Я чего-то не пойму. У них чего не SSL? Разве такое может быть? :confused:

<form action="http://w20.odnoklassniki.ru/cdk/st.cmd/login/tkn/4264" method="post"><div><input value="set" type="hidden" name="st.posted">

Ну, это огромная дыра в безопасности.

Ну, это огромная дыра в безопасности.

Обьясните, пожалуйста. :)

Если кто–то балуется одноклассниками в Старбаксе, плохие парни могут украсть его пароль, [snooping on the traffic]

Если кто–то балуется одноклассниками в Старбаксе, плохие парни могут украсть его пароль, [snooping on the traffic]

Спасибо! То есть, защита слабая?

Спасибо! То есть, защита слабая?
Это существенная ошибка разработчиков. Она позволяет пассивно готовить (подслушиванием) атаку на сервис, н.п., распространять трояны с аккаунтов ничего не подозревающих пользователей.

Это существенная ошибка разработчиков. Она позволяет пассивно готовить (подслушиванием) атаку на сервис, н.п., распространять трояны с аккаунтов ничего не подозревающих пользователей.

А исправить это нельзя? Или уже поздно?

А они ещё хвастаются "нас 18 миллионов и это не предел". Мнда...

Если кто–то балуется одноклассниками в Старбаксе, плохие парни могут украсть его пароль, [snooping on the traffic]

И не только в Старбаксе, везде могут "прослушать" и "пронюхать".

russianamerica небось тоже не SSL.

russianamerica небось тоже не SSL.
Не ССЛ, но пароль в открытую не шлет. Шлет МД5 от ника+пароль, что безопасно.

Ну, это огромная дыра в безопасности.
И что будет?

Если человек регистрируется на сайтах типа "Одноклассников", то он заранее должен быть уверен, что все его данные типа е-майл однозначно пойдут спамерам в базы. :D

Не ССЛ, но пароль в открытую не шлет. Шлет МД5 от ника+пароль, что безопасно.

Аааа, вот как. МД5 генерируется прямо на странице? Так всё равно и это можно кракнуть, кому надо.

И что будет?

Если человек регистрируется на сайтах типа "Одноклассников", то он заранее должен быть уверен, что все его данные типа е-майл однозначно пойдут спамерам в базы. :D

Здесь не только е-майл, например если ты пользуешься этим же паролем в разных местах (что вполне вероятно), то и, другое место тоже могут вскрыть, а это может быть и банк.

А исправить это нельзя? Или уже поздно?
Можно и тривиально.

И что будет?

Если человек регистрируется на сайтах типа "Одноклассников", то он заранее должен быть уверен, что все его данные типа е-майл однозначно пойдут спамерам в базы. :D
Если сайт уважает прайваси, то есть хорошо известные и простые способы этого не допустить.

Аааа, вот как. МД5 генерируется прямо на странице? Так всё равно и это можно кракнуть, кому надо.
МД5 обсуждается на Википедии, с его проблемами... Не МД5, так есть МД6 или ША1. В общем, [reversing a one-way hash] является криптографически сложной задачей, т.е., пока у вас нет квантового компьютера, вы будете ломать хеш дольше, чем вселенная проживет... В таком духе.

Аааа, вот как. МД5 генерируется прямо на странице? Так всё равно и это можно кракнуть, кому надо.
Решил забрать назад свои слова о безопасности. Да, это кракается (так как сделано), путем [replay attack]. Чтобы усилить защиту, я бы встроил в форму случайное число, участвующее в вычислении хеша, и годное пусть 5 минут, и тогда [replay] должен произойти в течении 5 минут, что проблема для хакера.

Здесь не только е-майл, например если ты пользуешься этим же паролем в разных местах (что вполне вероятно), то и, другое место тоже могут вскрыть, а это может быть и банк.
Здрасссссссте! А разве так делается?????:eek:

Здрасссссссте! А разве так делается?????:eek:

По любому вероятность есть и не маленькая.

Решил забрать назад свои слова о безопасности. Да, это кракается (так как сделано), путем [replay attack]. Чтобы усилить защиту, я бы встроил в форму случайное число, участвующее в вычислении хеша, и годное пусть 5 минут, и тогда [replay] должен произойти в течении 5 минут, что проблема для хакера.

Это уже почти SSL будет, в принципе. А ключ: случайное число.