Бага авторизации сайта «Одноклассники.Ру» или как не надо делать

    Сайт odnoklassniki.ru имеет удивительную систему авторизации и использования сессий. Например, тут можно почитать об удивлении людей, прошедших по ссылке в посте (И ни в коем случае не ходите сами!): dolboeb.livejournal.com/1076635.html?thread=39293851#t39293851

    А еще очень интересны куки, которые этот сайт прописывает к вам. Посмотрите — мне лично не понравился этот мусор.

    Интересно — кто вообще так делает сайты?
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 83

    • НЛО прилетело и опубликовало эту надпись здесь
        0
        да, не заметил, что запятую нужно
        спасибо, поправил
          0
          А все-таки почему так мало тегов, действительно?
        +2
        Куки... Кукие куки? :)
        Лично у меня прием печеньков выключен на корню и разрешен только для тех сайтов, которые я сам в белый список добавлю.
          +7
          параноя?
            +2
            Не совсем, но немного да.
            Просто я считаю, что если сайт меня не интересует, то и ему нефик что-то у меня хранить из своих данных. Нафик мне кукисы всех сайтов, которые я когда либо посещал? Некоторые ведь ограничивают срок истечения годности вторым пришествием...
            • НЛО прилетело и опубликовало эту надпись здесь
                0
                Человек некоторое время назад частил на варезниках, а это похлеще порнухи в плане замусоривания браузера всякой дрянью. Впрочем сейчас уже забил на варез, нафик он не нужен, но привычка осталась.
                з.ы. И зачем я оправдываюсь? Ведь никто ж не поверит...
                0
                подробнее разверните. неужели каждый раз всплывает окно, которое спрашивает про сохранение кукисов? броузер?
                  0
                  нет, окно не всплывает, т.к. JS тоже только по белому списку.
                    0
                    жесть. боритесь с вирусами\актив иксами?:)
                  +1
                  Поддерживаю, и сам делаю так же.
                  Веб это среда для предоставления информацией, а не для слежки друг за другом (расстановка cookies и т.д.)
                  Если сайт не предоставляет информацию, то рядом много других сайтов.
                    0
                    По-вашему нет никакой разницы между персонализацией и слежкой?
                0
                так дело-то не в куках по большому счету :)
                  0
                  точнее не в их наличии :)
                • НЛО прилетело и опубликовало эту надпись здесь
                    0
                    Ви и тут? И тут идите нах.
                    А ник у вас, таки, говорящий! %)
                    0
                    Только минусовать, пожалуйста не надо. Я правда не знаю, объясните. Зачем отключать куки? Понятно, что функцию "показывать все куки для любого сайта" - это бред, но вообще на корню вырубать какой смысл имеет, если все сайты видят только свои куки. А потом еще логинится везде каждый раз...
                      0
                      1. Куки чужого сайта другой сайт при желании увидеть может. Было бы желание, а способов масса.
                      2. Некоторые кукисы специально создаются для слежения за перемещениями по определенным сайтам пользователей.
                      3. Во всех браузерах, в которых предусмотрено отключение печеньков, предусмотрен и "белый список" в который 1 раз заносиш сайт и для него печеньки хранятся не зависимо от блокировки. Т.е. блокировка не полная. В FireFox 2 попробуйте расширение CS Lite (Облегченный вариант Cookie Safe), а то вайтлист у Фокса есть, а вот вменяемого интерфейса для управления — нет. В Fx 3 для этого сейчас больше подходит Permit Cookies.
                    +1
                    Я не зарегестрирован на этом сайте, но пройдя по ссылке, я оказался под чьим то аккаунтом. Пройдя по ссылке еще раз я оказался под другим аккаунтом. И не все такие приличные как я. Многие прошедшие по ссылке уже изменили данные в этих аккаунтах. Однако...
                      0
                      хм...наверное, после оглашения этого бага на хабре, администрации одноклассников что-то придётся с ним сделать, ибо пользователи начнут жаловаться на изменения аккаунтов
                        0
                        Я даже скриншотов понаделал этого безобразия.
                        +10
                        Куков бояться — в инет не ходить.
                          0
                          Ну очень интересно.
                          Сколько же у меня мыслей по поводу чужих аккаунтов.

