Як вкрасти пароль

"Як вкрасти пароль"

Не те щоб сильно популярна, але живуча тема, періодично спливає з мінімальними косметичними змінами. Сьогодні в такому вигляді:

Зламати, тобто отримати пароль будь-якого ящика на mail.ru і tut.by виявляється простіше простого.
Справа в тому, що mail.ru мабуть писав якийсь корявий програміст і залишив одну істотну
помилку в своїй "роботі", докопатися до якої було досить таки складно, але ... все приходить -
потрібно тільки час. Tut.by піддається ніжевикладені способи крадіжки пароля з ящиків з тієї
причини, що там сидять ще більш криві програмісти і замість того, щоб самим написати
свою технологію роботи пошти вони її просто придбали у mail.ru.
Тепер суть помилки:
На mail.ru (і на tut.by теж) є система відновлення пароля: саме при її розробці
розробники допустили серйозну помилку:
Коли заповнюєш форму на сторінці відновлення пароля і натискаєш "Відправити",
відправляється лист до "mail-роботу", який при правильному поєднанні "Питання - Відповідь"
відправляє користувачеві пароль. Як з'ясувалося - цей "робот" з самого початку писався для
багатофункціональної роботи: наприклад можна йому вислати пароль і ім'я ящика - і тоді
він видасть відповідь на "секретне питання", або відіслати відповідь на "секретне питання" і логін -
тоді вам буде надіслано пароль і т.д. Але це ще півбіди. Виявляється якщо надіслати "роботу"
ім'я ящика (логін), пароль на нього і відповідь на "секретне питання", а як невідоме вписати
якесь ім'я ящика (логін), що знаходиться на цьому сервері, то робот надішле нам пароль
на цей ящик!
Тепер що і куди треба слати:
Mail-програма, яка приймає запити користувачів про забутих паролі встановлена ​​на
[email protected] (у tut.by це - [email protected]). У тілі листа починаючи з 1-го рядка
потрібно писати:
<. q_reppair=
$ Default-box: "імя_вашего_ящіка_полностью";
$ Default-pass: "пароль_вашего_ящіка";
$ Default-answ: "ответ_на_секретний_вопрос";
?a_reppair =
$ Unknown-box: "імя_ящіка_пароль_которого_хотіте_узнать";
$ Unknown-pass: "#take # unknown-pass>";
$ CI: mail-box: "сюда_ещё_раз_імя_ящіка_жертви";
?>

Сьогодні в такому вигляді:

DoSTR +1
і це стосується не тільки пошти, бачив розлучення пов'язані з ігровим акаунтом різних онлайн ігор, люди в метою наживи самі втрачають своє

Ща ось натрапив на форумі огам (ну гра така он-лайн - я Гама в неї, ну і не тільки я, наш форум представляє свої інтереси в тій грі вже майже два роки.) На ще черговий шедевр, а ще краще перл, страхітливий перл:

не знав, що він IP-шник не приховує. А ось наскільки я розумію, мій вибір (і до речі безкоштовний) - toonel, приховує і ще як приховує.

мда. приховати айпі. Ну, в принципі, взагалі, приховати можна тільки свій локалхост 127. при бажанні, а ось перебуваючи в мережі приховувати. сенс? від кого? навіщо.

Че-то разашолЬсіа я апять.

P.P.S. Для тих, хто не зрозумів про що я - питайте.

P.P.P.S. Тока зауважив, все до кінця відразу не прочитав. (Ну просто безглуздий марення мій розум збентежив). ОСЬ.

Jolly Rojer, само собою, ніхто ВРЮ пошту, що проходить через мейл.ру НЕ Новомосковскет. А ось поставити фільтри, які будуть витягувати з трафіку листи з набором певних слів і словосполучень, справа нескладна. І для ФСБ корисне.

Додано через 4 хвилини
ed13 - Все абсолютно правильно.

Повідомлення від tar

наприклад замість "сьогодні купив ядерну боєголовку 4 мегатонн" напишуть "купив 4 кілограми яблук".

Контекстно-лінгвістичне (Під яке слово згадав!) Шифрування настільки старо, на скільки і не піддається злому.
З цієї позиції - все, кому потрібно приховати текст свого соообщенія давно захищені.
Перехоплення (і прочитання - припустимо, спецслужбами) листів спрямований на недопущення розширення "армії".

The worst foe lies within the self.