Комментарии к статье ""

Очень прикольная статья...

Половина web-mail ящиков... Работает на основе к.л. фриварных компонентов... например очень распостранен NeoWebMail или Horde IMP...

Действительно реально работающий способ ;)

Ответ DL:

Я все удивляюсь, что народ изобретает яваскрипты и апплеты для прослушивания портов, когда все, что нужно взломщику, передается в открытом виде! :)

Знаю одну систему онлайн магазинов, где всем желающим дают бесплатно открыть в нем свой отдел (на время или вроде того):)

Ответ DL:

Наверное, думали сделать удобнее покупателям. Но это же бред. :) ()

Если дыра - значит нора, если нора, значит Rabbit :) (VinniPooh)

а в целом никто даже не представляет, что можно сделать с серверами "ведуших н-ских" провайдеров работающих на фриваре

Ответ DL:

Не знаю, не знаю. Фривар этот, кажись, массового пользования, да и с деньгами связан. А вот почтовая система у каждого сервиса своя собственная.

Ну не знаю. Я в свое время ради интереса что-то подобное делал (имеется ввиду защита). Делалось проще, генерился id по IP, паролю и чему-то еще - и во время генерации страницы - этот id сверялся и генерился заново и заносиля в базу. Такой способ был жесток для пользователя (при попытке рефреша он вылетал на логин) - но действовал - пока никто не сломал :))

Ответ DL:

В форуме PHPClub обсуждается нечто похожее - я там тоже свой метод предложил. Две куки. В одной логин, в другой - хэш от времени загрузки страницы, хэша пароля и буквы "Ы". Программа лезет в базу, берет запись с таким логином, составляет хэш и сверяет его с полученным из куки.

А! О! IP-то не проверяется!!! На hackzone же пишут, что яваскрипт может и куку выкусить. А значит, ее можно передать злоумышленнику. Да, проверку IP надо добавить. :)

НУ И ЧЕГО?

Дыра стара как мир!

Ответ DL:

А я взлом автоматизировал :] Не, я не претендую на первооткрывание этого дела.

А я пробовал такое но на основе SpyLog - там есть просмотр реферреров, откуда пришли на страничку. Создаем hello world (где-нибудь на народе), втыкаем в него spylog, рассылаем сслыку на страничку по бесплатным e-mail-ам. Потомо смотрим статистику странички.

Но это для бедных - кто не хочет возиться с настройкой своего сервака.

Ответ DL:

Фокус заключается в том, что ящик забирается у пользователя в считанные секунды с момента обращения к "фотке" или нажатия на ссылку.