Comments | strangeraven: приватность в соцсетях

strangeraven

приватность в соцсетях

Jun 07, 2012 19:09

ВНЕЗАПНО выяснил, что все фотографии, которые скрыты настройками приватности, доступны кому угодно по прямому url. Проверил facebook, вконтакте, одноклассники, яндекс фотки - везде так. И никто на это не заморачивается. Поразительно ( Read more... )

Comments 5

alll June 7 2012, 15:29:53 UTC

Ну логика вроде простая - если кто получил доступ к фотографии, то он может передать фотографию кому угодно даже если url для остальных закрыт. Ну то-есть чего защищать url если фотография уже и так уплыла. ;)

Правда эта логика не учитывает особенности нынешних поисковиков, но ничто ведь не совершенно. ;)

strangeraven June 8 2012, 05:31:40 UTC

тоже над этим думал, пытаюсь прикидывать возможность атаки по этим url
можно простым брутфорсом, но остается задача как сопоставить фотки и юзеров
но на первый взгляд выглядит как дыра

alll June 8 2012, 06:19:23 UTC

Так а чего буртфорсом - атаку через поисковики несколько месяцев назад нам уже демонстрировали. Приложения от поисковых систем, фактически явлляющиеся spyware, стоят на компьютерах огромного числа пользователей - и поисковики с удовольствием индексируют все ссылки, которые эти пользователи посещают.

Ну то-есть берётся подстрока, характерная для url картинок крупного сервиса, вбивается в поисковик - и поток якобы недоступных фотографий низвергается в базу данных атакующего бурным домкратом.

Как сопоставить - нанимаются за смешные деньги стотыщ китайцев на крупный соцсервис взгромождается рекапча с задачей "найди пары фоток с одинаковыми лицами". ;)

plakhov June 7 2012, 16:02:51 UTC

а в Яндекс.Фотках так, не проверял?

strangeraven June 8 2012, 05:50:43 UTC

тоже так