Главная страница
О проекте Навигация Контакт
Поиск


ru.internet.security

 
 - RU.INTERNET.SECURITY ---------------------------------------------------------
 From : Dmitry Leonov                        2:5020/400     14 Nov 2007  03:23:27
 To : All
 Subject : Russian Security Newsline 14.11.2007
 -------------------------------------------------------------------------------- 
 
 Приветствую!
   
 Russian Security Newsline 14.11.2007
 
 Утечка личной информации на Одноклассники.ru
 dl // 31.10.07 22:18 
 Довольно забавная ошибка, хотя потенциально применимая для
 целенаправленного использования. Проявилась в тот момент, когда Антон
 Hосик опубликовал в своем журнале ссылку на одноклассническую страницу
 организатора беспорядков, случившихся на вчерашних политических дебатах. В
 ссылку был включен идентификатор сессии, что привело к весьма своеобразным
 последствиям. 
 Во-первых, страница стала доступна и незарегистрированным пользователям
 (возможно, идентификатор сессии и был включен ради этого, а не просто по
 неосторожности). Во-вторых, после ее открытия переход по ссылкам верхнего
 меню ("Моя страница", "Мои сообщения") приводит к отображению
 соответствующих страниц случайных (или не очень) пользователей сервиса,
 дает просматривать личные сообщения, фотографии, редактировать профиль и
 т.п. 
 
 По одной из версий, таким образом засвечивается страница пользователя,
 перед этим прошедшего по ссылке с идентификатором сессии. Если это
 предположение правильно, то существует возможность целенаправленной атаки
 путем заманивания на соответствующую ссылку. Звучит вполне правдоподобно,
 впрочем, однозначно подтвердить эту версию, попеременно заходя с
 нескольких аккаунтов, лично мне не удалось - то ли поток желающих пройтись
 по ссылке стал слишком велик, то ли источник проблемы все-таки в чем-то
 другом. 
 
 Похоже, что ошибки вокруг запоминания логина становятся настоящим  бичом
 онлайновых сервисов 
 [ http://bugtraq.ru/rsn/archive/2007/09/09.html ]
 --- ifmail v.2.15dev5.4
  * Origin: Demos online service (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 Russian Security Newsline 14.11.2007   Dmitry Leonov   14 Nov 2007 03:23:27 
Архивное /ru.internet.security/218748b885cec.html, оценка 1 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional