Он получил преимущество перед остальными игроками рынка. Это не законно. Потом, с чего вы решили, что он продавал свои акции и защищал свои деньги? Он зашел в короткую и поднял кучу денег.
Да, но «официант» ничего не посылает. Он лишь пытается по ID сессии получить сессионные куки раньше «клиента» и таким образом получить доступ к аккаунту этого клиента. Вопрос был про это. Но две аутентификации по одному сессионному ID конечно тоже стоит рассмотреть.
Возможно, я не очень подробно сформулировал вопрос. Представьте, что где-то в общественном месте пользователь готовится авторизоваться на сайте Яндекс при помощи этой технологии. У него открыта страница с бар-кодом. Пока он достает свой смартфон, проходящий мимо официант незаметно фотографирует этот бар-код на свой телефон. Теперь он имеет ID сессии и ждет, пока клиент отправит на сайт свои данные. Может ли официант получить ответ от сервера раньше клиента?
Это, конечно, все утрированно и вместо официанта может быть классический man-in-the-middle, но тем не менее.
Я бы поспорил. Если не ограничивать область инди-разработкой, то можно сказать, что многие крупные компании сидят на своем фреймворке, не говоря уже про такие решения, как 1С или SAP, например.
Справедливости ради замечу, что мне ответили довольно оперативно.
Я лишь воспользовался советом ivlad. Мне, в принципе, ни то, ни другое не нужно, но хоть бы упомянули для порядка.
Если вы помните, то это я сообщил вам про эту уязвимость тут habrahabr.ru/company/yandex/blog/249547/#comment_8261973.
Запостил на bugbounty. Жду приз.
Он получил преимущество перед остальными игроками рынка. Это не законно. Потом, с чего вы решили, что он продавал свои акции и защищал свои деньги? Он зашел в короткую и поднял кучу денег.
Это не так. Такое ощущение, что вы никогда не пользовались Хромом.
Это, конечно, все утрированно и вместо официанта может быть классический man-in-the-middle, но тем не менее.
Я правильно понимаю, что если злоумышленник знает ID сессии, то вся остальная защита бесполезна?
а как же контроллер?