bug altervista

[torrentmovies]

Sapevate del bug altervista?chiunque puo entrare nel pannello di controllo dei webmaster se lascia refferer..................... comunque vi dico come bloccarli in firefox

per la sicurezza di tutti gli utenti


Cominciate aprendo una nuova finestra (o una nuova scheda) nel vostro browser preferito e digitate about:config. Usando il filtro che compare in altro cercate network.http.sendRefererHeader e cliccateci sopra con il pulsante destro del mouse, cliccate su modifica e inserire nella finestra che appare il valore 0, ora il vostro browser non invierà più referrer!

[darkwolf]

Sapevate del bug altervista?...

Puoi spiegarmi il nesso tra referer dal pannello di controllo con eventuali accessi indesiderati?

[binarysun]

Forse perchè c'è il sid nella url.
Ma ho provato e sembra fare il controllo, accedendo con FF al pannello copio e incollo l'url in IE e mi session expired.

[darkwolf]

Forse perchè c'è il sid nella url.
Ma ho provato e sembra fare il controllo, accedendo con FF al pannello copio e incollo l'url in IE e mi session expired.

Si, lo so, ma a chi dovresti mandarlo quel referer dall'interno del tuo pannello di controllo?
Riguardo al "Session Expired" lo da da un po' di tempo, fino a non molto tempo fa il link con sid postato sul forum da alcuni utenti "ingenui" forniva l'accesso al pannello

[Gianluca]

Proprio per evitare un problema simile il pannello non consente l'accesso usando la semplice sid presente sull'url.

Quindi ammesso che dal tuo pannello venisse inviato il tuo referer a terzi, sarebbe inutile ai fini dell'accesso.

[torrentmovies]

certo che posso spiegartelo se uno entra nel pannello controlo di altervista poi da li si sposta in un sito dove anno contatori utenti che vedono gli ultimi refferer col refferer entrano nel pannello controllo utenti tranquillamente col link quindi vedete di riparare io ho fatto i becaup del sito pero sai non mi va che entrano nel pannello controllo......

edit:
vuoi la prova metto il sid qui poi pero lo cancelli..............?

[dreadnaut]

"poi da li si sposta" vale solo se dal pannello di AlterVista segui un link ad un sito esterno. Dove hai trovato simili link?

[darkwolf]

certo che posso spiegartelo se uno entra nel pannello controlo di altervista poi da li si sposta in un sito dove anno contatori ...

Io, nel mio pannello, non vedo link a siti esterni (tranne @blog.altervista.org che poi non è esterno) e quindi, anche volendo, non riuscirei a mandare il referer (ho girato tutto il pannello e non ne trovo. Se ci sono segnalameli che sono curioso

vuoi la prova metto il sid qui poi pero lo cancelli..............?

Ho appena riprovato col mio.
Tempo fa ricordo che in effetti dava l'accesso (capitava che alcuni utenti postavano il loro sid sul forum e lo sconsigliavamo proprio per evitare accessi indesiderati) adesso invece:

Sessione scaduta
Visualizzi questo messaggio d'errore perché sei stato troppo tempo collegato al tuo pannello di controllo senza compiere alcuna azione.

Se il problema persiste prova a cancellare tutti i cookies e se non riesci proprio a rientrare segnalalo sul forum nella sezione dedicata alla segnalazione dei guasti oppure cliccando qui.

[Gianluca]

Come ho scritto prima la sid che trovi nell'url è solo una componente della sid complessiva che è appunto in parte gestita lato url e in parte lato cookies.
Se tu sei un utente loggato (quindi che ha un cookie di sessione valido), posti altrive il tuo url completo di sid ancora valida guadagni l'accesso, altri no.

Quindi anche se qualcuno avesse nel momento stesso in cui la tua sessione è ancora valida (e dura minuti) il tuo url comprensivo di sid non potrebbe usarlo.

D'altra parte se tu stesso ti logghi ad esempio con Firefox al tuo pannello, poi apri Explorer e vai a copiarci dentro l'url completa di sid che avevi su Firefox da loggato potrai constatare di non aver accesso al pannello da Explorer, questo a dimostrazione che anche avendo un referer completo sarebbe del tutto inutile.

È una prova semplice che ti consiglio di fare per tua maggior tranquillità personale.

[torrentmovies]

Vi spiego la cosa bene................... Allora ieri ero nel mio pannello controllo di altervista stavo lavorando ho detto faccio na pausa vado a vedere il sito del mio amico che ho nei preferiti dopo mezzora mi chiama il mio amico che e nel mio pannello controllo che ha trovato refferer nel contaTORE HISTAT uguale a quello del mio sito quindi se uno trova il refferer prima che la sessione scade oppure se tu lavori tutto il giorno che la sessione non scade chiunque entra nel tuo pannello se visiti un sito dai tuoi preferiti non e un bug questo?vi costa tanto sistemarlo?da che mondo e mondo nessuno potrebbe entrare nel pannello tramite un link questo e uno dei bug piu frequenti usato dagli hackers lo sapevate?oppure usano script nei forum per rubare i cokie e cosi via................

edit:
ho fatto la prova col link sid sono entrato da explorer dove non sono mai entrato nel pannello controllo prima ho cancellato tutti i cokie con ccleaner poi anche da explorer risultato col link sono entrato nel mio pannello controllo poi ho dato il link per sicurezza ad un mio amico in msn per provare se lui entrava risultato anche lui era nel pannello controllo quindi qualcosa non quadra giusto?datemi voi la risposta

edit:
dai vedete di sistemare un po il tutto io ho qui il sito voglio stare al sicuro

Non è possibile che visitando un sito dai bookmarks ti da come referer la pagina dalla quale lo hai aperto. Il browser setta il referer solo se tu clicci su un link, andare nei segnalibri equivale a rimpiazzare l'url della barra con quello del sito che hai nei segnalibri.