                          А система авторизации действительно интересная.
                          • НЛО прилетело и опубликовало эту надпись здесь
                              0
                              При авторизации через сессии пхпбб вроде бы к ip привязку делает. И авторизоваться с другого ip по чужому сешнайди/соли не получится.
                                0
                                Sessionid обычно принято дополнительно верифицировать парой ip+useragent. Да и передавать его лучше в куках, а не мусорить в строке запроса.
                                  0
                                  Стандарная фича PHP — в случае отказа куков роллбакить к URL.
                                +6
                                Меня давно очень сильно удивляет такая высокая популярность этого ресурса, который написан ну мега на коленке... ВКонтакте сделан куда профессиональнее, но при этом размер аудитории вполне сравним с Одноклассниками... Парадокс.
                                  0
                                  да, там косяков лопатой не выгребешь... но некоторого юзабилити им удалось в конце концов добиться (раньше было вообще ж...)

                                  вот что значит на безрыбье и рак - рыба
                                    0
                                    Думаю деньги отмывают товарищи и все, говорил один из разработчиков одноклассников: "ресурс в минусе, а денег на развитие выделено куча и еще чуть чуть"..
                                      +3
                                      PS Уже давно всех знакомых с одноклассников переманил в "мой круг" :)
                                        0
                                        да, мой круг лучше на порядок. но вот далекие от IT знакомые продолжают сидеть в этих одноклассниках... эх... :)
                                          +1
                                          Вот-вот, именно в этом затык! Люди, которые с компом "на вы", продолжают торчать на Одноклассниках! Видимо, им приятно ощущать, что программисты проекта понимают в IT столько же, сколько они сами :)).
                                        0
                                        Что-то это очень похоже на вымысел.
                                          0
                                          Я вполне разбираюсь в технологиях, считаю что мой круг, к примеру, юзабильнее одноклассников и соотв должен привлечь больше посетителей, оставляя конкурентам выбор или подниматься до уровня или довольствоваться крохами. Поэтому мой вопрос разработчику однокашек был примерно следующего содержания: Как вы работаете? На чем зарабатываете? Как окупаетесь?
                                          Ответ на него я привел выше...
                                            0
                                            Бесспорно, Мой Круг функциональнее будет, безглючнее и удобнее. Но тем не менее посетитейлей больше у одноклассников, посмотрите их трафик, и он продолжает расти. Я могу ответить только на второй вопрос, ибо он очевиден, с таким трафиком сайт должен приносить немалый доход. И скорее всего приносит.
                                              0
                                              Заранее извиняюсь за глупую шутку, но в контексте статьи актуально: может разработчики моего круга больше обеспокоены экономией траффика чем ...? ))
                                                0
                                                :-)
                                                Мой круг - это сервис яндекса, и всем силами служит для того, чтобы привлечь трафик именно к яндексу, одноклассники же самостоятельны и реклама у них на самом сайте. Это две социальные сети, но у них разные направленности и задачи. Только цель одна - заработать. )
                                      +1
                                      по поводу вконтакте. Посмотрите на facebook и найдите отличия, ососбенно если учесть тот факт, что исходники facebook ни раз всплываи в сети..)
                                        0
                                        А это меня как раз мало беспокоит. Важно, что оно работает, в отличие от Одноклассников.
                                          0
                                          Ваша правда. Это у меня наверно такие принципы.
                                          0
                                          по поводу в контакте. у меня возникают смутные сомнения при прочтении раздела "о сайте", в котором указаны 6 человек команды. Мне также слабо вериться, что люди тратят прорву времени на сайт для "того, чтобы помочь людям". Еще я не понимаю, зачем мне врут что вконтакте создан энтузиастами, а домен зарегистрирован на "V Kontakte" Ltd.". Я еще я тоже хочу быть богатым, чтобы оплачивать хостинг такого проекта из своего кармана безвозмездно. В 24 года. Без рекламы.
                                          В сухом остатке у кого-то есть немалая такая база в которой много чего и про кого. Мне чертовски любопытно, кто вечерами у них развлекается "SELECT * FROM".
                                          з.ы. одноклассники, кстати, тоже имеют инвесторов, о чем вчера обмолвился на мегаполисфм руководитель проекта.
                                          з.ы.ы. что то я много написал)
                                            0
                                            отлично написал!
                                          0
                                          Я зарегистрирован в сервисе «ВКонтакте», пользуюсь им и считаю его удобным, а на «Одноклассников» зашёл 1 раз и более не появлялся. Однако не надо говорить, что «ВКонтакте сделан куда профессиональнее». Ничего подобного. В нём столько дыр уже найдено, что держись. Справедливости ради нужно отметить, что дыры закрываются быстро, но они, поверьте, такого же класса, как описанный в посте баг.
                                            0
                                            OK, за дырами в этих сервисах я действительно не охотился. Но технологии, использованные в реализации проектов, происходят из разных веков :). Одноклассники.ру - век двадцатый. С грамотным AJAX'ом куда удобнее жить!
                                              +1
                                              Согласен, конечно. ;)

