|
锁定老帖子 主题:QQ单点登录 BUG
精华帖 (0) :: 良好帖 (13) :: 新手帖 (0) :: 隐藏帖 (0)
|
|
|---|---|
| 作者 | 正文 |
|
发表时间:2011-10-25
optimism_best 写道 截取地址,3-5秒左右发给另一个人,别人可以通过此地址直接登录到你的邮箱,但是一旦超过了3-5秒就无效了,我试过
这个是分时间段的,有时候是下午15:30-16:00 或者是哪一天 过期时间是2个小时。。 |
| 返回顶楼 | |
|
发表时间:2011-10-25
grandboy 写道 互联网应用要考虑的事情很多,安全方面是很重要,但不能因为安全而损失其他用户体验。如果太过安全,不是没有办法做到,是因为可能会影响性能及用户使用的方便性。
我相信腾讯一定已经加入了过期机制,在一般互联网应用不会把安全问题处理得特别严格。 grandboy 写道 我相信腾讯一定已经加入了过期机制
我相信90%的人都像你这样认为的,那你自己试过没? |
| 返回顶楼 | |
|
发表时间:2011-10-25
最后修改:2011-10-25
zhanzhan02 写道 grandboy 写道 互联网应用要考虑的事情很多,安全方面是很重要,但不能因为安全而损失其他用户体验。如果太过安全,不是没有办法做到,是因为可能会影响性能及用户使用的方便性。
我相信腾讯一定已经加入了过期机制,在一般互联网应用不会把安全问题处理得特别严格。 grandboy 写道 我相信腾讯一定已经加入了过期机制
我相信90%的人都像你这样认为的,那你自己试过没? 楼主,目前互联网的应用 只要是基于cookie的单点登录,基本上都难避免这个问题,当用户登录后,cookie也会存储一些加密过的key,得到这些key (最好是所有cookie值) ,模拟域构造对应的所有cookie 也可以请求到对应的服务器上去登录的。我以前试验过,就看服务端怎么限制了。腾讯这个是基于链接验证是由于他不是bs模式,是cs模式触发到浏览器的请求 |
| 返回顶楼 | |
|
发表时间:2011-10-25
panshunchang 写道 zhanzhan02 写道 grandboy 写道 互联网应用要考虑的事情很多,安全方面是很重要,但不能因为安全而损失其他用户体验。如果太过安全,不是没有办法做到,是因为可能会影响性能及用户使用的方便性。
我相信腾讯一定已经加入了过期机制,在一般互联网应用不会把安全问题处理得特别严格。 grandboy 写道 我相信腾讯一定已经加入了过期机制
我相信90%的人都像你这样认为的,那你自己试过没? 楼主,目前互联网的应用 只要是基于cookie的单点登录,基本上都难避免这个问题,当用户登录后,cookie也会存储一些加密过的key,得到这些key (最好是所有cookie值) ,模拟域构造对应的所有cookie 也可以请求到对应的服务器上去登录的。我以前试验过,就看服务端怎么限制了。腾讯这个是基于链接验证是由于他不是bs模式,是cs模式触发到浏览器的请求 换句话说,如果用户已经通过客户端登录qq,那么从qq里点击邮箱,不用这种方式,用什么方式让用户不需要再登录立即可以进入qq邮箱呢 |
| 返回顶楼 | |
|
发表时间:2011-10-26
zhanzhan02 写道 bjyzxxds 写道 richard_2010 写道 tx就是dt,根本就不考虑用户的安全
就是一愤青,微软的系统还有漏洞呢,什么叫不考虑。谁敢说自己的系统没漏洞那是扯 他不是愤青,他就是帮我实验的同学,然后登录我邮箱 无限发群邮件,搞得我蛋疼死了。而且持续登录了1个多小时,并且我也可以登录,也就是说qq邮箱 通过这种方式登录 可以多出登录。 还真是愤青~~ |
| 返回顶楼 | |
|
发表时间:2011-10-29
这确实是一个隐患
|
| 返回顶楼 | |
|
发表时间:2011-10-29
最后修改:2011-10-29
是不是所有的cas应用都会有这个问题?
|
| 返回顶楼 | |
|
发表时间:2011-10-29
请输入用户名 写道 是不是所有的cas应用都会有这个问题?
不实的,CAS是一个开源的单点登录产品。。腾讯的单点登录不是CAS,就像上面哪位仁兄说的,因为是cs结构不是很好控制。 |
| 返回顶楼 | |
