Scorpi: я никоим образом не трогаю куки, так как этому могут помешать настройки UAC. Да и ленивый я слишком, разбираться с ними. Я получаю его иным методом, так что, похоже, можно не забывать пока что
Damir Makhmutov: да я могу дать, другое дело в том, что вместо сессии из них можно получить кучу другой полезной информации, так что нет, спасибо х) Я знаю, но в силу специфики уязвимости время может влиять (а может и нет, надо потестировать)
Damir Makhmutov: сессию вк из куков вы не украдете при всем желании, увы (или я чего-то не знаю). Да, после инвалидации она продолжает работать, во всяком случае, как минимум в течение некоторого времени (сидеть без вк ради эксперимента больше пары часов не очень хочется). Вообще, к сессии она никак не привязана, так что хоть пароли менять можно, хоть почту
Espleth: да статью я напишу в любом случае, ради этого и старался, по сути. Другое дело, что перед этим стоит пообщаться с саппортом, притом убедить их прикрыть лавочку, иначе как-то неэтично выходит... В любом случае, спасибо за советы =)
Я читал. Проблема в том, что в статье автор пишет, что в саппорте особой реакции не дождался, связался через знакомого (или не очень) человека с разработчиками.
Espleth: подсадить можно, вообще без проблем. А вот про узнает... В моей реализации я не старался подчищать следы, так что видно, что что-то произошло. Правда, непосвященному пользователю не будет понятно, что. Но это уже технические детали, которые вполне возможно реализовать
Естественно, только в вк. Вот именно из-за доступа к компу у меня и сомнения: вроде и нет особых проблем протолкнуть файлик весом в пару килобайт и запустить его в теоретическом плане (другое дело, что заниматься этим совсем не хочется), да и прав никаких для его исполнения не нужно, UAC не помеха... Но все-таки чувствуется, что могут не принять во внимание. Хотя, с другой стороны, штука получилась очень и очень неприятная