Лого vc.ru

Используете ВКонтакте? Забудьте про открытые wifi сети

Используете ВКонтакте? Забудьте про открытые wifi сети
Поделиться
Гостевой пост технического директора крайне известного в рунете проекта.



- Меня сломали ВКонтакте, но я не виноват!!
- Ха-ха, лох!
Из разговора двух школьников.


Привет!

Обнаружил сегодня в своей уютной ленте ВКонтакта новость от какой-то группы, типа тех, что спамят у тебя в комментариях. Раньше один раз было такое, но я не придал этому значения, решил что ВКонтакте обкатывает очередную социальную рекламную поебень и просто пометил как спам.

Сегодня же почуял, что дело пахнет керосином, заглянул в подписки и выложил небольшую кирпичную кладку - я ВНЕЗАПНО оказался подписан на нескольких мудаков и их мудаковских групп. И это в моей ленте, где я вижу новости из жизни всего десяти человек, дни рождения которых мне лень забить в календарь мобильного!

Поняв, что где-то в своем развитии я допустил ошибку, раз меня смогли сломать, решил провести крутое кибер-расследование данного инцидента. Приложения такого провернуть не смогли бы - я всегда просматриваю права доступа, которые они требуют, а после ознакомления, как правило, удаляю. По фишинговым письмам не хожу с детства, потому что параноик и глаза у меня не на жопе. Не ставлю ничего, что требует ввод пароля от ВК (который содержит 16 случайных символов и меняется раз в четыре месяца), в чужих сетях со своего макбука сижу через впн, а дома пользуюсь исключительно линуксом, потому что я компьютерный задрот и у меня нет личной жизни.

Учитывая последний факт, доступ к моему аккаунту смог бы получить только лично Павел Дуров. Но в своих настройках я увидел это:



И это не мой ip. Не мой город, провайдер тоже не мой, у нас нет таких. У меня браузеров-то этих нет ни на одном устройстве.

А сейчас, дорогие мои, небольшое лирическое отступление для тех, кто не в курсе - как происходит авторизация на сайтах. После того, как вы вводите логин и пароль и жмете кнопку "отправить", сервер сверяет введенные вами данные с тем, что записано у него в блокнотике, и если все ок, отдает указание вашему браузеру - "поставить куку 'сессия', и установить ее значение в хитрый код, алгоритм подсчета которого известен только мне". Браузер ставит себе эту печеньку, и в дальнейшем авторизует вас именно по этой сессии.

В 2006-2007 году ВК прописывал в куках id и хеш пароля пользователя, но потом Пашин код переписали люди, которых он нанял, и нассали ему в уши, что сделали все грамотно. На самом деле, Павел, вам напиздели. То, что сделали эти чуваки, ничем, блядь, не отличается от хранения md5 пароля в куках. Увольте их. Если не можете уволить - лишите премии ответственных. Вот почему.

Спустя минут пять, я запустил виртуалку, подцепился к впн, открыл совершенно левый браузер и вбил туда куку сессии из основного, обновил страницу... И вошел под собой. С минуту я смотрел своей аватарке в глаза, предвкушая, как буду писать это письмо.



Павел, я знаю, что вы - принципиальный человек и не ругаетесь матом. Но спросите у своих программистов:
Программисты! Какого хуя в, предположим, ФФ можно авторизоваться по сессии Хрома? Или под сессией нового Хрома авторизоваться в старом Хроме? А?

Программисты, скорее всего, скажут вам какую-нибудь бессмысленную херню, но вы не слушайте их, а ебашьте по голове пачкой пятитысячных купюр - так делать нельзя.

Как-то раз я подключился ради шустрого гуглинга к левой wi-fi сети с мобильного телефона, а последним открытым сайтом на телефоне был вконтакте. У меня спиздили мобильную куку в этой грязной сетке и стали творить с ее помощью всякие извращения, от которых ваши, Павел, волосы, встали бы дыбом.

