Попытка спровоцировать сброс контроля сессии функцией восстановления пароля не увенчалась успехом. Техническая поддержка сообщает, что никакой жёсткой привязки к сессии нет, но у технической поддержки попросту нет информации о механизме защите авторизации в момент передачи чувствительной информации третьим лицам (оператору мобильной связи). На просторах инета мне удалось найти несколько сотен высказываний людей в духе "я разморозил страничку, а теперь не входит с новым паролем". Вот лишь один из сотен примеров.
Пума Тайланд, если вы несёте чушь про "пароль меняется не сразу" (этот же бред, кстати, несут блондинки в интернетах), то диалога у нас с вами не получится.
Пума Тайланд, что-то от вас очень сильно попахивает инфоцыганом, который пиарит свой аккаунт и продаёт людям лажу. Вы рулите тысячами аккаунтов «ВКонтакте», распознаёте капчи, брутите пасы, но при этом не знаете фундаментальных основ информационной безопасности, механизмов авторизации и защиты пользователя от перехвата чувствительной информации третьими лицами.
Пума Тайланд, далеко не все. Если производится сверка идентификатора сессии в куках, то даже в случае перехвата логина и пароля третьими лицами, авторизоваться с перехваченными учётными данными не получится. Это фундаментальный механизм от несанкционированного перехвата логина и пароля третьими лицами.
Пума Тайланд, в таком случае получается, что можно публиковать информацию о критической уязвимости ВК, которая позволяет произвести перехват чувствительной информации (логина и пароля) третьими лицами (оператором мобильной связи) с последующей успешной авторизацией.
Пума Тайланд, можете немного уточнить детали: авторизация проводится с того же IP, что и разморозка? Я пытаюсь определить, где узкое место и почему не проходит авторизация. Совершенно очевидно, что контролируется и сопоставляется какой-то из параметров подключения.
Пума Тайланд, можно гонять хоть миллион "акков", но при этом не понимать, как устроен механизм авторизации. Ещё раз объясняю, что удалив идентификатор сессии вы становитесь для ресурса злоумышленником, которому необходимо заблокировать доступ даже в случае ввода верного логина и пароля.
Пума Тайланд, ладно... Пусть вам другие участники хабра подскажут, что не стоит спорить, когда вы не понимаете, как работает механизм авторизации и механизм защиты от перехвата пароля третьими лицами.
Пума Тайланд, вас сейчас не впускает ВК не потому, что "пароль пока не изменился", а потому, что после удаления куков вы теперь для ВК являетесь злоумышленником, который перехватил у добропорядочного пользователя пароль.
Пума Тайланд, давайте не будем спорить, поскольку в данном случае не правы именно вы. Нет такого понятия "пароль меняется не сразу", поскольку пароль меняется сразу же. Если хотите, то можете исключительно для себя провести эксперимент с разморозкой аккаунта и не закрывать браузер в течение 24 часов. Авторизация после 24 часов будет сразу же по нажатию F5, поскольку сверка идентификатора сессии будет успешной.
Пума Тайланд, тут дело не во времени смены пароля, а в сверке сессии. Если сверка сессии успешная, то и авторизация будет успешная сразу же. Это механизм защиты от перехвата логина и пароля третьими лицами.
Пума Тайланд, о том и речь. Большое спасибо за тест! Теперь вопрос лишь в сроке жизни сессии. Если сессия бесконечная, то кирдык аккаунту, а если срок жизни ограничен, то это будет очень хорошо.
Размораживать их "тысячами" - это одно дело, а разморозить и удалить куки, а потом попытаться авторизоваться - это совсем другое. Системой безопасности данное действие расценивается в качестве промежуточного перехвата логина и пароля. С вероятностью в 99% идёт сверка открытой в процессе разморозки сессии.
Написано
Войдите на сайт
Чтобы задать вопрос и получить на него квалифицированный ответ.
