Угон аккаунтов Yahoo, AOL, Hotmail

[MechanisM]

Последователи Егора Хомякова?

[Derp]

Ему до них далеко

[russum]

За что минусуют? Суть одна и таже что и в github'e ведь…

[L3n1n]

Почему то не нашел ничего общего с гитхабом…

[hg_04]

сомнительное видео, скорее всего автор восстановил пароль через секретный вопрос, записал передающиеся параметры, а потом разыграл спектакль с преобразованиям форм.

[YAAP]

Ну, такое могло случиться, если при генерации ключей нет привязки к мылу (т.е. грубо говоря — берем любую пару вопрос-ответ, которую мы заранее знаем, отправляем на сервер «верный» ответ и меняем пасс на любое мыло).

Но мало верится, что такую дырку столько времени не могли найти

[0lympian]

Мне тоже так показалось. Как вариант, локальный «эмулятор» хотмейла :)

[shanker]

Суть баги в другом: каждому этапу восстановления пароля соответствует свой набор переменных в запросе. Мы просто «перескакиваем» один из этапов, создавая запрос, который по идее должен был сформироваться при верном ответе на секретный вопрос

[Timursan]

А что так мало комментариев-то? O_O

[akirsanov]

видео — это ещё не уязвимость. Видел эту новость в ридере неделю назад ещё, уязвимости не работали.