How to become an author
Search
Write a publication
Pull to refresh

Comments 44

Со вконтактом не вышло (не показывает персональных данных). С фейсбуком — работает (показывает аватар и количество друзей).
Total votes 5: ↑4 and ↓1+3
Добавил скрины. Проверил PoC в хроме, опере, фф, вроде нигде ничего не едет (ессно, нужно быть авторизованным в соц. сетях).
This comment wasn’t rated yet0
Хром 24, Авторизован.

Результат
Total votes 2: ↑2 and ↓0+2
Странно, тоже 24 хром (проверил и под линуксом. и под виндой).
Какое разрешение? И это… FB?
This comment wasn’t rated yet0
Проверил консоль: все дело в прокси, который режет доступ к userapi.com/js/api/openapi.js?34, мотивируя это тем, что: Content categorization: «Malicious Sites».
This comment wasn’t rated yet0
Mac Chrome 24
Едет серый прямоугольник



Грустно иметь дело с зоопарком браузеров и платформ.
This comment wasn’t rated yet0
Да, проверял виджеты без ID (этот единственный)
В общем, не вижу смысла нагнетать обстановку с ВК, раз они так «тонко» намекнули и просто заблокировали приложение (виджет нужно привязывать к приложению). Так что демонстрация с ВК отменяется (хотя, в комментах есть еще пример демонстрации с ВК).
This comment wasn’t rated yet0
Спалили :) решил побаловаться, — было скучно на работе как никогда.
This comment wasn’t rated yet0
Каков, в итоге, правильный ответ на вопрос из статьи?

Значит… мы можем логировать всех пользователей, которые посетят наш сайт и которые есть в ВК?
This comment wasn’t rated yet0
Сейчас добавлю.
Мы (или кто-то другой) этого делать не можем. Так как по факту никакого доступа к данным не было и нет. А все выше — лишь CSS-трюк.
Total votes 1: ↑1 and ↓0+1
Каждый пользователь видит свою информацию, но об этом знает только его браузер — сервер доступа не имеет.
Total votes 2: ↑2 and ↓0+2
Ещё с месяц назад увидел этот трюк.
Весьма элегантное решение на мой взгляд, если, конечно, конечный пользователь есть в соцсетях
This comment wasn’t rated yet0
А мне как-то пришло письмо на электронную почту от фотостраны, где было сказано что мой друг оставил там мне личное сообщение. Внутри письма была аватарка друга из вконтакте и взятые оттуда его имя и фамилия. Разумеется, он там не регистрировался.

При переходе по ссылке из письма я увидел, что на мой e-mail уже заведен аккаунт, и от меня требуется только ввести дополнительные данные (нет, %USERNAME%, номера телефона они не просили!). Видимо, ребята таким образом пытаются поднять посещаемость проекта. «Гениальность» создателей очевидна:

— взять email из спам-баз
— пробить привязанный к адресу аккаунт соцсети
— рандомно выбрать друга, вытащить аватарку
— отправить письмо
— PROFIT!
Total votes 1: ↑1 and ↓0+1
В своё время так и topface, и badoo раскручивались. Причём последние ещё рассылали через приложения всем твоим друзьями, что ты сам зарегистрировался и якобы туда их зовёшь.
This comment wasn’t rated yet0
UFO just landed and posted this here
Вот вы шутите, а мы подобные сообщения получаем на суппорт Андроид-приложения
Total votes 4: ↑4 and ↓0+4
Метод красивый. Лекарство есть — контакту и фейсбуку надо прописать для всех страниц X-Frame-Options DENY и разрешить открытие во фрейме только для виджетов.
This comment wasn’t rated yet0
Ну так это виджеты и есть, предназначенные для открытия в iframe. Или я вас неправильно понял?
Total votes 3: ↑3 and ↓0+3
Так это и есть виджет авторизации, а поверх него div'ы с position:relative
Total votes 2: ↑2 and ↓0+2
Самое эффективное лекарство - выходить из аккаунта.
image
Total votes 3: ↑3 and ↓0+3
Куда более эффективно (при наличии Chrome) поставить в настройках галочку «Блокировать данные и файлы cookie сторонних сайтов». Выходить из аккаунта не потребуется, но и куки вконтакта не отправятся на сторонние сайты — эффект тот же.
Вот, правда, виджеты комментирования также работать не будут. Но для тех, кто ими не пользуется — хороший способ.
This comment wasn’t rated yet0
Но, тогда ещё остаётся «cookie hijacking». Ибо авторизация происходит по https, а вот куки никак не шифруются.
This comment wasn’t rated yet0
проблема проста — vk работают ламеры в безопасности неспособные поставить анти clickjacking X-FRAME-OPTIONS:sameorigin.
Total votes 23: ↑6 and ↓17-11
Так это, тут разве не API используется? Его-то никто не будет делать sameorigin'овым.
Total votes 4: ↑2 and ↓20
я говорю про m.vk.com
эта проблему еще год назад была известна см демо

