[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "create", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-158433683", "adfox_url": "//ads.adfox.ru/228129/getCode?p1=bxbwd&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid21=&puid22=&puid31=&fmt=1&pr=" } } ]
{ "author_name": "Andrey Zagoruiko", "author_type": "self", "tags": ["\u0441\u043e\u0446\u0441\u0435\u0442\u0438","\u0432\u043a\u043e\u043d\u0430\u043a\u0442\u0435","cookies","\u0432\u0437\u043b\u043e\u043c","\u043f\u0430\u0440\u043e\u043b\u044c","\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c"], "comments": 1, "likes": 27, "favorites": 1, "is_advertisement": false, "section_name": "default", "id": "757" }
Andrey Zagoruiko
18 220

Используете ВКонтакте? Забудьте про открытые wifi сети

Гостевой пост технического директора крайне известного в рунете проекта.



- Меня сломали ВКонтакте, но я не виноват!!
- Ха-ха, лох!
Из разговора двух школьников.


Привет!

Обнаружил сегодня в своей уютной ленте ВКонтакта новость от какой-то группы, типа тех, что спамят у тебя в комментариях. Раньше один раз было такое, но я не придал этому значения, решил что ВКонтакте обкатывает очередную социальную рекламную поебень и просто пометил как спам.

Сегодня же почуял, что дело пахнет керосином, заглянул в подписки и выложил небольшую кирпичную кладку - я ВНЕЗАПНО оказался подписан на нескольких мудаков и их мудаковских групп. И это в моей ленте, где я вижу новости из жизни всего десяти человек, дни рождения которых мне лень забить в календарь мобильного!

Поняв, что где-то в своем развитии я допустил ошибку, раз меня смогли сломать, решил провести крутое кибер-расследование данного инцидента. Приложения такого провернуть не смогли бы - я всегда просматриваю права доступа, которые они требуют, а после ознакомления, как правило, удаляю. По фишинговым письмам не хожу с детства, потому что параноик и глаза у меня не на жопе. Не ставлю ничего, что требует ввод пароля от ВК (который содержит 16 случайных символов и меняется раз в четыре месяца), в чужих сетях со своего макбука сижу через впн, а дома пользуюсь исключительно линуксом, потому что я компьютерный задрот и у меня нет личной жизни.

Учитывая последний факт, доступ к моему аккаунту смог бы получить только лично Павел Дуров. Но в своих настройках я увидел это:



И это не мой ip. Не мой город, провайдер тоже не мой, у нас нет таких. У меня браузеров-то этих нет ни на одном устройстве.

А сейчас, дорогие мои, небольшое лирическое отступление для тех, кто не в курсе - как происходит авторизация на сайтах. После того, как вы вводите логин и пароль и жмете кнопку "отправить", сервер сверяет введенные вами данные с тем, что записано у него в блокнотике, и если все ок, отдает указание вашему браузеру - "поставить куку 'сессия', и установить ее значение в хитрый код, алгоритм подсчета которого известен только мне". Браузер ставит себе эту печеньку, и в дальнейшем авторизует вас именно по этой сессии.

В 2006-2007 году ВК прописывал в куках id и хеш пароля пользователя, но потом Пашин код переписали люди, которых он нанял, и нассали ему в уши, что сделали все грамотно. На самом деле, Павел, вам напиздели. То, что сделали эти чуваки, ничем, блядь, не отличается от хранения md5 пароля в куках. Увольте их. Если не можете уволить - лишите премии ответственных. Вот почему.

Спустя минут пять, я запустил виртуалку, подцепился к впн, открыл совершенно левый браузер и вбил туда куку сессии из основного, обновил страницу... И вошел под собой. С минуту я смотрел своей аватарке в глаза, предвкушая, как буду писать это письмо.



Павел, я знаю, что вы - принципиальный человек и не ругаетесь матом. Но спросите у своих программистов:
Программисты! Какого хуя в, предположим, ФФ можно авторизоваться по сессии Хрома? Или под сессией нового Хрома авторизоваться в старом Хроме? А?

