как же будут загружаться картинки с других доменов?
по поводу пост запроса — если будет html форма с автосабмитом почему пост запрос не уйдёт?
что ему воспрепятствует?
Непонятна суть затеи.
Защитить это сможет компьютер пользователя. Не его учетные данные.
Та-же, хранимая XSS отработает в любом случае и заберёт все нужные ей данные.
CSRF тоже отработает.
То-есть защита будет работать для пользователя только от атак компромитирующих его систему через уязвимости в браузере и опутствующих приложениях.
Хотя подозреваю что в неких случаях могут быть скомпрометированны облачная система и пользовательская одновременно. Или же пользовательская в обход облака…
я не прочитал про подмену мыла думал там тоже про суппорт. вот это хорошая уязвимость…
а тертье типо заблокировать пользователя это больше фитча чем уязвимость… ведь поиметь аккаунт таким образом нельзя.
шаг 1) написать первый пост получить инвайт и все как пологается
шаг 2) потом изза грамматических ошибок во втором получить read only
шаг 3) переиздать второй пост доведя всё до ума
шаг 4) получить второй инвайт и запостить из песочницы)
это тоже не всегда спасает
если подбирать брутом по базам слов то есть шанс что именно то слово попадётся
лучше ставить чтото не имееющие никакой смысловой нагрузки
от трёх разных символов и выше уже не подберут, лень не позволит
mail.ru к этому не относится с 2010 или 2011 года
ящики больше не анрегаются а блокируются и зная пароль(или ответ на секретный вопрос через который можно изменить пароль) можно их восстановить
если кому интересно могу дать запрос по которому можно найти в базе мыл именно локнутые
Всётаки лучше заменить
по поводу пост запроса — если будет html форма с автосабмитом почему пост запрос не уйдёт?
что ему воспрепятствует?
Защитить это сможет компьютер пользователя. Не его учетные данные.
Та-же, хранимая XSS отработает в любом случае и заберёт все нужные ей данные.
CSRF тоже отработает.
То-есть защита будет работать для пользователя только от атак компромитирующих его систему через уязвимости в браузере и опутствующих приложениях.
Хотя подозреваю что в неких случаях могут быть скомпрометированны облачная система и пользовательская одновременно. Или же пользовательская в обход облака…
может власти запретят углерод и водород?? в амфетамине ведь они и есть главные состовляющие…
а тертье типо заблокировать пользователя это больше фитча чем уязвимость… ведь поиметь аккаунт таким образом нельзя.
какже написать сплоет эксплуатирующий эти уязвимости??
айтишника врядли найдёте скорее человека с данным годом рождения он может больше и даст
шаг 2) потом изза грамматических ошибок во втором получить read only
шаг 3) переиздать второй пост доведя всё до ума
шаг 4) получить второй инвайт и запостить из песочницы)
если подбирать брутом по базам слов то есть шанс что именно то слово попадётся
лучше ставить чтото не имееющие никакой смысловой нагрузки
от трёх разных символов и выше уже не подберут, лень не позволит
ящики больше не анрегаются а блокируются и зная пароль(или ответ на секретный вопрос через который можно изменить пароль) можно их восстановить
если кому интересно могу дать запрос по которому можно найти в базе мыл именно локнутые