информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Где водятся OGRыЗа кого нас держат?Все любят мед
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Линуксовый ботнет, распространяющийся... 
 Конец поддержки Internet Explorer 
 Рекордное число уязвимостей в 2021 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / site updates
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Утечка LJ-паролей в Яндекс.Ленте 03.02.07 20:57  
Publisher: dl <Dmitry Leonov>
<"чистая" ссылка>
Утечка LJ-паролей в Яндекс.Ленте
netlux LJ http://netlux.livejournal.com/1320.html

Яндекс.Лента провела сеанс наглядной демонстрации того, чем может обернуться передача каких-либо паролей сторонним сервисам.
Как известно, LiveJournal поддерживает схему аутентификации пользователей с передачей логина/пароля непосредственно в url - в основном это используется для доступа к так называемым подзамочным записям своих друзей из различных программ-агрегаторов. Этот же механизм использовался некоторыми пользователями и для чтения таких записей через Яндекс.Ленту.
Не могу гарантировать точности описания всех деталей, поскольку дырка уже прикрыта, но такое ощущение, что после первого добавления ленты LJ-пользователя ее адрес запоминался (вместе с логином/паролем) и в дальнейшем использовался повторно уже при подключении другими пользователями. Причем не только использовался, но и легко этими самыми другими пользователями просматривался. Видимо, ошибка была связана с попыткой избежать скачивания одной ленты каждый...

Полный текст
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2022 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach