pargentum

You're viewing

pargentum's journal
Create a Dreamwidth Account Learn More

Reload page in style: site light

Первым делом мы жестоко покараем Сиксапарт за ихние куки.

Великое удовольствие - пользоваться живым журналом через GPRS. Задержка около секунды, поэтому очень хорошо видно, как и что он качает - сначала куку с www.livejournal.com, потом со stat.livejournal.com, потом - ... и только потом начинает качать собственно ленту.

За ноги и об угол.

Current Mood: aggravated

Flat | Top-Level Comments Only

From:

nine_k

Пардон. Куки либо отдаются браузеру вместе со страницей в заголовке Set-Cookie, либо отдаются самим браузером запросе в заголовке Cookie. Лишнего http-запроса это в любом случае не вызывает.

То, на что вы жалуетесь, скорее всего скрпиты, css или картинки.

From:

pargentum.livejournal.com

Нету под рукой ни локального прокси, ни сниффера, ни даже толкового телнета, поэтому сейчас не могу подтвердить свои слова твердыми фактами.

Куки могут отдаваться вместе с редиректом. При первом заходе в свой журнал идет цепочка из, боюсь наврать, четырех или пяти редиректов, сопровождающихся отдачей кук, и только потом попадаешь в собственно журнал.

From:

nine_k

Взял сниффер (FF, LiveHTTPHeaders).
1) Действительно, ЖЖ ставит с полдюжины кук, но все они стаятся на странице логина.
2) Действительно, происходит несколько редиректов; вот выжимка:

GET /friends/ HTTP/1.1

HTTP/1.x 302 Found
http://www.livejournal.com/misc/get_domain_session.bml?return=http://9000.livejournal.com/friends/

GET /misc/get_domain_session.bml?return=http://9000.livejournal.com/friends/ HTTP/1.1

HTTP/1.x 302 Found
Location: http://9000.livejournal.com/__setdomsess?dest=http://9000.livejournal.com/friends/&k=ljdomsess.9000&v=[авторизация]//Thanks%2Bfor%2Bsigning%2Bin%2B/%2BLiveJournal%2Bloves%2Byou%2Ba%2Blot%2B/%2BHere%2Bhave%2Ba%2Bcookie

GET /__setdomsess?dest=http://9000.livejournal.com/friends/&k=ljdomsess.9000&v=[авторизация]//Thanks%2Bfor%2Bsigning%2Bin%2B/%2BLiveJournal%2Bloves%2Byou%2Ba%2Blot%2B/%2BHere%2Bhave%2Ba%2Bcookie HTTP/1.1

HTTP/1.x 302 Found
Set-Cookie: ljdomsess.9000=[авторизация]//Thanks+for+signing+in+/+LiveJournal+loves+you+a+lot+/+Here+have+a+cookie; path=/; HttpOnly
Location: http://9000.livejournal.com/friends/

GET /friends/ HTTP/1.1

HTTP/1.x 200 OK

Надо понимать, это делается для привязки к конкретному кластеру. (А может и нет.) В награду за страдания выдают печенье :)

Видимо, они рассчитывают, что основная их аудитория использует broadband с низкой latency и не успевает заметить всех этих редиректов. Я, например, черз gprs не пробовал.

From:

pargentum.livejournal.com

Это делается чтобы победить атаки с кросс-сайт скриптингом, от которых они несколько раз крупно страдали в прошлом году.

На самом деле, посмотрите еще у себя в куках, это впечатляет. Например, у вас кроме общедоменной сессии еще должна быть кука на pargentum.livejournal.com - вы же у меня в журнале открывали ветку.

Честно говоря, я не знаю, на что они рассчитывают, насколько я понимаю, современная схема авторизации делалась впопыхах после нескольких массовых атак ("мои друзья по зодиаку" и что-то еще такое) и выглядит слишком навороченой, чтобы быть продуманной.

Я на это еще дома нарывался, я из дома хожу через smartcache (такой простенький кэширующий прокси с очень агрессивным кэшированием), так через него эта штука затыкается со словами "циклический редирект", даже когда я ставлю no proxy на www.livejournal.com и stat.livejournal.com.