<div dir="ltr"><div class="gmail_default" style="font-family:arial,helvetica,sans-serif;font-size:small">Hi Sujit;</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif;font-size:small"><br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif;font-size:small">I'd think that the site A or B or both have some auto-logoff feature, where after not very long, if no activity is detected, the user is logged out. This could be, say three to five minutes of inactivity. I know that would create some vulnerability, but that's a pretty narrow window in which to hack a website. And for my money, I think it would be site A that would have the auto-logoff feature, which might be as simple as a script telling site B to log out the inactive user.</div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif;font-size:small"><br></div><div class="gmail_default" style="font-family:arial,helvetica,sans-serif;font-size:small">Cheers JJW<br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Dec 27, 2017 at 8:24 PM, Sujit K M <span dir="ltr"><<a href="mailto:kmsujit@gmail.com" target="_blank">kmsujit@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi All,<br>
<br>
I have recently been working in my free time on an security flaw which<br>
might have not been reported thus far or major sites don't test.<br>
<br>
Say there is an site A dependent on site B for login. Now say a person<br>
P log's into A and doesn't logout. Say now some else gets access to the<br>
machine and deploys locally his own site which is dependent on site B<br>
for login. He can get information regarding Person P.<br>
<br>
I checked with some of the popular sites but this doesn't seem to be<br>
possible, what could be the reason.<br>
<br>
Regards,<br>
Sujit K M<br>
<br>
______________________________<wbr>_________________<br>
talk mailing list<br>
<a href="mailto:talk@lists.nycbug.org">talk@lists.nycbug.org</a><br>
<a href="http://lists.nycbug.org/mailman/listinfo/talk" rel="noreferrer" target="_blank">http://lists.nycbug.org/<wbr>mailman/listinfo/talk</a><br>
</blockquote></div><br><br clear="all"><br>-- <br><div class="gmail_signature" data-smartmail="gmail_signature">John Weintraub<br>#333-7451 Moffatt Rd.<br>Richmond BC Canada<br>V6Y 3W3<br>604-813-9830<br><a href="mailto:johnweintraub@gmail.com" target="_blank">johnweintraub@gmail.com</a><br>www.johnweintraub.online</div>
</div>