AM
А чем в этом плане basic auth отличается от красивой формочки? 🤔
наличием капчи
Size: a a a
2021 March 17
VP
наличием капчи
Вот прям в каждой первой админке есть капча, ага
AM
Вот прям в каждой первой админке есть капча, ага
Если капчи нет, здачит это дырка не хуже basic auth. Мне последнее время сложно найти место, где бы не было капчи
VP
Если капчи нет, здачит это дырка не хуже basic auth. Мне последнее время сложно найти место, где бы не было капчи
Брутишь всё подряд что ли? 😏
AM
Брутишь всё подряд что ли? 😏
Уже нет) Просто по пользовательскому опыту говорю
U
Я придумал чудовище! Аутентификацию по аргументу в urlе
U
Чтобы все ссылки на портале для пользователя содержали его токен
U
Поделился ссылкой - считай поделился аккаунтом
AD
Konstantin dmz9
интересно а эта выручка именно через ГП или в принципе
"в принципе" - это надо в карман к разработчику залезть?
VB
Если капчи нет, здачит это дырка не хуже basic auth. Мне последнее время сложно найти место, где бы не было капчи
Практически в 99.99% вебморд железа нет. Но! Я видал hp коммутаторы с уапчей и счёл это полным зашкваром.
AM
V B
Практически в 99.99% вебморд железа нет. Но! Я видал hp коммутаторы с уапчей и счёл это полным зашкваром.
они часто с локалки только и юзаются. а всякие циски, наверняка, можно капчей снабдить
AM
Я придумал чудовище! Аутентификацию по аргументу в urlе
старо как мир. юзалось ещё в нулевых через PHPSESSID. В итоге вставляешь картинку на форум и с помощью access_log через поле реферера собираешь токены всех юзеров
AM
дырка была мирового масштаба! че только не ломалось
U
А, да... ucoz.
AM
а ещё я помню времена, когда каждый 3ий сайт был с sql inj и каждый второй с csrf
U
Помню помню, кошмарил там форумы
AM
А, да... ucoz.
у него как на те времена крутой интерфейс был. Это надо же в 10ые повторить интерфейс окон в вебе!
U
И csrf, который картинкой с редиректом на логаут валил неугодные треды
U
Я был школьником и тупым, считаю это оправданием своих действий
VB
они часто с локалки только и юзаются. а всякие циски, наверняка, можно капчей снабдить
Вообще-то делается проще - есть старые добрые ssh тунели и сертификаты. А там уже всё подряд. Что касается брута.... если логин генерится то всё очень забавно - за годы набегов ботнетов судя по логам никто даже не пытался отойти от словарей. 😜