LINUX.ORG.RU

История изменений

Исправление EXL, (текущая версия) :

Back-end Opera Mini на стороне сервера, который работает на движке Presto, весьма забавная вещь. Ведь Opera Mini это не браузер, а тонкий клиент, proxy. Который не даёт тебе реальный HTML, JavaScript и CSS, а выдаёт предварительно отрендеренные JPG-картинки с некоторыми интерактивными полями. А поскольку как Opera Mini так и серверный Presto являются проприетарщиной, ты не знаешь как и что там передаётся и кому потом твои куки и пароли попадают. Тем более по открытым каналам связи, которые тогда были распространены очень широко.

Когда-то в середине нулевых, будучи ещё студентотой я очень активно пользовался Opera Mini на мобильных телефонах вроде Motorola C380 и Motorola E398 и ещё тогда у меня вошло в привычку после сеанса посещения какого-либо форума обязательно нажимать «выход». Почему? Да потому что нередки были случаи, когда я заходил на свой любимый форум через Opera Mini и внезапно оказывался в профилях совершенно разных пользователей, которые тоже использовали Opera Mini. Видимо у серверного Presto была какая-то подобная «оптимизация», баг или уязвимость.

Но в случае 2014 года данный факт ни при чём. Там МиниатюрныйРоботТанцующий сам выложил свои куки, думая что это настройки его браузера, сответственно любой бездельник (вроде тогдашнего меня) который решил тоже запустить Opera Mini и воспользоваться выложенными «настройками» попадал в его профиль.

В актуальной ситуации, рассматриваемой в этой теме вектор «атаки» мне неизвестен. У меня имеются лишь предположения которые я высказал. Когда-нибудь «виновник торжества» найдёт эту тему и может быть прояснит ситуацию как у него оказался пароль @tiinn’а. А может и не прояснит. Но ты тогда уж тоже постарайся закидать его вопросами, как закидал сейчас меня.

Исходная версия EXL, :

Back-end Opera Mini на стороне сервера, который работает на движке Presto, весьма забавная вещь. Ведь Opera Mini это не браузер, а тонкий клиент, proxy. Который не даёт тебе реальный HTML, JavaScript и CSS, а предварительно отрендеренные JPG-картинки с некоторыми интерактивными полями. А поскольку как Opera Mini так и серверный Presto проприетарщина, ты не знаешь как и что там передаётся и кому потом твои куки и пароли попадают. Тем более по открытым каналам связи, которые тогда были распространены очень широко.

Когда-то в середине нулевых, будучи ещё студентотой я очень активно пользовался Opera Mini на мобильных телефонах вроде Motorola C380 и Motorola E398 и ещё тогда у меня вошло в привычку после сеанса посещения какого-либо форума обязательно нажимать «выход». Почему? Да потому что нередки были случаи, когда я заходил на свой любимый форум через Opera Mini и внезапно оказывался в профилях совершенно разных пользователей, которые тоже использовали Opera Mini. Видимо у серверного Presto была какая-то подобная «оптимизация», баг или уязвимость.

Но в случае 2014 года данный факт ни при чём. Там МиниатюрныйРоботТанцующий сам выложил свои куки, думая что это настройки его браузера, сответственно любой бездельник (вроде тогдашнего меня) который решил тоже запустить Opera Mini и воспользоваться выложенными «настройками» попадал в его профиль.

В актуальной ситуации, рассматриваемой в этой теме вектор «атаки» мне неизвестен. У меня имеются лишь предположения которые я высказал. Когда-нибудь «виновник торжества» найдёт эту тему и может быть прояснит ситуацию как у него оказался пароль @tiinn’а. А может и не прояснит. Но ты тогда уж тоже постарайся закидать его вопросами, как закидал сейчас меня.