Отделена от государства

[dil]

“Федеральная служба судебных приставов 23 июня заключила соглашение с Русской православной церковью, сутью которого является участие священнослужителей в процессе взыскания долгов с неплательщиков
…
“представители РПЦ будут оказывать на должников духовное воздействие, учить о неприемлемости принципа жизни взаймы и философии стяжательства”
…
в соглашении прописано и то, что судебные приставы в будущем будут помогать восстанавливать храмы и церкви”

via [ljuser]duke_igthorn[/ljuser]

Оригинал этой записи в личном блоге.
Любые материалы из этого блога запрещается использовать на сайте livejournal.ru в любой форме и любом объёме.

Comments

[sergeax.livejournal.com]

Потому что куки без времени жизни хранятся до закрытия всех окон этого процесса?

[dil.livejournal.com]

а кто мешает установить им значение в виде пустой или заведомо невалидной строки?

[pash7ka.livejournal.com]

Я предполагаю, что тут думают не о куках, а о кнопке "Назад", которая может показать предыдущую страницу не запрашивая её заново с сервера.

[dil.livejournal.com]

предыдущая страница прекрасно показывается даже после refresh. как и все остальные.
то есть, при нажатии на Log Off никакого логаута вообще не происходит.

[pash7ka.livejournal.com]

А там точно по кукам авторизация? А то больше похоже на basic-авторизацию, это бы всё объяснило.

[dil.livejournal.com]

там не basic, а NTLM. фиг ее знает, как оно работает, но заголовки Authorisation: NTLM передаются точно не в каждом запросе

[pash7ka.livejournal.com]

Понятно. Тут та же фигня, толкьо с другой стороны: авторизуется HTTP-соединение целиком, вместе со всеми Keep-Alive запросами. Это, кажется, нарушение спецификации, но когда Микрософт волновали такие мелочи...

This scheme differs from most "normal" HTTP authentication mechanisms, in that subsequent requests over the authenticated connection are not themselves authenticated; NTLM is connection-oriented, rather than request-oriented. So a second request for "/index.html" would not carry any authentication information, and the server would request none. If the server detects that the connection to the client has been dropped, a request for "/index.html" would result in the server reinitiating the NTLM handshake. (link (http://curl.haxx.se/rfc/ntlm.html#ntlmHttpAuthentication))

[dil.livejournal.com]

по-моему, в этом случае достаточно принудительно закрыть соединение, а на следующий запрос от того же клиента, [идентифицируемого по куке], принудительно выдать 401, несмотря на правильный пароль. тогда клиент забудет, что это правильный пароль, и переспросит его у пользователя

[pash7ka.livejournal.com]

Ну да, в самом деле можно выдать "Connection: close", закрыть соединение и успокоится. Наверное они там не додумались до этого...

[dil.livejournal.com]

не, просто так недостаточно. действительно, браузер до закрытия будет помнить, что это правильный пароль от этого сайта и автоматически будет его туда отправлять при следующих соединениях.
так что один раз 401 надо будет выдать в ответ на правильный пароль

[pash7ka.livejournal.com]

А, точно, о памяти браузера я не подумал. :)

[dma.livejournal.com]

mySAP.com, circa 2001!
Только там было веселее. В рамках мести за сталинград они экспайрили сессию на сервере, и, внимание, писали "Ваша сессия истекла. Чтобы зайти на mySAP.com снова - закройте ВСЕ окна вашего браузера".

[dil.livejournal.com]

а просто так уже нельзя было?

[dma.livejournal.com]

Нет. Заходишь на сайт - а тебе вот это говорят.

Таймаут сессии причём был полчаса, что ли.

[dil.livejournal.com]

ненатуралы..