Кратко, что сегодня произошло на дтф
  • примерно в 13:30 по Мск сайт забаговал
  • при загрузке любой страницы людей начало "логинить" в чужие аккаунты с полным доступом ко всему (upd. пишут и про отправку комментариев, видимо просто на любом реквесте)
  • минут через 30 после начала инцидента всех принудительно разлогинили и отключили действие логин
  • через 2 часа после начала инцидента починили и у…

Личные переписки, черновики, все, потенциально, слито.

1.2K
11

Комментарий недоступен

48

хуже, буквально при любом действии перекидывало в чужой акк

12

Очень просто, вся информация о залогиненном пользователе хранится в куках твоих, при реквесте на сервер он (сервер) берет эту инфу делает примерно следующее:
0) Смотрит есть ли такая кука вообще и если нету, то предлагает тебе авторизоваться (рисует всякие кнопки для авторизации, показывает попап с окном авторизации через сервисы разные. Если ты нажал логиниться через что-то, то сервис тебе куку авторизационную в итоге записывает
1) Проверяет не протухли ли куки (ты логинился больше 2 недель назад)
2) Если не протухли, то находит связанный аккаунт в бд и помечает текущего юзера как залогиненного под этим аккаунтом.

На шаге 2 можно написать кривой код, который находит неправльного юзера \ находит первого попавшегося по каким то признакам (условно email starts with ...)
Очевидно были правки в шаге 2, которые и привели к тому что тебя логинило под неправильным юзером.

6

тест на проде)
ITшник обиделся

1