Buenas.
No es que sea curioso, es que es peligroso. Ahora mismo Alex no puede entrar a Train-Sim con su cuenta a descargar nada porque le he cambiado la contraseña.
Yo soy bueno, así que Alex, enviame un MP y te la digo para que puedas entrar y poner la que tenías. Pero si yo soy malo, no le digo nada y como Alex tiene el Member First Class, pues nada, sin haber pagado ya puedo descargar rápido y sin haber pagado yo nada.
Y ahora la explicación para que no pasen estas cosas. El sistema que usan en Train-Sim es un poco particular. Si os fijais en la dirección que ha puesto (que ya no es accesible por cierto, porque he cerrado sesión), al final (en este caso, pero puede estar intercalada en culquier parte de la URL), tiene una palabra sin sentido,
GrnFK00F Esa palabreja es el identificador de la sesión, una vez metidos usuario y contraseña y el sistema os ha dado por buenos, en todas las URL intercala esa palabra para que el sistema sepa que teneis derecho a entrar. Si cuando hayais terminado no le dais al enlace de Logout que se encuentra abajo, esa palabra sigue siendo un identificador válido de sesión. Si se publica en un foro ese enlace, cualquiera que entre automaticamente para Train-Sim es como si el dueño de la cuenta estuviese navegando de nuevo, lo reconoce como tal. Y una vez dentro pues descargas lo que quieras o cambias la contraseña como he hecho yo. Ya tenemos perdida la cuenta (debemos comunicarnos con esta gente para que la cambien o algo). Si pasa un tiempo sin que nadie entre como ese usuario, el identificador mencionado se autodestruye. Pero como ha pasado poco tiempo (normalmente es una hora) desde que lo ha publicado y nosotros hemos accedido, lo hemos podido hacer.
Moraleja: cerrar siempre la sesión antes de irnos, para que nadie pueda entrar con nuestra sesión. Y evitar en la medida de lo posible publicar un enlace que contenga el identificador (borrarselo a mano).
Saludos.
por Alex » Sab Jul 15, 2006 12:41 pm 
Noche complicada.zip