Программисты, скорее всего, скажут вам какую-нибудь бессмысленную херню, но вы не слушайте их, а ебашьте по голове пачкой пятитысячных купюр - так делать нельзя.

Как-то раз я подключился ради шустрого гуглинга к левой wi-fi сети с мобильного телефона, а последним открытым сайтом на телефоне был вконтакте. У меня спиздили мобильную куку в этой грязной сетке и стали творить с ее помощью всякие извращения, от которых ваши, Павел, волосы, встали бы дыбом.

Мобильные моментально переведены на VPN, пароли изменены, а вот как быть с вашими программистами - я не знаю. Фишинг - херня, чуваки. Вирусы тоже. Вас погубят отсутствие SSL и кривые руки кодеров. Я надеюсь, что программисты у Павла тоже наняты после того, как их выпнули из-за некомпетенции из какой-нибудь фирмы, иначе объяснить это невозможно.

На нормальных сайтах ни один человек не сможет воспользоваться украденной сессией. А у ВК это далеко не первый косяк с получением доступа к аккаунту, который я вижу.

Спасибо за внимание!




Я успел задать автору несколько вопросов:

СП: Я правильно понимаю что срок хранения cookie ВК - целый год (?) и если украсть чью-то cookie, его аккаунт можно в хвост и в гриву целых 365 дней? Есть какие-то общепринятые практики тут?
Х: Да, все верно - год в хвост и в гриву. Практика одна - учитывать браузер для каждой конкретной сессии. Не позволять разных браузеров, разных операционок, хорошо бы еще и версии сверять. Мы вообще все по-фашистски делаем - браузер обновился - тебя разлогинило.

В ВК можно было бы просто не позволять авторизовывать сессию на более старой версии браузера, чем версия, на которой она была авторизована в последний раз. Косноязычно, но я не знаю, как лучше сказать.

СП: И, кстати, чтобы не быть голословным - Фейсбук же не позволяет такого - точно?
Х: В Фейсбуке я не смог повторить эффекта, скопировав как вообще все куки, так и выборочно самые долгоживущие (для ВК хватило только сессии).

Ну и у Фейсбука описанное в принципе невозможно, потому что он по https работает, там трафик шифруется и спереть что-то уже сложнее в разы.

Короче вот так вот вот. Будьте аккуратны, не используйте открытые wifi сети.

UPDATE:

Успели взять комментарий у представителей ВК. Отвечает разработчик Вася Бабич:
При работе в публичных Wifi-сетях существует реальная угроза безопасности персональных данных во время работы с сайтами, не использующими шифрование.

ВКонтакте использует защищенное соединение во время авторизации по логину и паролю, что обеспечивает полную сохранность этих данных. Но просмотр страниц сайта происходит уже без использования шифрования. В публичных сетях появляется риск перехвата сессии пользователя, которую в дальнейшем можно использовать для доступа к сайту от его имени. Сессия не привязывается к user-агенту (браузеру) пользователя, т.к. он легко подделывается злоумышленником. Вместо этого она связана с IP-адресом пользователя, поэтому её использование в других сетях становится невозможным.

Чтобы избежать подобной ситуации, мы всегда рекомендуем сбрасывать все активные сессии в настройках ВКонтакте после использования общественных wifi-сетей. Сейчас мы завершаем работу над внедрением постоянно включенного шифрования во время работы с сайтом. Несмотря на незначительное замедление работы, это позволит существенно увеличить сохранность персональных данных.

 

#Соцсети #ВКонакте #cookies #взлом #пароль #безопасность

Популярные материалы
Показать еще
{ "is_needs_advanced_access": false }

Комментарии Комм.

Популярные

По порядку

0

Прямой эфир

Компания отказалась от email
в пользу общения при помощи мемов
Подписаться на push-уведомления