別把你的Flickr Session 給別人

 

起源

話說最近Flickr又開始買一年送三個月的Gift (Gift就是說他會給你一組code,然後你可以把他送給朋友,讓他增加三個月,或者自己也行)

剛好最近flickr快到期了,而且用的也挺順手的,可以外連(我有遵守規定),有很多外掛,又有很多尺寸的縮圖給你立刻使用,可以增加tag,可以跟朋友分享等等說不盡的好處...

尤其是一年只要 $24.9美金 , 兩年$47.9 的樣子 , 算一下兩年才一千五不到 ,而且上傳空間沒有限制,反觀丁丁大站的價格與空間來說,是相當划算,不過丁丁大戰再台灣算是很特殊,卻是台灣使用人可最多的.

進入正題

已上是提外話XD,接著因為本人是窮學生,沒有信用卡可以買,之前也是請朋友幫我買的,於是我就麻煩 有一張Visa的CCN 幫我買囉,但是我ㄧ開始想說叫他來我這邊輸入,不過他堅持不再別人電腦輸入信用卡卡號,後來我想了一下,不然我把我的flickr session丟給你好了,反正我想我登出後session就不能用了, 我也不必改密碼....

後來就很天才的把flickr內的 cookie_session丟給他了...,不過填完之後,原來flickr還是要再次驗證,所以還是必須輸入密碼 XD....接著我就屈服了...好吧...誰叫我沒有卡,於是買了兩年得到一個Gift Code,後來CCN登出了,然後他就說..."...session會不會還可以用.." ,正常當然登出是不能用了,基於好奇心 於是就用剛剛的session加進去又F5進去了一次...結果可以...,而且session id 的Value都一模一樣,經過我多次的登入登出,還是一樣...後來就想說隔天再登入看看好了,說不定他幾個小時會清session一次...

隔天

於是隔天晚上,也就是現在,我突然想到昨天的那個,就把session填了進去,刷了一下F5...,結果居然一樣成功的登入了 XDD, CCN 說這應該是設計上的瑕疵...

有圖有真相阿...剛剛又試了一下,順便抓了圖...

這是登入的情形 ,會寫著 Sign Out

MWSnap2007-11-2-0200

接著我用Web Developer Tool 先把cookie 記下來

MWSnap2007-11-2-0201

就是這個號碼MWSnap2007-11-2-0202

接著,按下了登出按鈕,就會出現了讓人很安心的畫面 ?

MWSnap2007-11-2-0203

照理說這時候flickr應該就要讓我原本那個session無效了,接下來我把firefox關掉在打開試試

進到了flickr,果然瀏覽器已經把cookie砍掉了,flickr那邊也收不到cookie_session,所以我當然是沒有登入,顯示著Sign In.

MWSnap2007-11-2-0204

接著,我就把昨天那個cookie利用 Web Developer Tools 把他增加進去,並且把日期改為2009年過期

MWSnap2007-11-2-0205

按下確定後,只要按下F5刷新一下,瀏覽器就會檢查cookie日期後幫你把session送出囉....

正常應該是個無效的session囉

結果我卻成功登入了..冏rz...................

 MWSnap2007-11-2-0206

後來看了一下flickr記錄密碼的選項,他是說到兩個星期(two weeks)沒登入的話就會再次要求輸入密碼,我在猜他是不是兩個星期後才會把session處理掉 ?

image

恐怖的地方是 ?

以上是我猜測的, 而這樣最恐怖的地方是什麼 ? 如果他session的處理是這樣只要有進入 flickr他session那邊就會延長為兩星期,如此我只要側錄到某個人的session , 之後就算對方登出了,我這個session還是可以拿來瀏覽,操作

更換密碼後 ?

後來我想說如果我換密碼呢 ?他的session不知道會不會換掉 ? 如果不會....那是不是代表這個session比密碼外洩還嚴重了..... ? 只要拿到你session的人寫個程式讓他兩個禮拜瀏覽一次,這個session會不會就終身有用 ...

換密碼的結果 ?

本來寫到剛剛那邊就懶得寫了 XDD...後來還是實驗一下...

MWSnap2007-11-2-0208

進去更換密碼的地方, [Edit Your Yahoo Password] ,跑出了這個很陽春又很懷念的Yahoo介面..

MWSnap2007-11-2-0209

ok換了一個新的密碼

MWSnap2007-11-2-0210

接著我回到flickr.com ,再次查看它的session,恩恩還好沒有我所說的,session還是一樣

MWSnap2007-11-2-0211

那如果我拿剛剛那個session再次進入呢 ?

腦中又出現了這個疑問,於是又測試了一下,把剛剛的傳給CCN 也擁有的session XD ,再次填進去使用,還好....這個session已經無效了,可以看到他是 Sign In的狀態...

MWSnap2007-11-2-0212

結論

換密碼才是王道阿 XDD

1 ) 個留言 (歡迎按此留下你的留言喔 ):

匿名 提到...

你有沒有試過,連yahoo network也一起登出呢?
我之前只登出flickr。
結果yahoo那邊還是登入狀態。

張貼留言