volgende:

[..]

Wil degene die vanmiddag ineens als Floris ingelogd is dit even op de todo-list zetten?

hahaha

Als het zou gebeuren dat een iemand door de proxy ineens als floris oid ingelogd zit en er kwade dingen mee doen hebben de ads altijd nog root acces.

hmz. het lijkt wel dat je als user een unieke ID krijgt via cookie. proxy of niet je zou uniek moeten blijven. en anders is je random ID generator niet helemaal random.

Er zat een check op de uniekheid van sessionID''s voor zover ik weet.. maar het lijkt niet echt te helpen.

Het ingelogd zijn op GoT werkt met een sessid (een md5 hash). Misschien is het zo dat als je in de url met GET de sessid meestuurt (dus bijv. http://gathering.tweakers.net/index.php?sessid=a7d1b3ad857935926cc76652673f423b) dat je dan ook ingelogd bent?

Een andere manier kan ik me niet bedenken - behalve dat een user op een openbare compu een cookie heeft laten staan.

Hm, ik was wel laatst met Miranda ICQ ingelogd als iemand van wie ik nog nooit gehoord had, maar het is me helaas nog steeds niet overkomen dat ik plots mezelf op GoT tot admin om kon toveren.

Op FOK! was er pas iemand als Danny (admin) ingelogd op zo''n manier.
Arjen had het uitgezocht en zei dat diegene hetzelfde sessie id als Arjen toegekent had gekregen maar dat er in de nieuwe versie van topix (waar GoT dus al op draait) een dubbelcheck zit, dus het zou hier niet voor mogen komen.

Mja, maar dit is dus gisteren gebeurt....

Op maandag 16 april 2001 14:13 schreef Tom het volgende:
De naam todo list is eigenlijk behoorlijk misleidend

Verander het in what-should-be-done-somewhere-in-future-list.

Op dinsdag 17 april 2001 14:30 schreef pven het volgende:

[..]

Verander het in what-should-be-done-somewhere-in-future-list.

Hahahahaha

Dikke lol!

Die frank heeft waarschijnlijk gewoon op school/bedrijf op een algemene computer of zo een bookmark aangeklikt waar dan een cookie met wachtwoord (of zoiets, weet er ook niet alles van) aan hing: ingelogd!

Daar kan GOT toch weinig tegen doen? Zo''n sufferd moet gewoon op die computer geen bookmark maken.
En als gevolg dáárvan zal niemand ooit als mod of als bijv. mij in kunnen loggen, want die hebben allemaal hun eigen computer (tenzij ze ''m open laten staan in de AH )

Gewoon checken of een zojuist gegenereerde sessionid op dat moment al bestaat lijkt mij voldoende.

Op dinsdag 17 april 2001 14:53 schreef stefijn het volgende:
Die frank heeft waarschijnlijk gewoon op school/bedrijf op een algemene computer of zo een bookmark aangeklikt waar dan een cookie met wachtwoord (of zoiets, weet er ook niet alles van) aan hing: ingelogd!

Daar kan GOT toch weinig tegen doen? Zo''n sufferd moet gewoon op die computer geen bookmark maken.
En als gevolg dáárvan zal niemand ooit als mod of als bijv. mij in kunnen loggen, want die hebben allemaal hun eigen computer (tenzij ze ''m open laten staan in de AH )

Zou kunnen.

Maar dat is niet altijd de oorzaak. Je hoort het ook van mensen die het op hun eigen PC thuis, waar niemand anders opkomt, spontaan als iemand anders ingelogd zijn...

Op dinsdag 17 april 2001 15:01 schreef GaMeOvEr het volgende:

[..]

Zou kunnen.

Maar dat is niet altijd de oorzaak. Je hoort het ook van mensen die het op hun eigen PC thuis, waar niemand anders opkomt, spontaan als iemand anders ingelogd zijn...

Ja, da''s weer eens wat anders

Ik gebruik dus geen proxy''s tenzij ik *uche* ergens een ftp leegtrek *uche*.

