品葱Bug楼, 专门用来方便没有账号的人报Bug(记得说新人不让讨论站务, 各位管理帮忙加上合适标签吧)

1楼先说发现的两个疑似Bug(也许是不错的特性):
1.好像cookie在服务端永不过期?(可以用来免密码登录, 方便随机密码账户)
2.URL里UID查询可以很方便的枚举用户, 比如说用来碰瓷新用户(我这个帐号就是用来碰瓷新用户的, 但另一面是方便混淆身份)
2
分享 2019-10-19

8 个评论

即使手动退出, 原cookie依然有效?
admin 公共账号 回复 neihuada_pin2
只要不改密码cookie就永远有效
拒绝新用户讨论的站务,主要指行政管理类话题。技术类不需要设立门槛。已转移至站务区。
admin匿名发表文章后仍然可以通过编辑日志查到匿名者身份,不知算不算bug。
通过改名功能还可以伪装成后面注册的用户
通过改名功能还可以伪装成后面注册的用户

每个用户有唯一的数字ID,不可更改。
GLlXnu 新注册用户 回复 懦夫斯基
所以哪个是真正被碰瓷冒充的用户?(第二个才是真正被碰瓷的人, 第一个是我用改名功能冒充的)
https://pincong.rocks/people/17011
https://pincong.rocks/people/17012
https://pincong.rocks/people/17026
@admin @admin8964
cookie策略现在改了吗? 我当时存储的cookie用不了了, 所以现在又注册了一个冒牌账号
懦夫斯基 回复 GLlXnu 新注册用户
管理员不需要在意你叫什么,需要判断言论是否违规时,会按照用户ID区分。
如果说企图冒充和被冒充的用户都遵纪守法,那也就没有对社区造成破坏,顶多算是恶作剧吧。
如果有人冒充管理员账号,为了避免造成恐慌,admin会给企图冒充的账号加上“高仿”的绿色标签。例如https://pincong.rocks/people/%E5%8C%AE%E5%90%8D%E7%94%A8%E6%88%B7

要发言请先登录注册

要发言请先登录注册