TheWinterMan Feb 23 2020 at 19:09

Stack Overflow сливает e-mail адреса пользователей

2 min

Information Security*

Translation

-8

Comments 8

legolegs Feb 23 2020 at 19:55

Ну по факту это gravatar сливает email. И его надо патчить — менять хеш, солить.

PS опасность слива email в наше время даже не в десятке угроз, имхо.

rdnve Feb 23 2020 at 20:18

<..> опасность слива email в наше время даже не в десятке угроз <..>

А еще при желании ~~и по велению левой пятки~~ можно генерировать альясы вида habr.com.mail@domain.xyz; удобно, если через некоторое время начинают приходить левые письма, то сразу понятно, кто слил. -)

difiso Feb 23 2020 at 21:39

Для этого есть Email Tagging. Это вроде как не описано стандартом, но тот же GMail их поддерживает: письмо на example+sometag@gmail.com упадет в ящик example@gmail.com. Плюс Google автоматом для безопасности убирает точки, т.е. e.x.a.m.p.l.e@gmail.com и example@gmail.com это один и тот же ящик.

The_Kf Feb 23 2020 at 23:38

К сожалению, не все формы поддерживают знак + в local-part. Только почта на своём домене и спасает: указываю любой, всё валится в основной ящик

UFO just landed and posted this here

Tanner Feb 23 2020 at 22:32

Так это проблема Gravatar, а не StackExchange. Можно пользоваться SE, не имея аккаунта на Gravatar.

Mogwaika Feb 24 2020 at 00:19

А уж когда я пытался восстановить свой аккаунт, фиг они мне сказали мой e-mail, а я уже все перебрал и думал, что крыша едет и я там не регался, оказалось просто yahoo заблочил stackoverflow и письма не приходят, в итоге пришлось создать новый акк и смержить со старым, разбираться с yahoo они видимо не хотят…

-3

JackMonterey Feb 24 2020 at 12:24

Однако, интересно использовать этот кейс не только для получения e-mail адресов.

Не совсем понятно, а какой юз кейс вас напугал? То, что вы смогли отследить разработчиков между различными сервисами, используя Gravatar? Разве это проблема? Разработчики сами создали свой публичный профиль (бренд) и продвигают его: участвуют в разработке на github, отвечают на вопросы в stackoverflow и так далее. То есть это изначально публичная сущность, которая должна собирать в кучу виртуальную личность, которая пользуется кучей сервисов. То, что вы зная публичный email разработчика и нашли следы его активности где бы то ни было — это не бага, это фича.

Вот если бы выяснилось, что удалось связать между собой две виртуальные личности, одна из которых — разработчик, а вторая — кот, которые принадлежат одному человеку желающему разделить публичную и личную жизнь, вот тогда это была бы проблема приватности.

А утечка почты через MD5 — конечно неприятно, но это проблема уже Gravatar. Интересно, репортил ли автор проблему им и что они ответили.

Show the best of all time