"Об авторизации в uCoz" в Моем Скромном Блоге
­

Alex.Z

Мой Скромный Блог

Об авторизации в uCoz

Ровно три месяца назад в uCoz официально обьявили о новых правилах авторизации на сайтах их системы: теперь стандартная форма входа доступна только премиум пользователям, а все остальные, якобы в целях безопасности, должны авторизироваться через новую, связанную напрямую с uNet, форму. В офиц. блоге, на который ссылка приведена в начале, написано, что это делается из-за того, что было слишком много сайтов, которые подделывали форму входа и таким образом воровали аккаунты пользователь. А теперь это невозможно, так как при авторизации происходит редирект на uNet и там уже производится вход на сайт. Но так ли это удобно и безопасно, как нас уверяют?..

Я решил проверить это на деле. В данном блоге, на сайте большой студии vibos Design, а так же в фотохостинге vibosPH я использую свою, кастомную, форму входа, которая основана на API uCoz. То есть, она полностью написана мной и ни на одном сайте стандартная форма не задействована. Для меня это удобно потому, что посторонний человек не сможет никак залогиниться. Да и регистрация так же отключена. Но вот кто-то другой вполне может использовать это в своих целях...

И так, предположим, что я хочу украсть ваши пароли от аккаунтов в uCoz. Что мне для этого нужно? Собственно, не так уж и много. Для начала, я просто затираю стандартную форму входа на сайт и создаю такую же по виду, но работающую, как мне нужно. То есть, благодаря API мы можем прописать два действия во время авторизации: сам вход на сайт, а так же сохранение пароля, куда нам нужно. Даже его отсылку по почте - без проблем! При этом форма будет выглядеть идентично "родной". Картинка-кнопка явно передается в хтмл формы, путь к файлу, который обрабатывает запрос тоже. Мы можем или просто подменить его, или сделать собственную страницу, как это реализовано сейчас - при клике на фэйковый логотип будет все так же открываться знакомое всем окошко uNet. Даже адрес в адресной строке можем написать такой же, как у них. И никто ничего не заподозрит.

Времени у меня, к сожалению, сегодня уже совсем нет. Поэтому все остальное я оставлю вам: подумайте, так ли это безопасно, как нам обещают, и не теряйте бдительности, даже когда, казалось бы, нет причин для беспокойства.

У меня вывод такой: Я считаю, что данную функцию сделали только ради одного: продвижения uNet авторизации и подготовка почвы для полноценного OAuth, который будет так же завязан на юНете. Никаких целей по предотвращению взломов никто не преследует, так как возможность как была, так и осталась. Только стала чуточку сложнее.

На этом все. Прошу прощения за возможный сумбур - писал в спешке, как и сказал ранее. Всем хорошего настроения и удачи. Ваш ПЫЩъ.

Всего 1 комментариев

Оставить комментарий

avatar
Хостинг от uCoz