Сообщений в теме: 10

[curly86]

Доброго времени суток.

Я тестировщик из декрета, то есть не углублюсь в подробности.:)

В ходе тестирования приложения клиент обнаружил утечку данных из одного аккаунта в другой (хедер). Баг критический, поэтому нужно кровь из носа найти и починить. Но беда в том,что я уже неделю пытаюсь воспроизвести (на проекте один тестеровщик), никак. При первом открытии виртуалки (решено было тестить на виртуалке, чтоб девелоперы могли зайти в логи, если вдруг прольется свет на эту темную историю) баг воспроизвела моментально. Как?! Не знаю, но больше его не было.

Ситуация такая - два аккаунта, создающие опросники. В одном есть стили для опросов, в другом есть стили. В одном аккаунте есть стиль с хедером картинки кока-кола, в другом аккаунте есть стиль с хедером пепси. Так вот заходит админ аккаунта колы и видит в репорте в хедере картинку пепси. 

Пробовала сессию ставить на минуту и параллельно проходить опросы, менять стили, менять картинки. Ждала пока сессия заэкспарится в одном, в другом редактировала стиль хедера - думала, авось схавает кеш открытого аккаунта при логине... Бесполезная трата времени...

Какие могут быть еще идеи? Как его поймать?

 

[Little_CJIOH]

Дропнуть все кэши и поднять новую виртуалку. Ошибки инициализации бывают такие что воспроизводятся только при первом входе.

[curly86]

Дропнуть все кэши и поднять новую виртуалку. Ошибки инициализации бывают такие что воспроизводятся только при первом входе.

Спасибо за совет! Попробую

[SALar]

Кэш - вещь плохая. Иногда приходится тестить  в режиме "инкогнито".

 

 

PS. Вебприложения вообще неприятная вещь...

[bobylev]

В ходе тестирования приложения клиент обнаружил утечку данных из одного аккаунта в другой (хедер).

У клиента было два аккаунта, или один? Если один, то утечка явно на уровне сервера. Если два, то может быть как сервер, так и кэш браузера на клиенте.

[Spock]

возможно это баг в системе управления сессиями

 

создать сто или может тысячу пользователей, создать скрипт в джейметере который заходит под пользователем и проверяет что хедер правильный если нет фейлить всё, затем через какое-то время выходит, запустить скрипт на допустим сто потоков, удостовериться что при работе скрипта как минимум несколько десятков (а может и сотен) разных пользователей работают одновременно

 

запросы и ответы сохранять. когда какой-то тест зафейлится - рассмотреть и данные с джейметера, и данные с этой сессии на сервере (не забыть логи включить на сервере)

[Little_CJIOH]

В ходе тестирования приложения клиент обнаружил утечку данных из одного аккаунта в другой (хедер).

У клиента было два аккаунта, или один? Если один, то утечка явно на уровне сервера. Если два, то может быть как сервер, так и кэш браузера на клиенте.

Еще бывают добрые сервера, которые дают клиенту то, что он попросил, исходя из мысли, что клиент не попросит то, о чем не знает (например информацию по заказу с номером на 1 меньше текущего). И бывают сервера, которые при запросе с неполными данными отдают некоторый дефолтный ответ, например при запросе хедера null, показывают какой-нибудь хедер, не обязательно принадлежащий этому клиенту.

[Spock]

https://www.owasp.or...ent_Cheat_Sheet

 

пусть разрабы почитают

 

возможно управление сессиями самодельное, и там допустили ошибку. Рекомендуется использовать встроенное управление сессиями из фреймворка, на котором идёт разработка

 

может от пользователя А сохраняется айди сессии в куки, и следующий пользователь использует уже сохранённый куки с предыдущего логина, и получается что заходит в окружение предыдущего пользователя. или же похожая ошибка на сервере

[Snap]

Это веб-приложение? Если да, то скорее всего кэш. В данном случае у компонента, отвечающего за вывод хедера. Причем обычно при первом заходе.

Такое иногда встречаешь (даже на моем проекте подобное было), заходишь на сайт и видишь, что ты никакой не Роман, а Екатерина.

Если просто визуальные стили - то еще не так страшно. А то на одном из сайтов я смог зайти в чужой личный кабинет 

[curly86]

Всем спасибо большое за помощь!

Девы нашли проблему. Руками его нереально поймать.

Дело в инициализации. Цитата:

Инициализация статических компонентов плохо организована в приложении. Вместо того, чтобы производить инициализацию на старте приложения, она происходит во время старта запроса. После старта, в приложение может прийти много одновременных запросов и все они начнутся выполняться параллельно. У первого запроса проверится значение глобальной переменной, что инициализация еще не происходила, обновится флаг, что инициализация прошла (хотя еще не прошла), и запустится код по инициализации различных статических классов, включая и инициализацию кэша. Второй запрос тем временем увидит флаг, что все инициализировано и будет выполняться дальше. Никаких блокировок не используется.

Вставляя небольшую задержку в код перед инициализацией кэша, было довольно не сложно сделать так, чтобы второй параллельный запрос завалился с ошибкой. Оставался открытым вопрос, как сделать так, чтобы данные из одного аккаунта стали видны в другом, для этого надо было умудриться создать cache manager (вызвать Text manager) до инициализации фабрики. 

Возможно кому-нибудь потом пригодится. :)
 

[Little_CJIOH]

Рейс кондишн на отложенной инициализации.