shanker5 мая 2012 в 13:28

Угон аккаунтов Yahoo, AOL, Hotmail

1 мин

2.8K

Информационная безопасность *

+26

Комментарии 10

MechanisM 5 мая 2012 в 14:16

Последователи Егора Хомякова?

Derp 5 мая 2012 в 19:05

Ему до них далеко

russum 6 мая 2012 в 02:32

За что минусуют? Суть одна и таже что и в github'e ведь…

L3n1n 6 мая 2012 в 12:19

Почему то не нашел ничего общего с гитхабом…

hg_04 6 мая 2012 в 13:03

сомнительное видео, скорее всего автор восстановил пароль через секретный вопрос, записал передающиеся параметры, а потом разыграл спектакль с преобразованиям форм.

YAAP 7 мая 2012 в 08:12

Ну, такое могло случиться, если при генерации ключей нет привязки к мылу (т.е. грубо говоря — берем любую пару вопрос-ответ, которую мы заранее знаем, отправляем на сервер «верный» ответ и меняем пасс на любое мыло).

Но мало верится, что такую дырку столько времени не могли найти

0lympian 7 мая 2012 в 09:08

Мне тоже так показалось. Как вариант, локальный «эмулятор» хотмейла :)

shanker 7 мая 2012 в 09:10

Суть баги в другом: каждому этапу восстановления пароля соответствует свой набор переменных в запросе. Мы просто «перескакиваем» один из этапов, создавая запрос, который по идее должен был сформироваться при верном ответе на секретный вопрос

Timursan 8 мая 2012 в 16:08

А что так мало комментариев-то? O_O

akirsanov 8 мая 2012 в 18:09

видео — это ещё не уязвимость. Видел эту новость в ридере неделю назад ещё, уязвимости не работали.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий