收到了一些来自客户(一家非常大的公司)的报告,他们报告了使用 Facebook 的客户的问题。
这些客户声称,有时当他们登录 Facebook 时,他们会进入其他人的会话。
我知道在到达 Facebook.com 之前网络经过了 NAT,然后经过代理。
虽然我无法解释这个问题是如何发生的。
代理是否可能没有将正确的会话发送回客户端?
既然 Facebook 是基于 cookie 的会话,他们怎么能获得其他人的会话呢?
以前有人见过这个吗?
答案1
已知漏洞使 Facebook 容易受到跨站点脚本攻击。类似的事情可能正在发生。
答案2
他们是否在防火墙上使用代理服务?可能包含会话 cookie 的 Facebook 相关页面正在被缓存。根据页面加载的顺序,它可能用其他人的 cookie 替换会话 cookie。
https对于不应缓存的连接来说,这应该不是什么大问题。
答案3
NAT 不可能是它的来源,但是会话仅仅是一个 cookie 字符串,如果相同的 cookie 字符串被发送到多台计算机,那么基本上两台计算机都会进入同一个会话。
代理可以做到这一点,但这意味着 Facebook 和代理都会做一些相当有问题的事情。据我所知,Facebook 只会在 https 网站登录后发送会话 cookie 字符串,这意味着它不应该被缓存。