04.11.2010 11:39 | ||
Neuro |
Спец может много накопать. Вот одна из историй: http://www.xakep.ru/post/40673/default.asp |
|
03.11.2010 23:36 | ||
sskorykh |
Цитата:
В случае распределенных систем куки неприменимы в принципе. При авторизации в Гугле после нажатия на кнопку логина браузер посылает POST-запрос на адрес https://www.google.com/accounts/ServiceLoginAuth. Затем пользователя редиректят на mail.google.com примерно с такими параметрами: https://mail.google.com/mail/?pli=1&...GwaYaBaHNUntqg... Рискну предположить, что здесь параметр auth задает идентификатор сессии. Сервис авторизации и GMail - совершенно разные системы, но они если на GMail пришел запрос с таким вот параметром, то GMail спрашивает у сервиса авторизации, а что это за парень с auth=DQAAALwAAACXNFJsGwaYaBaHNUntqg... и, получив ответ, дает мне доступ к собственной почте. Скорее всего он в этот момент поставит сессионную куку, чтобы не напрягать сервис авторизации повторно. А Опера у тебя глючит, потому что это старая Опера. Это был чудовищно глючный браузер, а ты его сто лет не обновлял. |
|
03.11.2010 22:27 | ||
sskorykh |
Цитата:
Для этого существуют публичные сервисы, например вот этот: http://www.whois-service.ru/lookup/ . Существуют базы IP-адресов с привязкой к странам, областям, городам. Публично доступны лишь самые общие данные. Простым смертным базу с детализацией надо покупать. Подавляющему большинству пользователей IP-адреса выдаются динамически. То есть он работает не с одного конкретного адреса, а с одного из нескольких. Приведу пример того, как вычисляют злоумышленников. Реальная история. После падения башен-близнецов некий молодой человек отправляет в посольство США электронное письмо с угрозами. Технические параметры письма попадают в ФСБ, где вычисляют организацию, за которой закреплен домен/адрес. К провайдеру приходят люди в сером и спрашивают, кем использовался IP-адрес в указанный момент времени. Выясняется, что адрес был предоставлен некоему ВУЗу. Люди в сером отправляются в ВУЗ и выясняют, кто именно работал на компьютерах в это время. Человека вычислить оказалось несложно, потому как об отправке письма он похвастался однокурсникам. Для молодого человека, говорят, история закончилась плачевно. Итак, процесс получения данных о человеке по IP-адресу сродни гаданию по юзерпику. Пока не пришли люди в сером. |
|
03.11.2010 22:22 | ||
tvv385 |
Славик, а ты разбирался, почему опера глючит с половиной сайтов, начиная от гугля кончая "пакетами" сайтов и форумов вроде идеал -соционические форумы - еще там целый выводок?.. Яндекс тоже глючил, но после переписки с суппортом стало лучше... Там логин сделан только на специальной странице. Типа логинешься(ставит куки) - а потом идет переадресация уже после общего логина для всех сайтов на тот сайт, который нужен(они вообще многие в совершенно разных доменах)... Ну дак вот, при такой халтуре работают отлично все бровзеры, кроме оперы. Догадайся где защита данных сделана лучше... |
|
03.11.2010 22:12 | ||
sskorykh |
Цитата:
Еще следует упомянуть, что идентификатор сессии генерируется очень хитрым способом. Я исследовал этот вопрос 4 года назад на примере ASP.NET. Не помню уже деталей, но помню что пришел к такому выводу: если мой браузер получил идентификатор сессии и я тут же попробую отправить запрос из другого браузера с точно таким же идентификатором, то меня ждет облом. То есть даже кража сессии является весьма нетривиальной задачей. Ну и последнее. Куки - очень плохое место для хранения данных. Слишком велики шансы эти данные потерять. Поэтому в реальной практике для хранения ценной информации они не используются. |
|
02.11.2010 15:54 | ||
tvv385 | типа некоторым нравиться морочить голову спецслужбам - надо же как-то развлекаться, а то скучно | |
02.11.2010 13:40 | ||
Atelle | типа умный? | |
02.11.2010 13:37 | ||
Afa |
гг давай я на твой ресурс как-нить заскочу. даж без проксей. и попробуй найди. дадад. мне не жалко сдать левую сетку с незакрытым вайфаем. |
|
02.11.2010 12:31 | ||
yasherka | Прокси ...Бывают еще дополнения к броузерам для смены IP.Кто нибудь знает где найти для посмотреть ? | |
02.11.2010 12:30 | ||
Atelle | ну если сильно влетишь - то и через прокси найдут | |
В этой теме более 10 ответов(а). Нажмите здесь, чтобы перезагрузить эту тему. |