Блог им. jedi-to-be → Ограбление по-дилетантски-3 или те же яйца, только в профиль.
Добрый день, Опен-Лайф!
Мне снова есть, что рассказать. Наверное, Вы помните мои предыдущие топики (,) на тему хранения\передачи паролей в открытом виде? Найденные мною прорехи были спешно залатаны, но правильных выводов никто так и не сделал (из технического персонала компаний). Поэтому Вы и читаете этот топик.
Как я и обещал, я решил проверить еще какой-нибудь популярный почтовый сервер услугой сборщика почты. Выбор пал mail.qip.ru. Почему? Да потому, что это достаточно старая и известная многим Почта.ru, но под другой вывеской.
1. Хм. Всплывающее окошко на AJAX отпугнет почти любого диллетанта. Но не меня =)
2. Почти без надежды смотрю в исходный код и вдруг обнаруживаю там заготовку для вплывающего окошка на слоях, заботливо помеченную авторами кода. Меня тип поля для ввода пароля, а волшебный браузер Опера помогает применить результат к прямо активной странице
3. Вуаля, все как на ладони
4. Вспоминаю про Яндекс.Почту и ее новый интерфейс НЕО.
5. Код страницы уже не такой читабельный, но принцип его работы схожий. Я нахожу заготовку, меняю тип поля, применяю…
6. -Фиаско, фиаско!- кричал пьяный попугай.
Что там говорил тов с Яндекса:
А интерфейсом НЕО пользуются оставшиеся 99%?
UPD Яндекс проблему устранил.
Мне снова есть, что рассказать. Наверное, Вы помните мои предыдущие топики (,) на тему хранения\передачи паролей в открытом виде? Найденные мною прорехи были спешно залатаны, но правильных выводов никто так и не сделал (из технического персонала компаний). Поэтому Вы и читаете этот топик.
Как я и обещал, я решил проверить еще какой-нибудь популярный почтовый сервер услугой сборщика почты. Выбор пал mail.qip.ru. Почему? Да потому, что это достаточно старая и известная многим Почта.ru, но под другой вывеской.
1. Хм. Всплывающее окошко на AJAX отпугнет почти любого диллетанта. Но не меня =)
2. Почти без надежды смотрю в исходный код и вдруг обнаруживаю там заготовку для вплывающего окошка на слоях, заботливо помеченную авторами кода. Меня тип поля для ввода пароля, а волшебный браузер Опера помогает применить результат к прямо активной странице
3. Вуаля, все как на ладони
4. Вспоминаю про Яндекс.Почту и ее новый интерфейс НЕО.
5. Код страницы уже не такой читабельный, но принцип его работы схожий. Я нахожу заготовку, меняю тип поля, применяю…
6. -Фиаско, фиаско!- кричал пьяный попугай.
Что там говорил тов с Яндекса:
Каким образом? Интерфейсом classic пользуется меньше процента пользователей Яндекс.Почты. Для эксплуатации уязвимости нужно одновременно:
А интерфейсом НЕО пользуются оставшиеся 99%?
UPD Яндекс проблему устранил.
- +10
- jedi-to-be
- 03 февраля 2010, 13:01
Наоборот его нужно просить ввести, чтобы изменить настройки (или если пользователю хочется изменить сам пароль, то ввести старый и два новых). Тогда этой проблемы не будет как класса, и все будут довольны.
Где я дурак?