Комментарии 20
Добавьте мой email в базу, а то без него ваш алгоритм расшифровки не работает.
f0rk.tt@gmail.com
MD5: 976ad9df64fa84984466c9e4153b1e3b
f0rk.tt@gmail.com
MD5: 976ad9df64fa84984466c9e4153b1e3b
Возможно, я что-то недопонял, но
означает, что мы можем получить адрес из базы
То есть это далеко не любой пользователь Граватара, а только известный вашему сервису. По сути, сервис отвечает на вопросы:
1. попадал ли адрес почты в спам-рассылки
2. зарегистрирован ли владелец адреса в Граватаре
Другими словами, проблема не в Граватаре, как мне кажется.
Теперь, при вводе в поисковую строку MD5-хэша, который можно взять на любом сайте, где пользователь оставил комментарий, мы можем получить его адрес электронной почты.
означает, что мы можем получить адрес из базы
10 млн адресов электронной почты (взятых из открытых источников).
Лишь у 3% (около 300 000 распознанных MD5-хэшей) из них оказался свой Граватар (не густо).
То есть это далеко не любой пользователь Граватара, а только известный вашему сервису. По сути, сервис отвечает на вопросы:
1. попадал ли адрес почты в спам-рассылки
2. зарегистрирован ли владелец адреса в Граватаре
Другими словами, проблема не в Граватаре, как мне кажется.
Совершенно верно, далеко не все пользователи Граватара расшифрованы (мы проверили лишь 10 млн. открытых адресов и получили открытые адреса электронной почты у 300 000 пользователей Граватара). Но, теоретически их (адреса) можно все проверить и, соответственно, получить все адреса (показан метод).
Ага, теоретически да, конечно. Практически, если человек свою почту нигде не светил (вероятность высока для новосозданных ящиков), но имеет аккаунт Граватара, то данный метод не поможет ничем и никогда.
Для работы метода (его практическое ограничение) требуются сторонние источники незашифрованных почтовых адресов.
Для работы метода (его практическое ограничение) требуются сторонние источники незашифрованных почтовых адресов.
Практически, если человек свою почту нигде не светил (вероятность высока для новосозданных ящиков)
Если он создал граватар для своей почты, то и комментарий оставит на каком-нибудь сайте (тогда его адрес становится известным третьему лицу — администратору сайта)! Да, многие люди оберегают емайлы, но так ли реально их уберечь? Вы же пишите кому-то письма, где-то регистрируетесь, где-то комментируете и т.д. и т.п. Под этим я и подразумевал — «теоретически все адреса электронной почты у всех пользователей интернета».
Себя нашел, и клиентов своих нашел. Все просто оказалось!
email с плюсом не понимает сервис
Простите непонятливого, но завтра граватар подсолил хеши и на этом все закончилось же, или я что то пропустил?
Вы пропустили тот факт, что, во-первых, gravatar этого не сделает, потому что тогда сломается интернет; во-вторых, смысла в солёных хэшах нет, потому что пользователям API все-равно придется как-то генерировать эти хэши. Т.е. либо у граватара база распухнет, т.к. для каждого сайта нужно будет свою копию данных держать, либо всё-равно все будут знать алгоритм, как посчитать этот хэш.
Сам принцип работы gravatar — его фатальный недостаток
Сам принцип работы gravatar — его фатальный недостаток
Тогда придется менять все на сайтах, которые показывают граватары!
НЛО прилетело и опубликовало эту надпись здесь
Я не уловил суть проблемы. Если ты итак знаешь e-mail пользователя, то в чём криминал узнать, что он есть на Gravatar? Сервис для этого и сделан :) Если же e-mail'а пользователя нет, то узнать по md5 его ты не сможешь. Методы «взлома» md5 подбирают коллизии, а не исходный текст, так что тут помогут мало.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Gravatar: как расшифровать адреса электронной почты всех пользователей?