[torrentmovies]

cosa ho fatto?o semplicemente risposto boooooooooooooo va bee pensate cio che volete

Non hai fatto nulla, non puoi rispondere 10 volte allo stesso topic di seguito. Devi usare il tasto edita, ed è quello che il moderatore ha fatto, ovvero riunire i tuoi post consecutivi.

[torrentmovies]

cosa ho fatto?o semplicemente risposto boooooooooooooo va bee pensate cio che volete

se mi spiegate forse non entro mai nei forum non so pratico

[Gianluca]

torrentmovies:

che la sessione sia valida o meno la spiegazione che ti ho dato sopra esclude la possibilità che quanto hai scritto accada, a patto che ovviamente chi accede al proprio account non decida di filtrare deliberatamente i cookies dal dominio altervista.org o non supporti i cookies, in quel caso il pannello piuttosto che negare a priori l'accesso tollera che in quella sessione di login vi sia una sid basata solo sull'url (anzichè cookie + url), seguendo un paradigma comune ad altri applicativi, ma questa non rappresenta comunque una condizione normale di funzionamento, come provato dalle altre persone che hanno postato in questo thread.

Forse non è superfluo ricordare anche che i cookies istanziati su un dominio, ad esempio s70.altervista.org sono visibili solo sotto quel dominio, o eventuali sottodomini tipo aaa.s70.altervista.org, non certo gianni.altervista.org e nemmeno dominio.it, questo è il normale funzionamento dei cookies che ovviamente non abbiamo inventato noi.

[torrentmovies]

torrentmovies:

che la sessione sia valida o meno la spiegazione che ti ho dato sopra esclude la possibilità che quanto hai scritto accada, a patto che ovviamente chi accede al proprio account non decida di filtrare deliberatamente i cookies dal dominio altervista.org o non supporti i cookies, in quel caso il pannello piuttosto che negare a priori l'accesso tollera che in quella sessione di login vi sia una sid basata solo sull'url (anzichè cookie + url), seguendo un paradigma comune ad altri applicativi, ma questa non rappresenta comunque una condizione normale di funzionamento, come provato dalle altre persone che hanno postato in questo thread.

Forse non è superfluo ricordare anche che i cookies istanziati su un dominio, ad esempio s70.altervista.org sono visibili solo sotto quel dominio, o eventuali sottodomini tipo aaa.s70.altervista.org, non certo gianni.altervista.org e nemmeno dominio.it, questo è il normale funzionamento dei cookies che ovviamente non abbiamo inventato noi.

Continuate pure con le vostre teorie e dico teorie il mio dato e un dato di fatto!!!
che sono entrati col sid nel mio pannello controllo per quello che riguarda la persona che dice che histat non vede il sid se il sito nei preferiti questo e il sid che ho trovato stamattina


http://s68.altervista.org
1 1 1 2'' 0 (0%)
1 lf.pl?sid=86b0fa0456d2496c52bcd32d6d9e87e2



ora la sessione e scaduta pero resta il fatto che se lo trovo a sessione aperta anche quei pochi minuti che dice il moderatore amministratore io entravo nel pannello di chi ha visitato il mio sito

[dreadnaut]

Guarda, se sei così certo, trova un modo per riprodurre la cosa in modo consistente.

Metti su una pagina, un contatore histat, piazzatelo nel bookmark e poi prova con due browser diversi. Se riesci ogni volta ad entrare nel tuo pannello con l' "altro" browser, scriviti tutti i passi che hai compiuto (edit) e segnalali come suggerito da Gianluca sotto.

[Gianluca]

Almeno per quanto mi riguarda mi sono limitato solo a descrivere il funzionamento del tutto.

Se tu ritieni che un bug del genere esista devi dare la possibilità a noi di riprodurlo e quindi mandare i tuoi riscontri come suggerito da dreadnaut qui: http://it.altervista.org/feedback.ph...edback&lang=it , esiste una voce nel menu a tendina apposita "Bug reports, security", quello è il canale giusto, anche perché è decisamente sconveniente che tu vada a postare una sid piuttosto che altri tuoi dati sensibili qui.

[torrentmovies]

Almeno per quanto mi riguarda mi sono limitato solo a descrivere il funzionamento del tutto.

Se tu ritieni che un bug del genere esista devi dare la possibilità a noi di riprodurlo e quindi mandare i tuoi riscontri come suggerito da dreadnaut qui: http://it.altervista.org/feedback.ph...edback&lang=it , esiste una voce nel menu a tendina apposita "Bug reports, security", quello è il canale giusto, anche perché è decisamente sconveniente che tu vada a postare una sid piuttosto che altri tuoi dati sensibili qui.

Il sid che ho postato non e mio poi comunque era con sessione scaduta!!!:) se no non lo mettevo.Riguardo quello che e stato detto ho verificato il tutto e sono arrivato alla conclusione che avevate ragione io non permettevo cokiee del vostro sito quindi usciva un sid che permetteva a chiunque di entrare pero era un problema solo mio che ho bloccato i cokie...... resta il fatto che e sempre un bug se uno non consente i cokie non dovrebbe poter entrare cosa che penso io comunque problema risolto!!!!! Praticamente il server lanciava sid che permetteva di entrare anche senza cokie cosa che secondo me non dovrebbe accadere comunque..... sempre un bug è secondo me.Grazie per aver risolto il problema non avevo pensato che bloccando i cokie il server lanciava link che permetteva di entrare senza cokie.......