This topic created in 5258 days ago, the information mentioned may be changed or developed.
 |
1
unstop Dec 28, 2011
cookie是存储在本地的数据,远程清除不掉的。
|
 |
2
delectate Dec 28, 2011
也不知道有效期是多久。
|
 |
3
bhuztez Dec 28, 2011
ipod touch上仍然是登录状态?
|
 |
5
evlos Dec 28, 2011
点“登出”没有用?!
|
|
6
evlos Dec 28, 2011
在iOS里 -》 设置 -》 Safari -》 清除 Cookie ,搞定。
|
 |
8
mlhorizon Dec 28, 2011
这种情况关cookie啥事?
|
 |
9
cjou Dec 28, 2011
把密码改了不就行了嘛?
|
|
10
delectate Dec 28, 2011
不明白,已经丢了,怎么会知道那个id还是登录状态呢?
|
 |
11
hooopo Dec 28, 2011  26
改密码和登出都木有用?
|
|
12
evlos Dec 28, 2011
不是很理解,ipod已经丢了怎么还知道那个ID还在登陆呢?
|
|
14
bhuztez Dec 28, 2011
@1212e 不是的,cookie里面是这么写的 auth: HEX(SHA1(uid ':' HEX(SHA1(password)))) , 也就是你改了密码,之前登录的Cookie都会不行的。
|
 |
15
1212e OP |
|
17
bhuztez Dec 28, 2011
于是,这里又牵扯出v2ex另一块安全问题了,v2ex保存密码的时候,是直接存SHA1的,连salt都没有哦。至于改了密码不删那个伪session,简直就是在挑战你的想象力。
|
 |
19
reus Dec 28, 2011
这说明v2ex的验证cookie与密码无关…… 这不安全啊。
这得改验证算法吧 |
 |
20
Livid MOD PRO 大家说的确实是个问题,在更改密码的时候,旧有的 auth 缓存不会被清除。
我刚刚部署一个新版本,已经解决了这个问题。 我为造成的任何困扰向大家道歉。 V2EX 的源代码是开放的,因此大家如果发现有任何问题,请直接向我反馈,涉及安全的问题,我会在第一时间解决。 |
|
21
Livid MOD PRO @1212e 你机器上有 Python 么?
你可以在 Python 里运行以下代码,然后将结果通过电子邮件发给我,然后我可以在后台清除这段 auth 缓存,这样其他已经登录的机器就会登出。 import hashlib hashlib.sha1('6461:' + hashlib.sha1('YOUR_PASSWORD').hexdigest()).hexdigest() 我现在加你的 Gtalk,请通过一下。 |
 |
23
lwjef Dec 28, 2011
- - 用户序号就是 salt 吗
|
 |
25
lijia18 Dec 28, 2011
建议livid把加密过的pwd的一部分存到cookie里,这样更改密码就全都登出了。
|
|
26
bhuztez Dec 28, 2011
@lijia18 一直是这么做的,刚才发生问题的原因是 http://www.v2ex.com/t/24554#reply16
|
 |
27
cloudream Dec 29, 2011
没有开find my iphone服务么⋯⋯
|
 |
28
kuailewubi Dec 29, 2011
你改完密码就没事儿了,改完了那边就登陆不上了。
|
Select Language