Blockstack浏览器会话管理机制解析

本文详细分析了Blockstack浏览器的去中心化会话管理机制,解释了为何密码更改后不会使其他会话失效,并探讨了这种设计是否构成安全漏洞的技术讨论。

报告 #716647 - 密码更改后使活动会话失效

跳过主内容 > Hacktivity机会目录排行榜了解更多关于HackerOne登录

5#716647 复制报告ID复制报告ID

密码更改后使活动会话失效

分享:Hiro总结

菜单菜单

Blockstack浏览器不使用传统的用户会话。相反,每个用户会话都是完全去中心化的——没有远程服务器"管理"会话。因此,两个不同浏览器中的两个用户会话是完全独立的。一个会话无法更改另一个会话的密码。

因此,我们不认为"密码更改后会话不会过期"是错误或漏洞。

时间线

droop3r 向Hiro提交报告。 2019年10月17日,下午6:23 UTC

a-hiro 发表评论。 2019年11月1日,下午2:08 UTC

droop3r 发表评论。 2019年11月2日,上午11:31 UTC

a-hiro 关闭报告并将状态更改为信息性。 2019年11月4日,下午6:10 UTC

a-hiro 请求披露此报告。 2019年11月4日,下午6:11 UTC

rafaelcr Hiro工作人员披露此报告。 6天前

报告详情

报告时间:2019年10月17日,下午6:23 UTC 报告人:droop3r 报告对象:Hiro 参与者 报告ID:#716647 严重程度:信息性低(0.1 ~ 3.9) 披露时间:2025年10月31日,下午5:32 UTC 弱点:违反安全设计原则 CVE ID:无 赏金:隐藏 账户详情:无

看起来您的JavaScript被禁用了。要使用HackerOne,请在浏览器中启用JavaScript并刷新此页面。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次