безопасность в интернетах

Feb. 7th, 2014 04:53 am
[identity profile] white-thesis.livejournal.com posting in [community profile] useful_faq
Hi
Случайно обнаружил, что сайт gazeta.ru "знает" тот логин, под которым я зашел в ЖЖ.
Как они (нехорошее слово из 48 букв) это делают? куки прут что-ли? НО КАК?
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only
(deleted comment)

Date: 2014-02-07 01:19 am (UTC)
From: [identity profile] white-thesis.livejournal.com
Нет.
OpenID всего лишь позволит сайту авторизовать меня, когда я _укажу_ свой ID.
Я укажу oID, сайт переспросит у oID-провайдера подтверждение моей авторизации, провайдер либо сразу подтвердит либо потребует у меня пароли.

Но начинается этот процесс с того, что я предъявлю целевому сайту свой ID

Чего я в данном случае НЕ ДЕЛАЛ. На сайте gazeta.ru я ничего не указывал. Не логинился.

Поэтому и спрашиваю.

Date: 2014-02-07 10:36 am (UTC)
From: [identity profile] dims12.livejournal.com
Всё равно. Они просто не спросили у Вас разрешения на OpenID, но всё равно это OpenID. То есть, они не знают Вашего пароля, а авторизуются через ЖЖ.

Date: 2014-02-07 09:44 pm (UTC)
From: [identity profile] white-thesis.livejournal.com
Вы или не поняли вопрос или не очень хорошо представляете себе процесс обмена информацией.

Правильный ответ - или по крайней мене очень правдоподобный - ниже дал robinbobin

Date: 2014-02-07 01:38 am (UTC)
From: [identity profile] robinbobin.livejournal.com
эти педики создают поддомейн типа gazeta.livejournal.com
который на самом деле находится на калифорнийских серверах принадлежит газете. и все куки херачатся к ним.

омерзительная практика

Date: 2014-02-07 01:50 am (UTC)
From: [identity profile] hoochecooheman.livejournal.com
А что в этом такого?

Date: 2014-02-07 04:35 am (UTC)
From: [identity profile] spacediver.livejournal.com
Не-не, все *.livejournal.com принадлежит LJ.

Другое дело, что они, похоже, действительно извернулись, перенаправив свой lj.gazeta.ru на livejournal.com (это можно, LJ позволяет хостить LJ-блоги под другими доменами).

Но я пока в упор не понимаю, как логиновая информация от lj.gazeta.ru (который хостится у LJ, лишь только отвечает с домена lj.gazeta.ru) пробрасвывается на www.gazeta.ru — отдельный сайт?

Date: 2014-02-07 10:35 pm (UTC)
From: [identity profile] white-thesis.livejournal.com
>> Но я пока в упор не понимаю, как

Вот и я о том же.
Кстати, сейчас заглянул в куки: так вот, gazeta.ru установила
ljdomsess.__external
И он содержит частичное пересечение с
ljsession
который установлен livejournal.com

А зная мой session_id текущей сессии ЖЖ эти ребята могут, при некоторых условиях, хоть посты строчить в ЖЖ от моего имени.
Офигительно

Date: 2014-02-07 06:35 am (UTC)
From: [identity profile] lemon-grass.livejournal.com
Фейсбучина тоже как-то это делает. Они просили меня плменять пароль, и не принимали мой пароль, т.к я использую его на других сайтах. Как узнали - вопрос. Решение - удалила аккаунт фейсбучины.

Date: 2014-02-07 11:10 am (UTC)
From: [identity profile] shackled-koenig.livejournal.com
OpenID

Date: 2014-02-08 10:03 am (UTC)
From: [identity profile] chaotic-sys.livejournal.com
Если в браузере отключить third-party cookies, то газета.ру опознать вас не сможет.

Date: 2014-02-09 01:39 am (UTC)
From: [identity profile] white-thesis.livejournal.com
Это само собой. Opera. Accept only cookies from the site I visit.

Не помогает, как видите.

Date: 2014-02-09 04:10 am (UTC)
From: [identity profile] chaotic-sys.livejournal.com
У меня Firefox. Параметр "Accept third-party cookies", выпадающий список "Always/From Visited/Never". Сразу же после того, как выбираю Never, на сайте газета.ру перестают меня узнавать как залогиненого жж-пользователя.

Проверил в ИЕ10. Если "Accept All Coockies" - то узнают. Как только передвигаю ползунок на "Low Level Privacy"(даже не Middle, что по умолчанию) - узнавать перестают.
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only