wirklich_avatar: Аааааа, в почту Mail.ru можно попасть по

Маленькая Убийца (

wirklich_avatar) wrote,
@ 2008-10-10 15:42:00

Аааааа, в почту Mail.ru можно попасть по рефереру.

(Post a new comment)

	lonk 2008-10-10 02:00 pm UTC (link)
	бугога! (Reply to this)

	dibr 2008-10-10 03:07 pm UTC (link)
	У меня не получлось. Реферер намного короче чем в статье, при попытке сходить по нему сервер переспрашивает пароль... (Reply to this) (Thread)

	moola 2008-10-10 03:10 pm UTC (link)
	та же хрень. реферер другой (Reply to this) (Parent)(Thread)

	wirklich_avatar 2008-10-11 10:29 am UTC (link)
	ну ясен пень, что тот же реферер на поставят (Reply to this) (Parent)(Thread)

	dibr 2008-10-11 11:27 am UTC (link)
	Бессмысленный набор слов. Кто кого куда не поставит? (Reply to this) (Parent)(Thread)

	wirklich_avatar 2008-10-11 11:28 am UTC (link)
	я имел в виду что рабочий реферер НЕ поставят в статью (Reply to this) (Parent)(Thread)

	dibr 2008-10-11 11:32 am UTC (link)
	А при чем тут статья? Я у себя дома воспроизводил, со своим личным ящиком. Их реферер за время с момента публикации протух тыщу раз, его смысла не было проверять. (Reply to this) (Parent)(Thread)

	wirklich_avatar 2008-10-11 11:35 am UTC (link)
	значит уже не работает или это была утка (Reply to this) (Parent)(Thread)

dibr
2008-10-11 11:38 am UTC (link)

Эх, ё...
Меня вот ты отправил читать комментарии к статье, мол "там написано".
А самому перед этим их слабо прочитать?

Работает. Если пользователь ручками включил специально огороженную красными флажками опцию. Иначе (по умолчанию) - не работает.

(Reply to this) (Parent)(Thread)

	wirklich_avatar 2008-10-11 11:39 am UTC (link)
	да, сорри, уже прочитал :) интересно, много таких, что включают сами? (Reply to this) (Parent)(Thread)

dibr
2008-10-11 11:44 am UTC (link)

Ну, навскидку - если я захочу работать с двумя ящиками в пределах одного браузера, то никуда я от этой опции не денусь: через куки можно авторизовать одного пользователя на браузер, а через url - хоть по пользователю на каждое окно.

Я, правда, работаю через pop3, но может кому-то надо...

(Reply to this) (Parent)

	wirklich_avatar 2008-10-11 10:28 am UTC (link)
	так в статье же он обрезан там в комментах говорится почему (Reply to this) (Parent)(Thread)

dibr
2008-10-11 11:30 am UTC (link)

Нет. Как он может быть обрезан, если он _длиннее_?

А в комментах действительно говорится, но другое. Что хранение сессии в url - это отключенная по умолчанию опция, с предупреждением "лучше не включать".

Я проверил - да, если невзирая на предупреждения системы о небезопасности изменить настройки - это воспроизводится. Иначе - нет.

(Reply to this) (Parent)

	homer_js 2008-10-10 04:54 pm UTC (link)
	лет пять назад точно можно было потом залатали опять? (Reply to this) (Thread)

	wirklich_avatar 2008-10-11 10:31 am UTC (link)
	наверное (Reply to this) (Parent)

dibr
2008-10-11 11:36 am UTC (link)

Читаем комментарии к статье - там всё есть :-)
Дыры по умолчанию нет, но пользователь может включить её в настройках. Настройка "включить дыру" имеет человечески-понятный комментарий: «Опцию "Использовать cookie для авторизации" предпочтительно не выключать. Включение этой опции позволяет системе сохранять сессию в данном п/я, при этом не нарушая безопасности этого п/я. Выключение этой опции нарушает безопасность, так как позволяет передавать информацию на чужие сайты»
Я проверил на своем ящике - всё именно так.

А уж если кто включил себе дыру несмотря на это - то майл.ру тут не виноват.

(Reply to this) (Parent)(Thread)

	michael_de_oz 2008-10-13 09:17 am UTC (link)
	но это работает в пределах открытой сессии. (Reply to this) (Parent)

Username:		Create an Account Forgot your login or password? Login w/ OpenID
Password:
	Remember Me
	English • Español • Deutsch • Русский…

About

Help

Get Involved

Legal

Store

LJ Labs