Внимание! Опасность! Автоматический вход на смарт-лаб!
на работе локальная сеть, настроен прокси сервер, в интернет выходим через общий ip. схема стандартная и наиболее популярная.
зарегестрирован на смарт-лабе и пользуюсь им только я.
но любой сотрудник, с любого компьютера, в любом браузере при открытии смарт-лаба автоматически входит под моей учетной записью!!!
со всеми вытекающими..
как вам такое пришло в голову и зачем вы такое реализовали?
имхо грубая ошибка и дыра в безопасности
skatino, однозначно у вас на работе дыра.
Очевидно, что накосячили с местами хранения локальных настроек. Вместо хранения на локальных компах храните где-то в общей куче на серваке, откуда идет выход в инет. Вот при запросе авторизации с любой машины в вашей ЛВС и идет сразу авторизация.
заметил это давно… когда себе компьютер менял весной этого года. тогда приятно удивился.
месяц назад заметил такое случайно когда открыл самарт-лаб на другом компьютере.
сегодня специально попросил открыть сайт и посторонний человек оказался на сайте под моей учетной записью…
Сергей Воронцов (sergey-110), у меня нету проблемы с этим… у меня админ под рукой… заибанить можем на любом уровне. но для кого-то это может быть важным
Сергей Воронцов (sergey-110), причем в первую очередь это надо сделать на компах у всех руководителей, вплоть до директоров и хозяина, т.к. у них мозгов и свободного времени побольше (шансов захотеть войти на СмартЛаба в разы выше). Ну а если засекут за этой процедурой то можно и работу потерять. Хотел бы я послушать отмазон какого-нибудь линейного сотрудника, который без моего разрешеия зашел в мой кабинет и что-то там делает за моим компом трясущимися руками, я думаю ему пистец.
передавай админу привет и скажи, что он олень )))
1. всегда надо нажимать «выход». всегда.
2. если инет быстрый и траф не принципиален — при выходе из браузера — кеш под ноль. или просто кэш отрубить. этот архаизм придумали для диалапа 56кбит.
3. опять же если быстрый нет — что мешает зайти на домашний комп удаленно и сидеть за домашним рабочим столом?
Gravizapa,
админ: почему такого не наблюдается на остальных ресурсах которые требуют авторизации? скорее всего на смарт-лабе идет авторизация не через куки, а через проверку по ip-адресам. что является грубейшей ошибкой
skatino, Только что проверил:) В сеть залез через прокси с одним IP с разных машин и учеток. Нет никакой авторизации на 2й учетке. Так что капайте дыры у себя:)
Проверил с планшета в своей локалке (все идет через NAT, т.е. тоже общий IP), авторизации на планшете нет, на компьютере есть, скорее всего у Вас прокся что то лишнее кеширует
в принципе это сигнал администраторам ресурса…
если им будет нужна какая-то дополнительная информация от меня постараюсь её предоставить.
буду только рад если на смарт-лабе все хорошо…
бугога…
1.админ нажал выход на своем компе, из под моей учетки. при повторном открытии сайта опять оказался под моей учеткой.
2.почистили кукисы на прокси… ничего не изменилось.
Spekyl, вроде проблема пропала… админ говорит что скорее всего был какой-то глюк. глюк именно между нашей прокси и смарт-лабом. так как не наблюдается у других пользователей и не наблюдается у нас на других сайтах.
проверил у некоторых пользователей… сейчас автоматически не логинятся.
slava, зато как настригли бабло известно откуда — все кинулись в Европу виллы скупать,
патриот Соловьев аж 2 виллы хапнул, Был длиннющий список чиновников и депутатов, кто хапнул там недвижку с ...
зы я в ит-отделе работаю, правда программист, а не админ. но админ сидит напротив :)
Ну а вторая не столь очевидна, но если сущ. проблема описанная в посте, то вина в этом с 90% ваших админов, а не смартлаба:)
Очевидно, что накосячили с местами хранения локальных настроек. Вместо хранения на локальных компах храните где-то в общей куче на серваке, откуда идет выход в инет. Вот при запросе авторизации с любой машины в вашей ЛВС и идет сразу авторизация.
месяц назад заметил такое случайно когда открыл самарт-лаб на другом компьютере.
сегодня специально попросил открыть сайт и посторонний человек оказался на сайте под моей учетной записью…
Очевидная дыра. :))
хотели как лучше. сделали автоматическую авторизацию по ip-адресу. наберут студентов по объявлению…
палево…
1. всегда надо нажимать «выход». всегда.
2. если инет быстрый и траф не принципиален — при выходе из браузера — кеш под ноль. или просто кэш отрубить. этот архаизм придумали для диалапа 56кбит.
3. опять же если быстрый нет — что мешает зайти на домашний комп удаленно и сидеть за домашним рабочим столом?
Это как чисто вероятностный пример.
админ: почему такого не наблюдается на остальных ресурсах которые требуют авторизации? скорее всего на смарт-лабе идет авторизация не через куки, а через проверку по ip-адресам. что является грубейшей ошибкой
Самый вероятный вариант.
Или админ, что напротив сидит, очень до чужой почты любопытный, и какуюто мен-ин-зе-мидл софтину поставил. В любом случае ему не жить.
если им будет нужна какая-то дополнительная информация от меня постараюсь её предоставить.
буду только рад если на смарт-лабе все хорошо…
1.админ нажал выход на своем компе, из под моей учетки. при повторном открытии сайта опять оказался под моей учеткой.
2.почистили кукисы на прокси… ничего не изменилось.
кроме того… оказывается админ вообще без прокси ходит в тырнет. а все остальные через прокси.
единственное что нас объединяет — общий внешний ip-адрес
Роутер-то у вас аппаратный или комп под это дело приспособили?
проверил у некоторых пользователей… сейчас автоматически не логинятся.
подключался через внутренний вай-фай…