Сессия ВКонтакте после разморозки аккаунта. Контроль сессии вечный?
В процессе разморозки временно заблокированного аккаунта ВКонтакте был введён виртуальный номер телефона и новый пароль. После чего был произведён выход и повторная авторизация для проверки новых учётных данных — авторизация прошла успешно, логин и пароль верные. Затем, по случайному стечению обстоятельств, были удалены куки. После стандартных 24 часов ожидания и окончательной разморозки страницы невозможно произвести успешную авторизацию — выдаётся ошибка неверного логина/пароля, но логин и пароль 100% верные. Очевидно, что алгоритм системы безопасности находится в режиме повышенной перевозбудимости и ожидает авторизацию исключительно в рамках открытой в процессе разморозки страницы сессии.
Вопрос: У кого-нибудь есть информация о времени жизни этой сессии? Стоит ли ждать? Или в данном случае контроль сессии вечный?
P.S.: Надеюсь очевидно, что не стоит предлагать сбросить контроль сессии методом сброса пароля через SMS, поскольку номер недоступен.
Нет никакого контроля, размораживаю их тысячами и не встречал такой проблемы, вы надумали эту ситуацию, с вероятностью 99 вы просто неправильно записали новый номер или пароль
Размораживать их "тысячами" - это одно дело, а разморозить и удалить куки, а потом попытаться авторизоваться - это совсем другое. Системой безопасности данное действие расценивается в качестве промежуточного перехвата логина и пароля. С вероятностью в 99% идёт сверка открытой в процессе разморозки сессии.
Пума Тайланд, о том и речь. Большое спасибо за тест! Теперь вопрос лишь в сроке жизни сессии. Если сессия бесконечная, то кирдык аккаунту, а если срок жизни ограничен, то это будет очень хорошо.
Pruved, Ну так пройдёт день или два и пароль сменится и я зайду в аккаунт с новыми данными, это тест на несколько дней, вы явно не понимаете как работает смена паролей в ВК
Пароль меняется не сразу если номер телефона новый и был же этого подвязан номер.
Пума Тайланд, тут дело не во времени смены пароля, а в сверке сессии. Если сверка сессии успешная, то и авторизация будет успешная сразу же. Это механизм защиты от перехвата логина и пароля третьими лицами.
Pruved, Нет вы не правы, этого же стандартная разморозка, так всегда происходит и происходило, я же специально вам в деталях жаль информацию чтобы развеять вашу теорию, завтра аккаунт отлично залогиниться под новым паролем и логином как всегда
Пума Тайланд, давайте не будем спорить, поскольку в данном случае не правы именно вы. Нет такого понятия "пароль меняется не сразу", поскольку пароль меняется сразу же. Если хотите, то можете исключительно для себя провести эксперимент с разморозкой аккаунта и не закрывать браузер в течение 24 часов. Авторизация после 24 часов будет сразу же по нажатию F5, поскольку сверка идентификатора сессии будет успешной.
Пума Тайланд, ладно... Пусть вам другие участники хабра подскажут, что не стоит спорить, когда вы не понимаете, как работает механизм авторизации и механизм защиты от перехвата пароля третьими лицами.
Пума Тайланд, вас сейчас не впускает ВК не потому, что "пароль пока не изменился", а потому, что после удаления куков вы теперь для ВК являетесь злоумышленником, который перехватил у добропорядочного пользователя пароль.
Пума Тайланд, можно гонять хоть миллион "акков", но при этом не понимать, как устроен механизм авторизации. Ещё раз объясняю, что удалив идентификатор сессии вы становитесь для ресурса злоумышленником, которому необходимо заблокировать доступ даже в случае ввода верного логина и пароля.
Pruved, ну чувак мы реально очень много размораживаем и прекрасно знаем как происходит процесс, завтра ак сменит пароль и я в него зайду просто поддожди.
Пума Тайланд, можете немного уточнить детали: авторизация проводится с того же IP, что и разморозка? Я пытаюсь определить, где узкое место и почему не проходит авторизация. Совершенно очевидно, что контролируется и сопоставляется какой-то из параметров подключения.
Пума Тайланд, в таком случае получается, что можно публиковать информацию о критической уязвимости ВК, которая позволяет произвести перехват чувствительной информации (логина и пароля) третьими лицами (оператором мобильной связи) с последующей успешной авторизацией.
Пума Тайланд, далеко не все. Если производится сверка идентификатора сессии в куках, то даже в случае перехвата логина и пароля третьими лицами, авторизоваться с перехваченными учётными данными не получится. Это фундаментальный механизм от несанкционированного перехвата логина и пароля третьими лицами.
Pruved, что значит не получится у ВК что куки украсить можно и авторизоваться, что логин пароль и авторизоваться , нет никакой там доп защиты , с Брутами тоже не первый год рабочем
Пума Тайланд, что-то от вас очень сильно попахивает инфоцыганом, который пиарит свой аккаунт и продаёт людям лажу. Вы рулите тысячами аккаунтов «ВКонтакте», распознаёте капчи, брутите пасы, но при этом не знаете фундаментальных основ информационной безопасности, механизмов авторизации и защиты пользователя от перехвата чувствительной информации третьими лицами.
Pruved, Вообщея занимаюсь только своими проектами нынче, никому ничего не продаю))))
Да я то это все знаю, но ВКонтакте не использует ни одну из схемы которые вы называете, по крайней мере ни разу в жизни я не встречал примечания такой схемы, а это говорит о том что таких схем нет.
Я специально потратил время и провел эксперимент для вас чтобы наглядно это показать , чтобы вы могли отбросить свои догмы и выбрать правильный ответ, но вам как фанатику это не помогло, давайте ещё раз этот же самый эксперимент повторим чтобы вы поверили?
Пума Тайланд, если вы несёте чушь про "пароль меняется не сразу" (этот же бред, кстати, несут блондинки в интернетах), то диалога у нас с вами не получится.
Прошло 72 часа. Авторизация с верным логином и паролем по-прежнему проваливается. Всё попахивает тем, что контроль сессии бесконечный. Необходимо каким-то образом спровоцировать сброс сессии на стороне сервера. Единственный вариант решения этой проблемы, который мне приходит в голову - это спровоцировать сброс сессии функцией восстановления пароля. Чисто теоретически, в случае попытки сброса пароля при помощи этой функции, сторона сервера может перейти в режим ожидания авторизации с неопределённого устройства вне рамках ранее открытой сессии.
Попытка спровоцировать сброс контроля сессии функцией восстановления пароля не увенчалась успехом. Техническая поддержка сообщает, что никакой жёсткой привязки к сессии нет, но у технической поддержки попросту нет информации о механизме защите авторизации в момент передачи чувствительной информации третьим лицам (оператору мобильной связи). На просторах инета мне удалось найти несколько сотен высказываний людей в духе "я разморозил страничку, а теперь не входит с новым паролем". Вот лишь один из сотен примеров.
Простой
