Pull to refresh

Comments 10

За что минусуют? Суть одна и таже что и в github'e ведь…
Почему то не нашел ничего общего с гитхабом…
сомнительное видео, скорее всего автор восстановил пароль через секретный вопрос, записал передающиеся параметры, а потом разыграл спектакль с преобразованиям форм.
Ну, такое могло случиться, если при генерации ключей нет привязки к мылу (т.е. грубо говоря — берем любую пару вопрос-ответ, которую мы заранее знаем, отправляем на сервер «верный» ответ и меняем пасс на любое мыло).

Но мало верится, что такую дырку столько времени не могли найти
Мне тоже так показалось. Как вариант, локальный «эмулятор» хотмейла :)
Суть баги в другом: каждому этапу восстановления пароля соответствует свой набор переменных в запросе. Мы просто «перескакиваем» один из этапов, создавая запрос, который по идее должен был сформироваться при верном ответе на секретный вопрос
видео — это ещё не уязвимость. Видел эту новость в ридере неделю назад ещё, уязвимости не работали.
Only those users with full accounts are able to leave comments. Log in, please.