А что, аватарки можно подключать с внешних сайтов?

Если ты не загрузил свою аватару, она тянется из граватара.

А где нужно указать на граватар? Или тянется по мылу, на который зарегистрирован?

Да. По мылу.

Спасибо.

Автоматом штоле? Без указания никаких галочек, у людей без аватарки движок шлёт запросы на ЦРУшный граватар?

Премия «LOR data leak vulnerability 2013»

А в чем ужас? Думаешь, граватар посреди img src встроит тебе зонд?

Да не особо, просто maxcom облегчает работу ребятам из Лэнгли.

Каким образом облегчают? Какие данные можно получить, отдав тебе картинку?

Какие данные можно получить

Я не изучал API граватара, но выше сказано, что наличие аватара проверяется по имэйлу, указанному при регистрации.

И? Я граватар. Лор отправил мне запрос на аватарку по такому-то имейлу. Что я узнал секретного?

Что некто, с таким имейлом зарегистрирован там-то.

А так же по частоте запросов сопутствующие данные.

По md5 email address.

Что некто, с таким имейлом зарегистрирован там-то.

И что дает эта инфа?

Дианон же.

И что дает эта инфа?

Вот когда в сеть утекают очередные пару миллионов адресов с очередного взломанного сайта, это РЕШЕТО.

А когда без согласия движок сифонит имейлом на разные сервисы, на которых я не зарегистрирован, знать не знал и не интересовался, это норма.

Там используется хэш e-mail, а не сам адрес, т.е. деанон только если есть аккаунт на граватаре.

У ЦРУшников нет такого понятия как деанон, но не надо упрощать им работу.

Деанон на шлюзе третьей стороной возможен только если запрос аватар по имейлу содержит ещё и лор-логин, но тогда это феерия.

Сообщите мне мой e-mail исходя из вот этой ссылки:

http://www.gravatar.com/avatar/d6ea30b3a866f148cd98762ead64f69c?s=150&r=g&d=blank

Вот когда в сеть утекают очередные пару миллионов адресов с очередного взломанного сайта, это РЕШЕТО.

Решето, это когда переписка утекает. А когда просто имейлы вида vasya12345@mail.ru, это нормально. Чем может быть полезна информация, что некий юзер зарегистрирован на лоре?

Он имеет в виду, что граватар знает e-mail по этой ссылке. И если граватар видит этот запрос от лора, он знает, что данный юзер на лоре есть.

*уставшим голосом* Да не утекают никуда ваши драгоценные емейлы..

Только если ты там регистрировался, а если нет то ничего и не утекает, а если да то для того ведь и регистрировался?

На запит d6ea30b3a866f148cd98762ead64f69c не знайдено жодного документа.

Чем может быть полезна информация, что некий юзер зарегистрирован на лоре?

Совсем шлангуешь? Пользователь вася переписывается по безобидным мелочам на почте и его явно идентифицируют, а на лоре он нацполит и поносит тех о ком нельзя говорить. Стладываем два плюс два логин и почту — получаем профит.