报告 #716647 - 密码更改后使活动会话失效

摘要

Blockstack浏览器不使用传统的用户会话。相反，每个用户会话完全去中心化——没有远程服务器"管理"会话。因此，在两个不同浏览器中的两个用户会话完全独立。一个会话无法更改另一个会话的密码。

基于此，我们认为"密码更改后会话不过期"不是错误或漏洞。

时间线

• droop3r 向Hiro提交报告

  • 2019年10月17日，下午6:23（UTC）

• a-hiro 发表评论

  • 2019年11月1日，下午2:08（UTC）

• droop3r 发表评论

  • 2019年11月2日，上午11:31（UTC）

• a-hiro 关闭报告并将状态更改为"信息性"

  • 2019年11月4日，下午6:10（UTC）

• a-hiro 请求公开此报告

  • 2019年11月4日，下午6:11（UTC）

• rafaelcr（Hiro员工）公开此报告

  • 11天前

报告详情

• 报告时间：2019年10月17日，下午6:23（UTC）
• 报告人：droop3r
• 报告对象：Hiro
• 报告ID：#716647
• 严重程度：低（0.1 ~ 3.9）
• 公开时间：2025年10月31日，下午5:32（UTC）
• 弱点：违反安全设计原则
• CVE ID：无
• 赏金：隐藏
• 账户详情：无

技术说明：看起来您的JavaScript被禁用了。要使用HackerOne，请在浏览器中启用JavaScript并刷新此页面。