新足迹手机程序 进度 + 预览

dalaohu

login 是必须的， 其他我看挺好， keep it 简单实用。

kr2000

login准备怎么做
用老大上次说的直接在url里get用户名和密码？

dalaohu

login好象必须要的把， 不可能几千号人都用 o2h2o 的 ID 把 :)

o2h20 既然已经成功的用自己的ID进去了，说明技术上没问题了。

对了，你是用那个URL 直接request 的吗？

o2h2o

原帖由 dalaohu 于 2010-11-29 12:10 发表
login好象必须要的把， 不可能几千号人都用 o2h2o 的 ID 把 :)

o2h20 既然已经成功的用自己的ID进去了，说明技术上没问题了。

对了，你是用那个URL 直接request 的吗？ ...

模拟了一个 cookie
取得了 服务器端的 hash 加密的value, 然后 resend 一个 get request
不过 登录确实废了我很多时间

足迹的login form 都有 一个 hashform value

[ 本帖最后由 o2h2o 于 2010-11-29 12:16 编辑 ]

CITYLOOK

楼主名垂青史了
阿斯还等什么
像这样的人才不加个1-2万分，对得起谁啊？

dalaohu

哈哈那dizcuz 的 authentication 也太弱了吧， cookie都不绑定在domain上。

那就是说都不需要sql 的 id/password验证？ 你直接就在客户端生成了个模拟的cookie？

o2h2o

原帖由 dalaohu 于 2010-11-29 12:16 发表
哈哈那dizcuz 的 authentication 也太弱了吧， cookie都不绑定在domain上。

那就是说都不需要sql 的 id/password验证？ 你直接就在客户端生成了个模拟的cookie？

当然需要
我不是直接 模拟,我是 send 一个 空cookie value,加上我的用户名密码
服务器吧 hash 加密的结果 通过response header的 setcookie value传回来, 他有个cdb_sid 和 cdb_auth,
cdb_sid=some_hash_function(cdb_auth,ip)
cdb_auth=some_encryption_function(username,password)
这是我的研究结果
我只是保留这个值
resend 回去

不是破解 只是 回传
合理利用

[ 本帖最后由 o2h2o 于 2010-11-29 12:24 编辑 ]

rdcwayx

应该是用户本身要通过safari先登录一次网站，保存cookie, 随后你的应用去调用这个。 如果没有登录，就只能看到首帖，无法看到回复。

o2h2o

原帖由 rdcwayx 于 2010-11-29 12:19 发表
应该是用户本身要通过safari先登录一次网站，保存cookie, 随后你的应用去调用这个。 如果没有登录，就只能看到首帖，无法看到回复。

没有借助safari,这样效率太低
直接写的 raw http get cookie的

黑山老妖

原帖由 o2h2o 于 29/11/2010 12:18 发表

当然需要
我不是直接 模拟,我是 send 一个 空cookie value,加上我的用户名密码
服务器吧 hash 加密的结果 通过response header的 setcookie value传回来, 他有个cdb_sid 和 cdb_auth,
cdb_sid=some_hash_function(c ...

I am going to play devil's advocate here: Can this cookie be copied and used on another phone?

o2h2o

原帖由 黑山老妖 于 2010-11-29 12:24 发表


I am going to play devil's advocate here: Can this cookie be copied and used on another phone?

no, ip 绑定的

如果是同一个内网的 另一个手机也许可以
没测试过,因为public ip 一样
实际上 discuz的 真正验证机制我还是不知道
这些只是我研究的 结果,被证实了能在某种情况下登录
我也就没深入研究了

[ 本帖最后由 o2h2o 于 2010-11-29 12:29 编辑 ]

dalaohu

看到了， cdb_auth

保质期一个月， 可以把它改为永久的 :)

o2h2o

原帖由 dalaohu 于 2010-11-29 12:27 发表
看到了， cdb_auth

保质期一个月， 可以把它改为永久的 :)

永久的是 10年 呵呵
但是 cdb_sid 会变
也就是 如果没新的cdb_sid, cdb_auth 就失效了

To 版主们:
没破解验证密码机制
还是蛮安全的
别担心

[ 本帖最后由 o2h2o 于 2010-11-29 12:33 编辑 ]

dalaohu

原帖由 黑山老妖 于 2010-11-29 12:24 发表


I am going to play devil's advocate here: Can this cookie be copied and used on another phone?

不会的。尤其是ihpone 里的cookie， 用户碰都碰不到的， 别说copy了。

o2h2o

原帖由 dalaohu 于 2010-11-29 12:33 发表


不会的。尤其是ihpone 里的cookie， 用户碰都碰不到的， 别说copy了。

呵呵 实际上还是很容易copy的
在浏览器 上面
执行一段 javascript 代码就可以了
很简单 就一行

你在访问的当前页面 浏览器的上头执行这句话 javascript: (document.cookie),就能看到当前cookie
这个只是本地的cookie,别人没办法得到,但是如果一个页面里面能 让客户写html,他写一个scrpt 传这个cookie 去远程, 就被hijack 了,但是新足迹没问题,因为就算 这个cookie 被传到远程, 他的ip 变了,这个cookie 就失效了,因为cdb_sid 是绑定客户ip的

一般的网站禁止客户的 html 代码就是主要因为这个原因,可以通过代码把这个cookie 传到其他网站
不过新足迹没啥问题 html 的都是不允许的

[ 本帖最后由 o2h2o 于 2010-11-29 12:48 编辑 ]

kr2000

discuz密码存的都是md5加salt的。非常难破解
返回的cbd_auth应该是encode加密过的密码。破解了还要再破带salt的md5。基本不可能
只要你的登录窗口是直接发送到新足迹，没有获取登录框里的信息。就可以认为是安全的

kr2000

原帖由 o2h2o 于 2010-11-29 12:43 发表


呵呵 实际上还是很容易copy的
在浏览器 上面
执行一段 javascript 代码就可以了
很简单 就一行

你在访问的当前页面 浏览器的上头执行这句话 javascript: (document.cookie),就能看到当前cookie
这个只是本地的coo ...

一般是禁js，防止xss
html应该问题不大

o2h2o

原帖由 kr2000 于 2010-11-29 12:48 发表

一般是禁js，防止xss
html应该问题不大

我指的 html 就是 html tag, 包括 <script> tag

月亮

，LZ太牛了

o2h2o

原帖由 月亮 于 2010-11-29 12:53 发表
，LZ太牛了

多谢月亮姐,你的 sql技术 一直是我 仰慕的

ps:我们是老乡 呵呵

西边雨

真牛！

rumcoke

我去签个iphone来顶楼主

homepage

对技术一窍不通的人们也在热切盼望发布

jxiaojia

快点快点，好期待啊，我在N久以前已经问过有没有这个手机程序了，想不到现在就要横空出世了，加油加油。

sheilaloo

lz好强大啊

ppsau

gifox

lz太有奉献精神了。

混不到坑的萝卜

俺一定自愿加入。

chenyi1976

足迹网增加个WAP版本就可以了。Discuz应该有这种插件的。

utwxg

这个事情真是善莫大焉啊

一定要顶！