Lijkt me niet dat iemand dan mijn cookie tegen kan komen, met Seesion-ID''s is het helemaal vreemd dat iemand exact de zelfde session-id krijgt toegewezen, er zijn tig miljard combo''s en dan moet het net toevallig gebeuren dat er een aantal mensen in zulke korte tijd allemaal dit soort "problemen" hebben... Ik vind het vaag en ik wil opheldering.

Het schijnt dat sommige providers een soort van transparante proxys gebruiken, weet het er fijne niet van maar ik las zoiets over chello, misschien dat dat de oorzaak is, zelf heb ik het meermalen gehad, onder andere een keer op de ilse chat, en op een ecommerce site.

Op dinsdag 17 april 2001 16:44 schreef Floris_Diemel het volgende:
soort "problemen" hebben... Ik vind het vaag en ik wil opheldering.

En je hoopt dat iemand ''met kennis'' hier dan gaat reagezren?
Die bewuste persoon is hier al een tijdje niet meer geweest dacht ik zo.. misschien is email of telefoon wel een optie om ff wat beweging in die todo-lijst te krijgen?

Op dinsdag 17 april 2001 16:44 schreef Floris_Diemel het volgende:
Ik gebruik dus geen proxy''s tenzij ik *uche* ergens een ftp leegtrek *uche*.

Lijkt me niet dat iemand dan mijn cookie tegen kan komen, met Seesion-ID''s is het helemaal vreemd dat iemand exact de zelfde session-id krijgt toegewezen, er zijn tig miljard combo''s en dan moet het net toevallig gebeuren dat er een aantal mensen in zulke korte tijd allemaal dit soort "problemen" hebben... Ik vind het vaag en ik wil opheldering.

dan ga je de uitgegeven session id''s toch bijhouden? na 20minuten nix doen verloopt tie en dan geef je die ID vrij. zou moeten kunnen. toch?

Op dinsdag 17 april 2001 20:01 schreef twiekert het volgende:
dan ga je de uitgegeven session id''s toch bijhouden?

Dat gebeurt natuurlijk al, hoe kan Topix anders immers iets doen met het ID dat je met elke request meegeeft?

na 20minuten nix doen verloopt tie en dan geef je die ID vrij. zou moeten kunnen. toch?

Asjeblieft niet zeg... dan moet je om de 20 minuten opnieuw inloggen.

Het schijnt dat sommige providers een soort van transparante proxys gebruiken,

Kan zijn, maar dan nog moet je niet als iemand anders kunnen posten. (zelfs bekijken zou niet moeten kunnen, proxies horen geen cookies te cachen)

Op dinsdag 17 april 2001 20:06 schreef Onno het volgende:

[knip]

Kan zijn, maar dan nog moet je niet als iemand anders kunnen posten. (zelfs bekijken zou niet moeten kunnen, proxies horen geen cookies te cachen)

Hmm zou dat een instelling kunnen zijn? Of is het, als het gebeurt (proxy die koekje bewaard) echt fout? Ik heb het hier thuis weleens, dan ben ik ''s middags nog op GoT geweest, en dan is ''s avonds opeens alles van de laatste 3 dagen nieuw (en op andere sites ook). Maar dan zou het iets consequents moeten zijn, of niet? (is trouwens winroute, op de zaak hebben we ms proxy, daar ben ik we af en toe m''n cookie kwijt, alleen aangezien niemand anders GoT'' weet ik niet of iemand anders dan onder mijn naam is ingelogt).

Is het niet makkelijker om de inlog gegevens in een cookie te gooien en die sessionID''s ook voor sessions te gebruiken

Die sessionID''s zijn toch niet om mensen weer te kunnen herkennen, nadat ze een pagina hebben weggeklikt. De gein van een session is juist dat je bij kan houden wie wie is wanneer hij/zij aan het bladeren is op je pagina.

Om terug te komen op het probleem: Dat een bepaalde sessionID 2 keer wordt uitgegeven, ligt niet aan de forum-scriptjes, maar aan PHP zelf. Die genereerd nl. de unieke ID (als Arjen tenminste met de sessions van PHP werkt)

* Rense Klinkenberg vraagt zich af wat er gebeurt als er 2 webservers voor het forum gaan komen, want die kunnen heel makkelijk beide dezelfde sessionID uitgeven