Re: ngx_http_userid_module - неточности документации, cookie предсказуем

Anton Yuzhaninov citrin на citrin.ru
Пт Янв 20 12:48:06 UTC 2012


On 01/20/12 16:29, Volodymyr Kostyrko wrote:
> <<< HTTP/1.1 200 OK
> <<< Server: nginx/1.0.11
> <<< Date: Fri, 20 Jan 2012 11:04:19 GMT
> <<< Content-Type: application/json
> <<< Connection: close
> <<< Set-Cookie: uid=wKgIPE8ZSjOvoyMQAwNlAg==; expires=Sat, 19-Jan-13 11:04:19
> GMT; path=/
> <<< P3P: policyref="/w3c/p3p.xml", CP="NOI CUR ADM PSA OUR STP STA"
> <<<
> offset 0, length -1, size -1, clength -1
> Unknown
>
> Т.е. зная во сколько пользователь подключался к сайту можно приблизительно
> угадать какая у него будет создана сессия. Ну и соответственно в неё вклиниться.
> Можно вообще мониторить сайт на предмет авторизированных пользователей.

модуль userid создавался совсем не для сессий, и uid использовать как session id 
плохая идея.

В любом случае в этом модуле нет механизма проверки сессий, так что непонятно 
зачем вообще нужно использовать uid в качестве session id.

-- 
  Anton Yuzhaninov



Подробная информация о списке рассылки nginx-ru