Получаем доступ к методам Вконтакте Api без ведома пользователя

[user3000]

Может хоть после поста на Хабре «пофиксят».

[IkaR49]

Делаем ставки, как скоро это произойдёт? :)

[germn]

Красота!

[Isis]

Про crossdomain вообще мало кто помнит. Благодаря пользователю kafeman мы исправили страшную уязвимость на хабре пару дней назад. Об этом он сам напишет :)

[korum]

Уже написал habrahabr.ru/blogs/infosecurity/134150/

[Adiost]

Астрологи объявили неделю crossdomain…

[shtormish]

Оперативно сработали)

[mr47]

Простите но это не уязвимость, больше нескольких запросов апи в секунду вы не сможете сделать, кроме того написать на «стене», access_token не имеет силы, этим можно воспользоватся только ради спама что быстро вызовет интерес разработчиков, это не уязвимость, а казус.

[TrueDrago]

Вы шутите?

[mr47]

Пускай минусуют, но скажите что вы можете сделать моему акаунту?

[TrueDrago]

Понимаете, угрозы (и уязвимости) разные бывают. Аккаунт ваш не угонит, но подгадить может, особенно если его массово запустить…

[mr47]

Спасибо за ссылку,a вы подумали что это проблема не решаемая, вы о решении подумали прежде чем ссылку на википедию давать…

[TrueDrago]

Думать о решении в данном случае разработчики ВК должны, что они уже, как я понял, и сделали.

PS: ваше видимо вопросительное предложение без знака вопроса немножко ломает мой мозг))

[Grebenshikov]

Уже фиксанули, Сейчас обновлю топик.

[glebmachine]

И еще, забыли сказать что этим топиком по честному подняли се карму)
Так что csrf работает)

[Ekstazi]

Эх, раньше ломали через js, сейчас же флеш юзают и кроссдоменность. Но за идею спасибо, теперь буду знать. Никогда не воспринимал её в серьёз, а теперь буду. Однозначно автор молодец.

[ATimofeev]

Ага, вот кто виноват, что постинг на стену из standalone приложений отключили!