Комментарии 28
А я нашёл как навсегда уничтожить юзернейм а gmail: зарегистрировать пользователя со сложным паролем и забыть пароль.
Подайте этот баг за меня в гугл, а деньги поделим пополам.
Подайте этот баг за меня в гугл, а деньги поделим пополам.
Ну если бы мы IP адреса одноразовые выдавали всем, то и IPv6 бы уже закончился такими то темпами.
Тут такая же ерунда, зачем забивать ник, который никем не используется?
Тут такая же ерунда, зачем забивать ник, который никем не используется?
Если изменить юзернейм обычным способом, то он будет доступен другому пользователю. А при тех действиях, что я описал, юзернейм становится недоступен навсегда. Т.е. если написать скрипт, то можно генерировать юзернеймы и «уничтожать» их таким способом.
При этом официально в фейсбуке нельзя менять юзернейм больше 1 раза. И более того, чтобы получить возможность изменить юзернейм — нужно подвердить через телефон.
И самый главный вопрос: где это царство уничтоженных юзернеймов? Куда они вообще попадают при таких действиях? На всех сайтах с возможностью ставить свой юзернейм, после смены он должен становится доступным.
Аналогия с gmail не верна.
При этом официально в фейсбуке нельзя менять юзернейм больше 1 раза. И более того, чтобы получить возможность изменить юзернейм — нужно подвердить через телефон.
И самый главный вопрос: где это царство уничтоженных юзернеймов? Куда они вообще попадают при таких действиях? На всех сайтах с возможностью ставить свой юзернейм, после смены он должен становится доступным.
Аналогия с gmail не верна.
null
Ну да, тут риск безопасности сразу не виден. Надо бы поломать голову, придумать какой-нибудь вариант навредить и тогда уже посылать репорт. Ясно же, что в Security простые баги неинтересны, типа кнопочка неправильной формы.
На самом деле я надеялся что они сами сразу что-нибудь поймут, т.к. у них явная проблема с этой точкой, которая позволяет сохранить уже недоступный (но свой) юзернейм. Хотя это не должно быть так. Вполне возможно, что эта точка у них может делать ещё что-нибудь.
У Гугл была какая-то похожая проблема с точкой, если не ошибаюсь.
У Гугл была какая-то похожая проблема с точкой, если не ошибаюсь.
Я тоже наивно считал, что гиганты интернета такие же прекрасные изнутри, как их офисы — ровное блестящее стекло, шестерни прекрасно смазанного механизма с ледяной точностью отсчитывают процессы, отлаженный механизм блестит и рождает сплошное чувство восторга.
А потом столкнулся с этим многомиллиардным царством по служебной необходимости (не как одиночка, о нет, вопросы решались на шесть нолей в долларах и более) и понял, что все там точно такое же как и везде и работает во многом благодаря проволке, соплям и синей изоленте.
С тех пор никаких иллюзий или ожиданий не испытываю, чего и вам желаю.
А потом столкнулся с этим многомиллиардным царством по служебной необходимости (не как одиночка, о нет, вопросы решались на шесть нолей в долларах и более) и понял, что все там точно такое же как и везде и работает во многом благодаря проволке, соплям и синей изоленте.
С тех пор никаких иллюзий или ожиданий не испытываю, чего и вам желаю.
Надо будет попробовать. Всё равно моё общение с фейсбуком только раздражающими уведомляшками на мыло ограничивается.
Ну и правильно, это не проблема безопасности а как раз один из способов её укрепления. Ведь благодаря тому что использованный никнейм больше никто не может использовать — никто не будет писать от чужого имени.
Остаётся только возможность массового вандализма, но поскольку такой вандализм незаметен то и заниматься им на регулярной основе никто не будет. Ограничение по 10 никнеймов в час делает цену вандализма слишком высокой — необходимо будет масса внешних белых IP чтобы обойти ограничение и куча оборудования которое потребляет ресурсы. А поскольку результат вандализма не заметен внешне вообще никак, то этим буде заниматься довольно специфический маньяк у которого много денег и свободного времени. И выгоды в отличие от киберсквотинга от этого дела НИКАКОЙ. Так, лёгкий вандализм.
Если дело дойдет до массового вандализма, я думаю просто откатят базу данных с протухшими никнеймами и все труды начинай сначала.
Остаётся только возможность массового вандализма, но поскольку такой вандализм незаметен то и заниматься им на регулярной основе никто не будет. Ограничение по 10 никнеймов в час делает цену вандализма слишком высокой — необходимо будет масса внешних белых IP чтобы обойти ограничение и куча оборудования которое потребляет ресурсы. А поскольку результат вандализма не заметен внешне вообще никак, то этим буде заниматься довольно специфический маньяк у которого много денег и свободного времени. И выгоды в отличие от киберсквотинга от этого дела НИКАКОЙ. Так, лёгкий вандализм.
Если дело дойдет до массового вандализма, я думаю просто откатят базу данных с протухшими никнеймами и все труды начинай сначала.
Чисто для справки: слово «юзернейм» встречается в тексте 42 раза.
Чисто для справки: слово «юзернейм» встречается в тексте 42 раза.
Непонятны ваши претензии к фейсбуку, у них по любому есть более важные баги и проблемы с безопасностью, чтобы все бросать и быстро исправлять эту незначительную ошибку. При первом обращении в саппорт скорей всего ошибка была зарегистрирована и ее исправят когда будет время. К тому же действительно это очень полезная фича, при смене юзернейма его никто больше не займет, и и не сможет выдать себя за вас. Вообще может так специально сделано, вы проверяли что при обычной смене юзернейма он становится доступен для регистрации другому пользователю?
С момента обнаружения этой ошибки мной прошло уже больше месяца. Уверен, что она там уже давно.
Да, при обычной смене он будет доступен. Сделал уже кучу тестов этих изменений, штук 50 точно сменил на различных аккаунтах.
Уверен, что эта ошибка решается за более короткое время, чем рассматривать сообщения от тех людей, кто решит удалить или добавить точку в свой юзернейм, чтобы сделать его более красивым (например, кому-то нравится что-нибудь вроде «Имя.Фамилия», а кому-то наоборот «ИмяФамилия»), и удивится, что при удачной смене он лишится этого юзернейма навсегда.
Да, при обычной смене он будет доступен. Сделал уже кучу тестов этих изменений, штук 50 точно сменил на различных аккаунтах.
Уверен, что эта ошибка решается за более короткое время, чем рассматривать сообщения от тех людей, кто решит удалить или добавить точку в свой юзернейм, чтобы сделать его более красивым (например, кому-то нравится что-нибудь вроде «Имя.Фамилия», а кому-то наоборот «ИмяФамилия»), и удивится, что при удачной смене он лишится этого юзернейма навсегда.
Добавил апдейт по поводу остающегося почтового адреса при таком сбросе юзернейма.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как навсегда уничтожить юзернейм в Фейсбук и почему саппорту всё равно