Общая тревога.
просто будьте бдительны.
раскрыть ветку (58)
раскрыть ветку (5)
Это же албанский вирус!
"Я - Албанский вирус, но в связи с очень плохим развитием технологии в моей стране к сожалению я не могу причинить вред вашему компьютеру.
Пожалуйста будьте так любезны стереть один из важных файлов с вашего компьютера самостоятельно и перешлите меня другим, можно просто ссылку на меня.
Заранее благодарен за понимание и сотрудничество."
"Я - Албанский вирус, но в связи с очень плохим развитием технологии в моей стране к сожалению я не могу причинить вред вашему компьютеру.
Пожалуйста будьте так любезны стереть один из важных файлов с вашего компьютера самостоятельно и перешлите меня другим, можно просто ссылку на меня.
Заранее благодарен за понимание и сотрудничество."
раскрыть ветку (4)
И не просто незнакомцу, а неграмотному долбоёбу-незнакомцу. Я вообще сперва с трудом понял, что он написал. Надеюсь, граммар-наци уже отымели его куда только можно.
раскрыть ветку (30)
Проверил специально, что там в кукисах контакт хранит...так вот...ничего такого, с помощью чего можно получить доступ к странице.
remixstid=557991786; remixlang=0; remixdt=-7200; remixrec_sid=; remixreg_sid=; remixapi_sid=; remixsid=83403529b8c046c08061ea3a3393d02c2ea97769bfff784962436; remixsslsid=1; remixseenads=1; audio_vol=42; remixrefkey=280c867ce1111b6177; remixflash=12.0.0; remixscreen_depth=24
remixstid=557991786; remixlang=0; remixdt=-7200; remixrec_sid=; remixreg_sid=; remixapi_sid=; remixsid=83403529b8c046c08061ea3a3393d02c2ea97769bfff784962436; remixsslsid=1; remixseenads=1; audio_vol=42; remixrefkey=280c867ce1111b6177; remixflash=12.0.0; remixscreen_depth=24
раскрыть ветку (29)
раскрыть ветку (19)
в данных кукисах нету никаких данных, для подмены кукисов. Единственные важные данные это: remixsid, remixstid. Но они изменились, так как я на всякий случай, все таки, перезашел в контакт, сгенерировав тем самым новые хэши. Так что эти кукисы уже недействительные. И @moderator может это подтвердить, если он является разработчиком :)
раскрыть ветку (5)
раскрыть ветку (4)
спасибо :) И все же интересно, что за remixstid, remixrefkey.
Первое скорее всего адийшник страницы (аккаунта), а второй реферальный кей какой-то, но зачем?
Первое скорее всего адийшник страницы (аккаунта), а второй реферальный кей какой-то, но зачем?
раскрыть ветку (3)
да вы совсем что ли? вконтакте айпи сверяет. Если бы у меня был твой айпи - твои кукисы чего бы то стоили
раскрыть ветку (2)
Подтверждаю комментарий calmos, уже получил кукисы своих 5 друзей, ни на один я так и не смог попасть, кроме тех, на которые уже заходили с моего ПК.
Вы и вправду думаете, что социальная сеть, которая прошла за 8 лет почти все способы взлома проверяет ТОЛЬКО по ip-шникиу? И вы вправду думаете что sessionID что-то значит в этих кукисах, после того, как я перезашел? Ну давайте, взломайте у себя на компьютере и поставьте мой уровень громкости...
Это кое кто не осознает что там написано. Там просто "запоминалки" громкости музыки, видео и другой подобной фигни.
Я даже сейчас в качестве эксперимента очистил куки, а авторизация вк не слетела. Так что он не через них авторизовывает.
Я даже сейчас в качестве эксперимента очистил куки, а авторизация вк не слетела. Так что он не через них авторизовывает.
раскрыть ветку (12)
что за манера общения?
там есть remixsid - идентификатор сессии - есть вероятность, что это можно использовать для подмены сессии и как следствие - кражи аккаунта
там есть remixsid - идентификатор сессии - есть вероятность, что это можно использовать для подмены сессии и как следствие - кражи аккаунта
раскрыть ветку (5)
Сам проведи эксперимент и попробуй хоть даже просто в другом браузере авторизоваться подменив ид сессии. Вк не авторизует с ее помощью, сам проверял.
Если не веришь, вот тебе мои данные
remixsid - 0970a31bb583de21a21c76c85fd8f169e48fe514be39a2e7984fa
remixdtid - 1074158280
Пробуй.
remixsid - 0970a31bb583de21a21c76c85fd8f169e48fe514be39a2e7984fa
remixdtid - 1074158280
Пробуй.
раскрыть ветку (2)
smok прав. Идентификатор сессии вообще опасная штука. Если человек залогинен в контакте (а он сейчас никогда и не логаутится даже), то есть вероятность того, что я создам у себя дубль этой куки с SessionID жертвы. Таким образом получив доступ к странице, откуда бегом меняем пасс и акк наш.
Именно для этого я вышел и зашел снова, чтобы у меня был другой SessionID, а не тот, что выше.
Именно для этого я вышел и зашел снова, чтобы у меня был другой SessionID, а не тот, что выше.