                                              Просто слегка возмущает то, что ребята из ВКонтакте тратят время, силы и деньги на реализацию таких приятных и полезных, но отнюдь не самых необходимых для данного сервиса функций, как например, загрузка видео-роликов, в то время как у них полно security issues, которые нужно решать в приоритетном порядке.
                                                0
                                                Согласен! Мне это видео тоже совсем не впёрлось :). Но ведь мы все понимаем, что секьюрити ишшьюз - это, условно говоря, интерес гиков-паранойиков, которых пятьдесят человек, а видеоролики - это интерес мейнстримовой публики, которой пятьдесят миллионов. К тому же цель таких проектов - поскорее продаться, набрав аудиторию. Вот они и не запариваются на "мелочи" :).
                                                  0
                                                  Ну мелочи мелочами, а работу нужно делать качественно. Хотя маркетинговое обоснование принятых решений вполне понятно...
                                                    0
                                                    Как бы то ни было, я бы не стал делать работу так, как делают они :).
                                              0
                                              Да ну? У меня знакомый им как-то писал про дыры, и послан был. И ничего не закрывалось. Неужто что-то изменилось?
                                                0
                                                Думаю, нет. К сожалению. Ни один из багов, о которых я сообщал, также не был исправлен, а я даже ответа на сообщение не получил.

                                                Вот лично в моём представлении security-баги должны всегда быть приоритетнее прочих. А баги, сообщаемые пользователями, также должны иметь более высокий приоритет. В конце концов, именно для пользователей делается сайт.
                                              0
                                              Так творец одноклассников и признает, именно на коленке. http://www.kommersant.ru/doc.aspx?DocsID…
                                              0
                                              Вот ведь недаром у меня уже месяц руки чешутся свалить оттудова... Достали уже своим маразмом "посмотри, я сам на этом сайте 8)"... а тут еще такие перлы!!!
                                                0
                                                по ссылке на жж пост изменился. люди работают...
                                                  0
                                                  Вот вот!
                                                  Регистрировал сына трехмесячного - так нельзя указать 2007 год рождения (кстати, многие ресурсы таким болеют).
                                                  Регистрация начинается с указания школы, а ему до школы еще далеко. Указать школу будущего нельзя, т.к. максимальная дата окончания 2010 год. И указывать надо именно дату окончания. Пришлось вбивать "левые" данные. Ужас.
                                                    0
                                                    А зачем в таком возрасте вообще регистрироваться? (оО)
                                                      0
                                                      Сын подрастет, а уже везде регистрированный. И не будет подбирать из свободных логинов, т.к. большиноство хороших уже заняты.
                                                      Кстати, зачастую нельзя выбрать способ связи с человеком. Мне бы не во френды его добавлять, а в детей.
                                                        +2
                                                        Не забудьте сдать его отпечатки пальцев, образцы генетического материала и защить под кожу RFID! :)
                                                        Блин, к тому времени как ваш сын пойдет в школу большинство ресурсов, на которых он зареген, будет мертво. К тому же, вдруг он захочет себе другой ник? Все ваши труды пропадут даром...
                                                          0
                                                          Спокойно, я просто экспериментировал ;)
                                                          0
                                                          Забавно. Я до такого бы не додумался. ;)
                                                            0
                                                            Скоро детей будут не в детский сад по знакомству пристраивать, а регистрировать с хорошим логином :)
                                                          +2
                                                          А сын твой трехмесячный на одноклассниках будет искать друзей по роддому? :)
                                                          Ты его и на хабре тогда тоже зарегистрируй. :)
                                                            0
                                                            Везде где я будет. Со временем :)
                                                            • НЛО прилетело и опубликовало эту надпись здесь
                                                                0
                                                                Так я эксперименту ради. Пока к нему "одноклассники" только случайные попали (тоже с кривыми датами).
                                                                А вдруг уже есть соц. сети новорожденных, а сын получается от жизни отстанет? Если нет - то он первый такой социум попытался создать.
                                                                Понятно, что где надо зарегистрируется сам, а не будет аккуратненько менять пароли на созданных мной аккаунтах :)
                                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                                    +1
                                                                    У новорожденных мода иметь собственный сайт. Даже имя под это дело подгоняют.
                                                                      0
                                                                      =) Ну вот, и тут я опоздал... И домен занят.
                                                                0
                                                                Вот. Сегодня новость вычитал: Saga Zone – социальная сеть для пожилых людей. Точно скоро соц. сеть для новорожденных появится. Вот увидите ;)
                                                              +1
                                                              одноклассники - отвратительный сервис с отвратительным каталогизатором
                                                                0
                                                                :-) Но при этом с непривзойденным трафиком..) Вот это казус...)
                                                                  0
                                                                  я уже перестал удивляться казусам в этой стране.
                                                                    0
                                                                    Дайте мне другой Земной шар.
                                                                    Давно пора понять, что публика выбирает продукты не по техническим достоинствам. Иначе у вас на столе стоял бы не PC, а нечто более вменяемое. А видео десять лет назад вы смотрели бы не на VHS, а на Betacam.
                                                              • НЛО прилетело и опубликовало эту надпись здесь
                                                                  0
                                                                  Похоже, уже исправили.
                                                                    0
                                                                    Ещё нет, всё ищё заходит...
                                                                    Я думаю долго им придётся менять и/или будут менять когда начнутся глобальные изменения профилей.
                                                                      0
                                                                      У меня перестало заходить.
                                                                    0
                                                                    Вот только что закрыли эту страницу, мол недоступна.
                                                                      0
                                                                      только сегодня выругнулся на корявость сервиса.
                                                                      мне отправляют предложение подружится, а в моем профиле найти "Принять предложение" я не могу. Слово юзабилити разработчикам неизвестно, видимо.
                                                                        0
                                                                        приходя ссылки в пиьсмах с предложением дружить - перехожу, а он мне - типа зарегийся или войди(в соседнем табе открыт профиль)!!!

                                                                        этоб ничего, да вот после входа то ссылка то пропадает, а если снова по ней, то опять таже песьня - я даж разработчикам писал - но им наверно пофигу...

                                                                        З.Ы.
                                                                        а может я один такой невезучий....

                                                                        З.З.Ы. почитав этот пост - успокоился немного...
                                                                        к вышесказаному присоединяюсь полностью....

                                                                        2 Yustos
                                                                        спасибо за хорошее настроение по утру - поржал...
                                                                          0
                                                                          подозреваю данный проект переживает проблему разбухания нагрузки... решают ее быстро и как получится...

                                                                          какое то время назад у них был ASP (если не ошибаюсь), сейчас перенесли на JAVA.
                                                                            0
                                                                            насчет сайта "одноклассники.ru"... Ребята, подскажите,пожалуйста, как пообщаться с модератором сайта. А вообще-то меня интересует как можно удалить фото гостя?

                                                                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                                            Самое читаемое