Мобильные моментально переведены на VPN, пароли изменены, а вот как быть с вашими программистами - я не знаю. Фишинг - херня, чуваки. Вирусы тоже. Вас погубят отсутствие SSL и кривые руки кодеров. Я надеюсь, что программисты у Павла тоже наняты после того, как их выпнули из-за некомпетенции из какой-нибудь фирмы, иначе объяснить это невозможно.

На нормальных сайтах ни один человек не сможет воспользоваться украденной сессией. А у ВК это далеко не первый косяк с получением доступа к аккаунту, который я вижу.

Спасибо за внимание!




Я успел задать автору несколько вопросов:

СП: Я правильно понимаю что срок хранения cookie ВК - целый год (?) и если украсть чью-то cookie, его аккаунт можно в хвост и в гриву целых 365 дней? Есть какие-то общепринятые практики тут?
Х: Да, все верно - год в хвост и в гриву. Практика одна - учитывать браузер для каждой конкретной сессии. Не позволять разных браузеров, разных операционок, хорошо бы еще и версии сверять. Мы вообще все по-фашистски делаем - браузер обновился - тебя разлогинило.

В ВК можно было бы просто не позволять авторизовывать сессию на более старой версии браузера, чем версия, на которой она была авторизована в последний раз. Косноязычно, но я не знаю, как лучше сказать.

СП: И, кстати, чтобы не быть голословным - Фейсбук же не позволяет такого - точно?
Х: В Фейсбуке я не смог повторить эффекта, скопировав как вообще все куки, так и выборочно самые долгоживущие (для ВК хватило только сессии).

Ну и у Фейсбука описанное в принципе невозможно, потому что он по https работает, там трафик шифруется и спереть что-то уже сложнее в разы.

Короче вот так вот вот. Будьте аккуратны, не используйте открытые wifi сети.

UPDATE:

Успели взять комментарий у представителей ВК. Отвечает разработчик Вася Бабич:
При работе в публичных Wifi-сетях существует реальная угроза безопасности персональных данных во время работы с сайтами, не использующими шифрование.

ВКонтакте использует защищенное соединение во время авторизации по логину и паролю, что обеспечивает полную сохранность этих данных. Но просмотр страниц сайта происходит уже без использования шифрования. В публичных сетях появляется риск перехвата сессии пользователя, которую в дальнейшем можно использовать для доступа к сайту от его имени. Сессия не привязывается к user-агенту (браузеру) пользователя, т.к. он легко подделывается злоумышленником. Вместо этого она связана с IP-адресом пользователя, поэтому её использование в других сетях становится невозможным.

Чтобы избежать подобной ситуации, мы всегда рекомендуем сбрасывать все активные сессии в настройках ВКонтакте после использования общественных wifi-сетей. Сейчас мы завершаем работу над внедрением постоянно включенного шифрования во время работы с сайтом. Несмотря на незначительное замедление работы, это позволит существенно увеличить сохранность персональных данных.

 
Популярные статьи
Показать еще

Возможность комментирования статьи доступна только в первые две недели после публикации.

Сейчас обсуждают
Paul

Слава из заголовка да создателям Cloud Magic бы в уши

«Фиксированная цена $200 в год — самая большая ошибка, которую мы когда-либо делали»
0
Андрей Цай

я занимаюсь майногом 3 года, заработать можно приусловии наличия недорогой энерии и еще нужно занать несколько серкетов) могу расскзать но только ананимно

Можно ли заработать на майнинге криптовалюты
0
Павел Николаев

Откуда взять сил пройти мимо, когда совсем недавно покинул уютное рабочее место в отличной компании ради собственного проекта?))

Что выбрать — работу по найму или собственный бизнес
0
Злой Одуванчик

Шор. Португальский.

Xor — бот для поиска вакансий и сотрудников в ИТ
0
Кирилл Бунаков

Всё как раз наоборот - пока он ничего не выполнил из того что обещал. Нет дешевых электромобилей, нет полетов многоразовых ракет, нет гиперлупы, нет ровным счетом ничего. Одни сказки.

Элон Маск анонсировал систему межпланетных перелётов и представил план колонизации Марса
0
Показать еще