Мой провайдер ответил на мой запрос контентом другого пользователя, это допустимо? А если нет, то как я могу это доказать?

5

За последние 3 месяца у меня было два случая, когда я заходил на stackoverflow.com только для того, чтобы обнаружить, что я вошел в систему как совершенно другой пользователь. Похоже, это случилось и с другими . В этом вопросе ответчик пишет:

ваш провайдер незаконно ответил на ваш запрос (ы) с содержанием, которое он ранее запрашивал от имени другого пользователя

И действительно, этот пользователь поделился со мной одним и тем же провайдером. Нет никаких сомнений в том, что здесь есть какая-то очень серьезная проблема с конфиденциальностью - в частности, я смог получить доступ к странице учетной записи этого пользователя и просмотреть его личные данные (например, электронную почту), и если это произойдет одним из способов, я не удивлюсь, если это произойдет. Пользователь иногда входит в систему как я и может видеть мои личные данные.

Этот ответ, однако, пишет, что мой провайдер делает что-то незаконное . Мой интернет-провайдер действительно делает что-то не так , или такое «переусердствованное» кэширование допустимо по каким-либо протоколам? В конечном счете, это вина веб-сайта (stackoverflow) за то, что он не поддерживает шифрование (https) для отображения конфиденциальных страниц с конфиденциальной информацией пользователя?

И если мой провайдер действительно ошибается, могу ли я в следующий раз подготовить какой-нибудь компрометирующий отчет , так что у меня будет что-то конкретное, чтобы отправить им жалобу или отправить прессу, если они меня проигнорируют? Должен заметить, что в течение двух случаев, когда это происходило, последующие запросы не всегда исправляли ситуацию, «возвращение плохой страницы», казалось, длилось несколько минут.

дуб
источник

Ответы:

7

Этот ответ, однако, пишет, что мой провайдер делает что-то незаконное .

В ответе «незаконный» означает «неправильный» - они не подразумевают, что в любом конкретном месте правительство применяет требования Интернет-протокола как часть уголовного закона.

Мой провайдер действительно что-то делает не так ,

Да, они, вероятно, намеренно игнорируют интернет-стандарты (RFC), чтобы сохранить пропускную способность, сократить свои расходы и увеличить прибыль акционеров за счет своих клиентов.

или такое «чрезмерное усердие» кеширование допустимо по каким-либо протоколам?

Нет, RFC используют (и определяют) слова типа «ДОЛЖНЫ» для такого рода вещей.

Это может быть вызвано ошибками на стороне сервера, но я был бы очень удивлен, если бы Superuser допустил небрежную ошибку такого рода. Как и многие веб-сайты, статус входа в Superuser, скорее всего, основан на сессионных куки-файлах, а не просто на IP-адресах клиентов (что подразумевает уровень глупости в Superuser, который, я убежден, просто не заслуживает доверия)

RedGrittyBrick
источник
Вы не возражаете против того, чтобы RFC были нарушены?
Дуб
@Oak: RFC2616 «Общее поле заголовка Cache-Control используется для указания директивы , которые должны соблюдаться всеми механизмами кэширования вдоль запроса / ответа цепи.»
RedGrittyBrick
Спасибо! На самом деле кажется, что ответ stackoverflow помечен public, max-age=120, и согласно этому RFC, отмеченные страницы publicдействительно могут быть кэшированы и не являются специфичными для одного пользователя ...
Дуб
@Oak: Некоторые из многочисленных ответов, которые идут для заполнения веб-страницы Superuser, являются «общедоступными», но я считаю, что некоторые являются «частными» (основаны на кратком рассмотрении с использованием Wireshark - но страницы Superuser довольно сложны), например «GET / posts / 419790 / ivc / 6134? _ = 1338987622151 HTTP / 1.1 "ответ:« Cache-Control: private »
RedGrittyBrick
Похоже, что мой провайдер не уважает это Varyполе, также определенное в этом RFC. Спасибо за помощь!
Дуб
-3

Скорее всего, у вас есть динамический IP-адрес, и этот стековый поток использует его для входа в систему. Тот факт, что вы находитесь на том же интернет-провайдере, что и другой пользователь, является большой подсказкой.

Хотя возможно, что интернет-провайдер захватывает файлы cookie, объем требуемой обработки и хранилища на самом деле не стоит этих усилий, особенно если они «просматривают» ваши сеансы стекового потока. Банковское дело было бы другой проблемой.

rawb
источник
2
Если SO использует IP-адрес для входа в систему, он сильно поврежден. Мне трудно представить, что авторитетный сайт будет делать что-то глупое. (Хотя, конечно, если бы это было причиной, ISP не был бы виноват вообще.)
Дэвид Шварц