December 26th, 2008

СУП продолжает рулить :(

СУП - это не я, а бравые разработчики русского сегмента ЖЖ.

Дописываю поздравлятор, а пока отдыхал - случайно нашел огромную дырень в безопасности суповского жж :(

Если в двух словах - ваш логин в ЖЖ может получить любой прохожий. А путем совсем нехитрого шаманства - и пароль. Вот такие дела, народ.
Интересно, неужели никто из мегакулхацкеров пионэрского возраста еще эту дырку не нашел? Для того, чтобы ей пользоваться, ничего, кроме азов OpenId, знать не надо. Любой скрипткиддер справится.
Защититься от этого можно. Если у вас стоит любой файерволл или любой фильтр адресов - хотя бы файрфоксовский ABP - наглухо заблокируйте адрес

http://www.livejournal.com/openid/server.bml?openid.mode=checkid_immediate

Это туда, на ЖЖ-сервер авторизации по OpenID, стучит СУПовский сервер и просит все ваши данные в режиме checkid_immediate, что по-русски - "отдать ваш логин без вашего ведома, ничего у вас не спрашивая". Вся фишка в том, что сам ЖЖ-сервер работает правильно и кому попало эту информацию не даст - только доверенным серверам. В число которых они сдуру включили и суповский http://account.livejournal.ru. И вот суповский работает перректально: любой Вася может стукнуть в него, и суповский, как честный идиот, спросит у ЖЖ-шного ваши данные и переправит их этому самому Васе.