раскрыть ветку (5)
Пароль точно не сменишь, нужно подтверждение. А вот зайти возможно получится, хоть там и есть защита на уровне проверки региона, и возможно других факторов (типа юзерагента, айпишника и т.д.). Проще всего было бы сделать привязку сессии к айпи напрямую, но сильно бы раздражало пользователей с мобильным инетом (в основном у них часто внешний айпи меняется).
раскрыть ветку (2)
>Пароль точно не сменишь, нужно подтверждение.
Смысла его менять вообще нет, привязка к телефону никуда не денется.
Смысла его менять вообще нет, привязка к телефону никуда не денется.
раскрыть ветку (1)
Фишка в том, что вк не авторизует с помощью сессии. Сам попробуй авторизоваться подменив ид сессии.
Конечно большинство кодеров опираются на него, но мы говорим о вк. Там не так :)
Конечно большинство кодеров опираются на него, но мы говорим о вк. Там не так :)
раскрыть ветку (1)
Именно поэтому я и выложил это :)
Я где-то тут писал, что я мало верю в то, что контакт авторизует по одной толькой сессии.
Я где-то тут писал, что я мало верю в то, что контакт авторизует по одной толькой сессии.
есть куки с vk.com, а есть еще с login.vk. около шести месяцев назад требовался только кук remixsid, чтобы зайти в вк с того же ip. А чтобы зайти с любого ip, еще требовались куки с id и кук под названием p (вроде так, если не ошибся). Сейчас разработчики переделали работу с куками и это положительно сказалось на безопасности
раскрыть ветку (2)
Согласен, но этот remixsid не что иное, как просто идентификатор сессии. Если на сервере создать сессию:
req.session.regenerate(function() {
//code...
});
И затем в коде проверять какие-то условия:
req.session.user.auth ? 'Auto-login' : 'GTFO from VK'
То данные будут браться с сервера по этому sid. Поэтому да, есть вероятность, что можно зайти с точно таким же sid, но...я думаю...маловероятно. В случае с контактом.
req.session.regenerate(function() {
//code...
});
И затем в коде проверять какие-то условия:
req.session.user.auth ? 'Auto-login' : 'GTFO from VK'
То данные будут браться с сервера по этому sid. Поэтому да, есть вероятность, что можно зайти с точно таким же sid, но...я думаю...маловероятно. В случае с контактом.
раскрыть ветку (1)
хм... сейчас проверил. Параметров l, p и remixsid по-прежнему достаточно для успешной подмены куков.
Два компа, различные ОС, браузеры и сети. С одного захожу в вк, копирую эти куки, выхожу с вк. На другом компе подменяю куки на втором аккаунте и попадаю на аккаунт с первого компа.
Дважды проверил, работает
Два компа, различные ОС, браузеры и сети. С одного захожу в вк, копирую эти куки, выхожу с вк. На другом компе подменяю куки на втором аккаунте и попадаю на аккаунт с первого компа.
Дважды проверил, работает
Парень, тут вопрос не в том каким лохом надо быть. А в том, что не все имеют хоть минимальные знания джавы или того, что такое куки. Лубой, я думаю знающий человек, заподозрит что-то неладное.
раскрыть ветку (4)
раскрыть ветку (3)
раскрыть ветку (2)
Да это классика. Регулярно появляются байки как HR'ы-девочки их путают. А языки кроме слова "java" в названии вообще ничего общего между собой не имеют.
раскрыть ветку (1)
Ну знаете... если вы мните себя магистром дедукции и просто ясновидящим, то вы может и не попадётесь, но не забывайте о тех людях которые только начинают знакомиться с интернетом или контактом, а так же про особо доверчивых или любопытных.Или просто не знающих.
раскрыть ветку (13)
Он всеравно никак не взломает, и плакать по такому поводу не надо. И каким надо быть идиотом, чтоб кидать людям свои данные, хоть и не знаешь что они делают. А если уж кинул, то сам себе виноват.
раскрыть ветку (10)
раскрыть ветку (6)
Пробовал всевозможные способы с другом, нихуя не получилось.
Ему удалось так зайти на страницу, если хоть раз на ней уже был.
Ему удалось так зайти на страницу, если хоть раз на ней уже был.
раскрыть ветку (5)
Делов-то, в хедер запроса куку засунуть, можно хоть курлом, хоть разными плагинами для браузера. Учи матчасть, и все получится
раскрыть ветку (4)
Нет, не получится, в вк давным-давно это не работает, там куча привязок - к браузеру, региону и т.д. Чуть что не так - требуется подтверждение по смс. Подмена кук вам ничего не даст.
раскрыть ветку (3)
раскрыть ветку (2)
Ну если ты соснифил куки -> находишься в том же регионе, или даже с тем же внешним айпи -> заодно и соснифил юзерагент. То вполне реально. А так левому человеку по одной сессии - маловероятно.
раскрыть ветку (1)
Да, надо быть магистром дедукции и ясновидящим, что бы догадаться не выполнять непонятные инструкции, полученные от незнакомого малолетнего школьника.
Да у меня даже бабушка таким в одноклассниках нихрена не ответит, если ей 4 мильона долларов обещают, как наследнику, она и так не ведётся ^^
ещё комментарии