紧急! 麻烦@Livid清除一下我的cookie

cookie是存储在本地的数据，远程清除不掉的。

也不知道有效期是多久。

ipod touch上仍然是登录状态？

@unstop 额 就是让我现在cookie验证不通过就行...

点“登出”没有用？!

在iOS里 -》 设置 -》 Safari -》 清除 Cookie ，搞定。

@evlos 是的
@bhuztez ipod已经丢了啊... 我是改完密码用另一台没有登出v2ex的电脑测试发现的

这种情况关cookie啥事？

把密码改了不就行了嘛?

不明白，已经丢了，怎么会知道那个id还是登录状态呢？

改密码和登出都木有用？

不是很理解，ipod已经丢了怎么还知道那个ID还在登陆呢？

@evlos 喔，你说那IPOD存了COOKIE啊。那改了密码就结了。

@1212e 不是的，cookie里面是这么写的 auth: HEX(SHA1(uid ':' HEX(SHA1(password)))) ， 也就是你改了密码，之前登录的Cookie都会不行的。

@cjou @hooopo @delectate
用2个浏览器试试(别用两个IE外壳...)
A浏览器 B浏览器 都先登录v2ex
然后用A浏览器改v2ex密码+登出 , B别登出
再用B访问v2ex

@mlhorizon 哦,那请教一下关什么的事?


更郁闷的是 前一阵子恢复过一次系统 没登录icloud ...............

@1212e 好吧，你是对的。改密码的时候，memcache里的auth没有被删掉，只能等那个memcache的记录过期才行，过期需要两周。

于是，这里又牵扯出v2ex另一块安全问题了，v2ex保存密码的时候，是直接存SHA1的，连salt都没有哦。至于改了密码不删那个伪session，简直就是在挑战你的想象力。

@bhuztez 好吧...其实也不是非常紧急,希望那人不会来乱发贴...


现在还没弄清楚ipod是掉了还是被偷了....

这说明v2ex的验证cookie与密码无关…… 这不安全啊。
这得改验证算法吧

大家说的确实是个问题，在更改密码的时候，旧有的 auth 缓存不会被清除。

我刚刚部署一个新版本，已经解决了这个问题。

我为造成的任何困扰向大家道歉。

V2EX 的源代码是开放的，因此大家如果发现有任何问题，请直接向我反馈，涉及安全的问题，我会在第一时间解决。