homakov.blogspot.com/2012/06/saferweb-with-new-features-come-new.html
у них есть фреймбрейкер, который нефига не решение проблемы

вк щас не такой дырявый только из за кучи заплаток(они даже csrf токен иногда в гете передают лол). в тоже время сама архитектура чисто пхп-шная и кривая
This comment wasn’t rated yet0
сотрудники ВК сидящие на Хабре могут только молча ставить минусы за, может и немного агрессивную критику, и блокировать эти аппы, цирк :) предполагаю что мой комментарий тоже заминусуют?)
Total votes 5: ↑3 and ↓2+1
олрайт, если сотрудники и правда тут сидят почините хоть фреймбрейкер на whitelistовый
это когда по умолчанию страница скрыта display:none и только если все ок она показывается
This comment wasn’t rated yet0
UFO just landed and posted this here
Поправил на сайте)
Что правда, то правда.
This comment wasn’t rated yet0
Видел подобное в рекламных блоках «vk-message», но там фото берется из фрейма с виджетом комментариев.



Вот фрейм: promo.vmirenas.ru/vk/comment.html
Total votes 1: ↑1 and ↓0+1
Забанили приложение в ВК :0 Приду домой, переделаю.
Единственное решение для вк/фб в данном случае вообще не выводить данных пользователей во фрейме.
This comment wasn’t rated yet0
Теперь каждый второй школьник получил готовый фейк под смс, зачем же вы так :)
Total votes 1: ↑1 and ↓0+1
решение спамеров — гениально, втыкал минут 5 когда первый раз увидел :)
This comment wasn’t rated yet0
Весьма сложно угадать точную позицию элементов в любом браузере, поэтому у меня (Хромиум 24 под Линуксом), например, вот такая печаль:
Скрытый текст
печаль

Но вообще техника, конечно, интересная.
This comment wasn’t rated yet0
Есть простое решение этой проблеммы — логниться в контактик по https

Или принудительно на стороне пользователя включить https для контактика и фейсбука и тп
к примеру в лисе есть https everywhere плагин
This comment wasn’t rated yet0
Как HTTPS влияет на работу встраиваемых виджетов?
Никак.
Total votes 1: ↑1 and ↓0+1
я счас авторизован в контактике и в лицокниге — и у меня в приведенном примере ничего не появляется — и с тех пор, как хожу по https вконтактик — все эти дурилки обламываются
This comment wasn’t rated yet0
Еще, скажите, все виджеты ВК отваливаются, при авторизации через https :)
А пример не работал, так как приложение заблочили. Обновил пример — sergeybelove.ru/tools/socialnets-phishing/vk.php
Total votes 1: ↑1 and ↓0+1
проверьте: залогинтесь по https и наберите:
vk.com/widget_auth.php?app=произвольный_номер&width=300px
3388928- забанили из за наплыва посетителей.
This comment wasn’t rated yet0
Sign up to leave a comment.

Articles

Show the best of all time

Your account

Sections

Information

Services

Support
© 2006–2024, Habr