Еще раз о новом мобильном приложении Пикабу и безопасности пользователей
В ответ на:
Вставлю свои пять копеек как программист и человек, который занимается поиском уязвимостей НЕ ТОЛЬКО на сайтах.
Прежде чем обвинять кого-то в массовом складировании логинов и паролей от аккаунтов, для начала стоит подучить матчасть.
Отсутствие API пикабу совершенно не означает, что всё взаимодействие мобильного приложения с сайтом завернуто на сторонний сервер. Единственный код, который взаимодействует НЕ с pikabu.ru - это код, который обращается к удаленному парсеру постов (ибо это весьма затратное дело для мобильного устройства).
Рассмотрим то, как это приложение авторизуется на Пикабу.
Вот код сего метода:
Вкратце поясню происходящее:
1. Мобильное приложение получает специальный токен для защиты от межсайтовых запросов (CSRF) с pikabu.ru (не с чужого сервера, а именно с pikabu.ru!), без него сервер не примет ни один запрос.
2. Мобильное приложение делает запрос авторизации к pikabu.ru, максимально копируя запрос браузера (такой же вы можете увидеть в отладчике браузера при авторизации), заметьте, снова только pikabu.ru и никаких сторонних ресурсов!
3. Приложение сохраняет полученный идентификатор сессии и все дальнейшие запросы делает ИСКЛЮЧИТЕЛЬНО к pikabu.ru
Так вот, не подскажете-ли вы, уважаемый , на каком из данных этапов приложение ворует логины и пароли и злостно передает их негодяям-разработчикам? Быть может вы воспользуетесь всем известным ПО (например, dex2jar+jad), получите код приложения и вернетесь с аргументами?
Возникает другой вопрос: быть может это не разработчики неквалифицированные, а ?
Вставлю свои пять копеек как программист и человек, который занимается поиском уязвимостей НЕ ТОЛЬКО на сайтах.
Прежде чем обвинять кого-то в массовом складировании логинов и паролей от аккаунтов, для начала стоит подучить матчасть.
Отсутствие API пикабу совершенно не означает, что всё взаимодействие мобильного приложения с сайтом завернуто на сторонний сервер. Единственный код, который взаимодействует НЕ с pikabu.ru - это код, который обращается к удаленному парсеру постов (ибо это весьма затратное дело для мобильного устройства).
Рассмотрим то, как это приложение авторизуется на Пикабу.
Вот код сего метода:
Вкратце поясню происходящее:
1. Мобильное приложение получает специальный токен для защиты от межсайтовых запросов (CSRF) с pikabu.ru (не с чужого сервера, а именно с pikabu.ru!), без него сервер не примет ни один запрос.
2. Мобильное приложение делает запрос авторизации к pikabu.ru, максимально копируя запрос браузера (такой же вы можете увидеть в отладчике браузера при авторизации), заметьте, снова только pikabu.ru и никаких сторонних ресурсов!
3. Приложение сохраняет полученный идентификатор сессии и все дальнейшие запросы делает ИСКЛЮЧИТЕЛЬНО к pikabu.ru
Так вот, не подскажете-ли вы, уважаемый , на каком из данных этапов приложение ворует логины и пароли и злостно передает их негодяям-разработчикам? Быть может вы воспользуетесь всем известным ПО (например, dex2jar+jad), получите код приложения и вернетесь с аргументами?
Возникает другой вопрос: быть может это не разработчики неквалифицированные, а ?
Borle
Vicolya
sqrrl
SpeedCuber