> ________________________________
>
> Утечка LJ-паролей в Яндекс.Ленте
> <
> 5739/9570=9730=9836=t7=4979/m4696343/-/bugtraq.ru/rsn/archive/
> 2007/02/02.html>
> dl // 03.02.07 20:57
> Яндекс.Лента провела сеанс наглядной демонстрации того,
> чем может обернуться передача каких-либо паролей сторонним сервисам.
>
> Как известно, LiveJournal поддерживает схему
> аутентификации пользователей с передачей логина/пароля
> непосредственно в url - в основном это используется для
> доступа к так называемым подзамочным записям своих друзей из
> различных программ-агрегаторов. Этот же механизм
> использовался некоторыми пользователями и для чтения таких
> записей через Яндекс.Ленту.
>
> Не могу гарантировать точности описания всех деталей,
> поскольку дырка уже прикрыта, но такое ощущение, что после
> первого добавления ленты LJ-пользователя ее адрес запоминался
> (вместе с логином/паролем) и в дальнейшем использовался
> повторно уже при подключении другими пользователями. Причем
> не только использовался, но и легко этими самыми другими
> пользователями просматривался. Видимо, ошибка была связана с
> попыткой избежать скачивания одной ленты каждый раз для
> каждого добавившего, только вот при поиске дубликатов
> почему-то было принято решение игнорировать пароли.
>
> Так что всем использовавшим Яндекс.Ленту для чтения LJ
> по описанной схеме стоит срочно сменить свои LJ-пароли.
> Кстати, если причина ошибки угадана правильно, то она
> позволяла читать подзамочные записи пользователей и не только
> их друзьям...
> Источник: netlux LJ
> <
> 5739/9570=9730=9836=t7=4979/m4696343/-/netlux.livejournal.com/
> 1320.html>
> обсудить
> <
> 5739/9570=9730=9836=t7=4979/m4696343/-/bugtraq.ru/cgi-bin/foru
> m.mcgi?type=sb&b=17&m=141450>
> ________________________________
