tasker 12 08/04/13 14:48 Здравствуйте! Подскажите, пожалуйста, почему в более новых версиях форума разработчики удалили из шаблонов ссылку для удаления Cookies. В чем сакральный смысл? Спасибо! Поделиться сообщением Ссылка на сообщение
Bot 5 08/04/13 14:48 Обратите внимание "Board url", указанный вами в профиле, некорректен, либо недоступен на данный момент. Пожауйста, заполните его, потому что он скорее всего потребуется при диагностике вашей проблемы. Поделиться сообщением Ссылка на сообщение
siv1987 2628 08/04/13 15:16 Наверное потому, что не было куда было ее всунуть или портила эстетический вид форума. Поделиться сообщением Ссылка на сообщение
Zero108 124 08/04/13 23:07 Сакральный смысл ищите в напралении таких слов, как PRISM.. IPS ЦРУ-шная контора же, это же понятно. Поделиться сообщением Ссылка на сообщение
tasker 12 08/05/13 08:00 IPS ЦРУ-шная контора же, это же понятно Тогда бы они сделали для ЦРУ отдельный бэкдор. :rolleyes: Нет, я почему спросил, вы внутренности IPB знаете, за развитием следите, может там были изменения на тему сессий/кукисов, поэтому и убрали ссылку с прицелом на будущее. Поделиться сообщением Ссылка на сообщение
newbie 1723 08/05/13 08:19 Тогда бы они сделали для ЦРУ отдельный бэкдор. Так есть. Регистрируете учетку CIA -> пишите админу -> получаете доступы. :lol: Нет, я почему спросил, вы внутренности IPB знаете, за развитием следите, может там были изменения на тему сессий/кукисов, поэтому и убрали ссылку с прицелом на будущее. А Вас на IPS забанили?http://community.invisionpower.com/topic/339466-features-removed-from-314/?p=2163540 1 Поделиться сообщением Ссылка на сообщение
tasker 12 08/05/13 08:47 @newbie, за ссылку спасибо, конечно, сам бы не нашел. Брешут они, ссылку удалили, а код удаления кукисов не удалили. Точно для ЦРУ старались. B) Надо ещё в тот код заглянуть, он же не куку у клиента удаляет, а сессию из БД. А это разные вещи. Если я почищу куки у себя локально, то это не помешает злоумышленнику, похитившему мою куку с активной сессией, воспользоваться ей. Удалять такую ссылку это всё равно, что Яндекс и Гугл у себя удалят возможность разлогиниться на всех устройствах, то есть удалить все запомненные сессии. 1 Поделиться сообщением Ссылка на сообщение
siv1987 2628 08/05/13 10:03 Надо ещё в тот код заглянуть, он же не куку у клиента удаляет, а сессию из БД. А это разные вещи.Как раз кукисы и удаляются. Не совсем полностью удаляются, но примерно с таким же смыслом - удаляются данные. Если я почищу куки у себя локально, то это не помешает злоумышленнику, похитившему мою куку с активной сессией, воспользоваться ей.Ну а что такое "активная сессия"?.. Вот сессия по истечению 15 минут удалилась, вы зашли на форум но остаетесь авторизированным. Т.е. кроме сессии есть еще одна кука которая идентифицирует пользователя - это ключ авторизации. А функция deleteCookies не сбрасывает этот ключ в БД. Поделиться сообщением Ссылка на сообщение
newbie 1723 08/05/13 10:10 Брешут они, ссылку удалили, а код удаления кукисов не удалили. Точно для ЦРУ старались.IPS не особо удаляет код. Если поискать, то еще можно найти отголоски прошлых версий.А с другой стороны удобно. Если кто-то захочет восстановить функционал, сделав хук/мод, то не нужно писать код заново. Можно воспользоваться уже имеющимся. Поделиться сообщением Ссылка на сообщение
tasker 12 08/05/13 10:14 Т.е. кроме сессии есть еще одна кука которая идентифицирует пользователя - это ключ авторизации. А функция deleteCookies не сбрасывает этот ключ. А вы пробовали? Я пробовал. На 3.4.5 deleteCookies полностью разлогинивает из форума. Если при этом в БД всё же сохраняется ключ авторизации, то это очень странно. Поделиться сообщением Ссылка на сообщение
siv1987 2628 08/05/13 10:23 А вы пробовали? Я пробовал. На 3.4.5 deleteCookies полностью разлогинивает из форума. Если при этом в БД всё же сохраняется ключ авторизации, то это очень странно.Ну ясно что разлогинивает, раз удаляются кукисы. На основе чего форум сможет идентифицировать пользователя?..Но если восстановить ключ авторизации пользователя с не истекшим сроком, то форум его авторизирует. ПСИмелось ввиду что не сбрасывается из БД, а не из кукисов. Те это действие аналогично удалением кукисов из браузера, принципиально оно ничем не отличается. Поделиться сообщением Ссылка на сообщение
tasker 12 08/05/13 10:27 Кажется я понял, к чему вы ведёте. В той теме тоже есть объяснение. Куки на одном устройстве удалились, но в БД сохранился ключ авторизации и все остальные куки с этим ключом продолжают действовать. Тогда надо ссылку для удаления ключа. Вроде бы и такое было, тоже удалили. Точно без ЦРУ не обошлось. Вопросов по теме больше нет. Лучше в коде поищу. Всем спасибо! 1 Поделиться сообщением Ссылка на сообщение
Strategius 52 12/05/16 07:54 Не подскажете, как восстановить эту ссылку на IPB 3.4? Взял код с 3.1, но куки не очищаются, а при переходе по ссылке выдает ошибку, что ссылка была неправильно сформирована. <a href="{parse url="app=core&module=global§ion=login&do=logout& amp;k={$this->member->form_hash}" base="public"}">{$this->lang->words['log_out' ]}</a> Поделиться сообщением Ссылка на сообщение
siv1987 2628 12/05/16 09:41 do=logout - это выход. app=core&module=global§ion=login&do=deleteCookies&k={$this->member->form_hash} 1 Поделиться сообщением Ссылка на сообщение
Strategius 52 12/05/16 18:51 (изменено) А точно эта функция все куки удаляет? Например кук этого блока (свернутого) не удаляет вообще... http://ipbskins.ru/forum/topic14936.html/page__view__findpost__p__99951 <a href="{parse url="app=core&module=global§ion=login&do=deleteCookies&k={$this->member->form_hash}" base="public"}">Очистить Cookies</a>Или я ошибся в составлении ссылки? Изменено 5 декабря 2016 пользователем Strategius Поделиться сообщением Ссылка на сообщение
