Довольно забавная ошибка, хотя потенциально применимая для целенаправленного использования. Проявилась в тот момент, когда Антон Носик опубликовал в своем журнале ссылку на одноклассническую страницу организатора беспорядков, случившихся на вчерашних политических дебатах. В ссылку был включен идентификатор сессии, что привело к весьма своеобразным последствиям.
Во-первых, страница стала доступна и незарегистрированным пользователям (возможно, идентификатор сессии и был включен ради этого, а не просто по неосторожности). Во-вторых, после ее открытия переход по ссылкам верхнего меню ("Моя страница", "Мои сообщения") приводит к отображению соответствующих страниц случайных (или не очень) пользователей сервиса, дает просматривать личные сообщения, фотографии, редактировать профиль и т.п.
По одной из версий, таким образом засвечивается страница пользователя, перед этим прошедшего по ссылке с идентификатором сессии. Если это предположение правильно, то существует возможность целенаправленной атаки путем заманивания на соответствующую ссылку. Звучит вполне правдоподобно, впрочем, однозначно подтвердить эту версию, попеременно заходя с нескольких аккаунтов, лично мне не удалось - то ли поток желающих пройтись по ссылке стал слишком велик, то ли источник проблемы все-таки в чем-то другом.
Похоже, что ошибки вокруг запоминания логина становятся настоящим бичом онлайновых сервисов.
Update. Дырку довольно оперативно закрыли, но, судя по интенсивно меняющимся в последние минуты ее существования фотографиям и именам, желающих покуражиться над чужими аккаунтами оказалось не так уж мало (а что было бы, попади эти 3.5 часа на пик рабочего времени, и представить страшно). Так что пользователям из "группы риска", сходившим по носиковской ссылке, как минимум стоит наведаться на свою страницу.
Источник: dolboeb lj
0 коммент.:
Отправить комментарий