Blockstack浏览器会话管理机制解析

本文详细分析了Blockstack浏览器的去中心化会话管理机制,解释了为何密码更改后不会使其他会话失效,并探讨了这种设计是否构成安全漏洞的技术原理。

报告 #716647 - 密码更改后使活动会话失效

摘要

由 Hiro 提供

Blockstack 浏览器不使用传统的用户会话。相反,每个用户会话完全去中心化——没有远程服务器“管理”会话。因此,在两个不同浏览器中的两个用户会话完全独立。一个会话无法更改另一个会话的密码。

基于此,我们认为“密码更改后会话不会过期”不是错误或漏洞。

时间线

  • droop3r 向 Hiro 提交报告

    • 2019年10月17日,下午6:23(UTC)

  • a-hiro 发表评论

    • 2019年11月1日,下午2:08(UTC)

  • droop3r 发表评论

    • 2019年11月2日,上午11:31(UTC)

  • a-hiro 关闭报告并将状态更改为“信息性”

    • 2019年11月4日,下午6:10(UTC)

  • a-hiro 请求披露此报告

    • 2019年11月4日,下午6:11(UTC)

  • rafaelcr(Hiro 员工)披露此报告

    • 14天前

报告详情

  • 报告时间:2019年10月17日,下午6:23(UTC)
  • 报告人:droop3r
  • 报告对象:Hiro
  • 参与者
  • 报告ID:#716647
  • 状态:信息性
  • 严重程度:低(0.1 ~ 3.9)
  • 披露时间:2025年10月31日,下午5:32(UTC)
  • 弱点:违反安全设计原则
  • CVE ID:无
  • 赏金:隐藏
  • 账户详情:无

注意:看起来您的 JavaScript 被禁用了。要使用 HackerOne,请在浏览器中启用 JavaScript 并刷新此页面。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次