这是一个创建于 5086 天前的主题,其中的信息可能已经有所发展或是发生改变。
 | 1 unstop 2011-12-28 20:02:01 +08:00 cookie是存储在本地的数据,远程清除不掉的。 |
 | 2 delectate 2011-12-28 20:02:46 +08:00 也不知道有效期是多久。 |
 | 3 bhuztez 2011-12-28 20:04:30 +08:00 ipod touch上仍然是登录状态? |
 | 5 evlos 2011-12-28 20:05:27 +08:00 点“登出”没有用?! |
| 6 evlos 2011-12-28 20:06:10 +08:00 在iOS里 -》 设置 -》 Safari -》 清除 Cookie ,搞定。 |
 | 8 mlhorizon 2011-12-28 20:08:25 +08:00 这种情况关cookie啥事? |
 | 9 cjou 2011-12-28 20:08:27 +08:00 把密码改了不就行了嘛? |
| 10 delectate 2011-12-28 20:08:57 +08:00 不明白,已经丢了,怎么会知道那个id还是登录状态呢? |
 | 11 hooopo 2011-12-28 20:09:14 +08:00  26 改密码和登出都木有用? |
| 12 evlos 2011-12-28 20:10:27 +08:00 不是很理解,ipod已经丢了怎么还知道那个ID还在登陆呢? |
| 14 bhuztez 2011-12-28 20:15:52 +08:00 @1212e 不是的,cookie里面是这么写的 auth: HEX(SHA1(uid ':' HEX(SHA1(password)))) , 也就是你改了密码,之前登录的Cookie都会不行的。 |
 | 15 1212e OP |
| 16 bhuztez 2011-12-28 20:19:34 +08:00 @1212e 好吧,你是对的。改密码的时候,memcache里的auth没有被删掉,只能等那个memcache的记录过期才行,过期需要两周。 |
| 17 bhuztez 2011-12-28 20:23:47 +08:00 于是,这里又牵扯出v2ex另一块安全问题了,v2ex保存密码的时候,是直接存SHA1的,连salt都没有哦。至于改了密码不删那个伪session,简直就是在挑战你的想象力。 |
 | 19 reus 2011-12-28 20:55:47 +08:00 这说明v2ex的验证cookie与密码无关…… 这不安全啊。 这得改验证算法吧 |
 | 20 Livid MOD PRO 大家说的确实是个问题,在更改密码的时候,旧有的 auth 缓存不会被清除。 我刚刚部署一个新版本,已经解决了这个问题。 我为造成的任何困扰向大家道歉。 V2EX 的源代码是开放的,因此大家如果发现有任何问题,请直接向我反馈,涉及安全的问题,我会在第一时间解决。 |
| 21 Livid MOD PRO @1212e 你机器上有 Python 么? 你可以在 Python 里运行以下代码,然后将结果通过电子邮件发给我,然后我可以在后台清除这段 auth 缓存,这样其他已经登录的机器就会登出。 import hashlib hashlib.sha1('6461:' + hashlib.sha1('YOUR_PASSWORD').hexdigest()).hexdigest() 我现在加你的 Gtalk,请通过一下。 |
 | 23 lwjef 2011-12-28 21:45:15 +08:00 - - 用户序号就是 salt 吗 |
 | 25 lijia18 2011-12-28 21:57:36 +08:00 建议livid把加密过的pwd的一部分存到cookie里,这样更改密码就全都登出了。 |
| 26 bhuztez 2011-12-28 22:00:22 +08:00 @lijia18 一直是这么做的,刚才发生问题的原因是 http://www.v2ex.com/t/24554#reply16 |
 | 27 cloudream 2011-12-29 00:07:36 +08:00 没有开find my iphone服务么 |
 | 28 kuailewubi 2011-12-29 19:10:15 +08:00 你改完密码就没事儿了,改完了那边就登陆不上了。 |
Select Language