Mixon
25.09.2009, 21:07
Здравствуйте уважаемые ачатовцы,сейчас актуальный вопрос о новых куках вконтакте,видел не одну тему где выясняли и спорили насчёт них,вот хочу рассказать об своих экспериментах с ними и чтобы не создавались новые темы по этому поводу.
Всем известно что после 13.09.09 теперь в куках храниться только remixsid,но и в нём то не без хитрости,я посидел и пробивал разные способы входа по ним,вот такие неутешительные результаты с моих тестов:
Скажу сразу,remixsid имеет привязку к вашему IP,но и не только к нему,и эта привязка скорее для удобства а не для зашиты,прочтя дальше мои тесты и выводы Вы в этом убедитесь. ;)
Я пробовал сменять IP,но не железо,а именно IP...Делал так:
1.Логинюсь вконтакте.
2.Включаю прокси,который маскирует мой IP.
3.Жму F5 (обновляю страницу).
После этих действий идут запросы между вашим компьютером и вконтакте,а именно:
1.GET запрос к http://login.vk.com/?vk=
В ответ получает это:
<html><head><meta http-equiv='content-type' content='text/html; charset=windows-1251' /></head><body onload="document.getElementById('l').submit();"><form id='l' method='post' action='http://vkontakte.ru/login.php?op=slogin'><input type='hidden' name='s' id='s' value='17b1bfber144d30b13d2557c29c141fd61f1e2843e9 5ed11f396efa5'></form></body></html>
Тут мы видим,что в ответ нам прислали уже новый remixsid для передачи со страницы...
2.POST запрос к http://vkontakte.ru/login.php?op=slogin с данными,переданными нам в первом шаге,а именно 17b1bfber144d30b13d2557c29c141fd61f1e2843e95ed11f3 96efa5
и в ответ получаем это:
<html></html>
и записывается в куки новый remixsid,а именно 56fdc0ecf38774088cac86d5c1be1514ee0828428264217e34 d061e0
3.Потом шлётся POST запрос уже к вашей странице,с вашим ID в конце,а в нашем случае к http://vkontakte.ru/id1234
В запросе указаны такие данные:
id: 1234
IP_ADDRESS: 10.0.13.3
request_method: get
pda :
и в ответ получаем уже нашу собственную страницу вконтакте,на которой мы и были.
Это мы разобрали какие действия контакт производит после смены IP на одном и том же компе,теперь рассмотрим случай который нам более интересен,заберём куки с чужого компа и вставим себе.
Теперь выполняем эти действия:
1.Логинимся на другом компе.
2.Берём получивший remixsid.
3.Подменяем его на своём компе и жмём F5 (Обновляем страницу).
Контакт делает следующие манипуляции:
1.После обновления страницы получаем этот ответ:
<html>
<head>
<meta http-equiv='content-type' content='text/html; charset=windows-1251' />
<script>
var t = setTimeout("location.href='http://vkontakte.ru/login.php?op=logout'", 7000);
</script>
</head>
<body>
<div>
<img src='http://vkontakte.ru/images/progress.gif'>
</div>
<form id='f' name='f' method='post' action='http://vkontakte.ru/id1234'>
<input type='hidden' name='id' value='1234' /><input type='hidden' name='IP_ADDRESS' value='10.11.13.15' /><input type='hidden' name='request_method' value='get' /><input type='hidden' name='pda' value='' />
</form>
<iframe name="mf" onload="try{if (this.contentWindow.location.href.indexOf('slogin' ) != -1) {clearTimeout(t); if (this.contentWindow.location.href.indexOf('nonenon e') != -1) {location.href='http://vkontakte.ru/login.php?op=logout&to=aWQ0Nzg2NDgwMw--'; return false;} document.f.submit();}} catch(e) {}" border=0 style='border:0px; background-color:#FFF' src='http://login.vk.com/?vk=' width='1' height='1'></iframe>
</body>
</html>
2.Отправляет GET запрос к http://login.vk.com/?vk=
Получает ответ:
<html><head><meta http-equiv='content-type' content='text/html; charset=windows-1251' /></head><body onload="document.getElementById('l').submit();"><form id='l' method='post' action='http://vkontakte.ru/login.php?op=slogin'><input type='hidden' name='s' id='s' value='http://vkontakte.ru/login.php?op=slogin'></form></body></html>
По нём мы видим что получили новый параметр s со значением 482eec34a42374aab06e2766039161f6db292550c115f5c7da ac1908
3. POST запрос к http://vkontakte.ru/login.php?op=slogin с данными 482eec34a42374aab06e2766039161f6db292550c115f5c7da ac1908
В ответ получаем это:
<html></html>
И запись в куки нового remixsid,а именно 482eec34a42374aab06e2766039161f6db292550c115f5c7da ac1908
4. Отправляет POST запрос уже к вашей странице,с вашим ID в конце,а в нашем случае к http://vkontakte.ru/id1234
В запросе указаны такие данные:
id: 1234
IP_ADDRESS: 10.11.13.11
request_method: get
pda :
и в ответ получаем старицу которой мы сменили remixsid, тоисть не та страница,которую мы взяли с другого компа а та,в которой мы билы до этого залогинены...
То есть доступ к странице мы не получили,а нас тупо переадресовало в нашу,родную страницу...Самое хитрое то,что мы то сменяли уже remixsid в куках,а вот нам его уже от страницы контакт новый сам выдал,то ли по IP то ли я не знаю по чём...
Выводы
1.Заходить вконтакте с одного и того же компа но с другим IP можно.
2.Взять куки с чужого компа и зайти со своего невозможно,по крайней мере не подменяя привязки,которой я пока еще не знаю.
3.remixsid имеет привязку,и не одну,к IP привязка есть 100% но суть её не в том чтоб не могли зайти с другого компа,а чтоб получить новый remixsid на эту страницу для уже другого IP,если всё же определит что последний вход в этот профиль был именно с этого компа.
Если Вы заметили еще какие то привязки или еще что то на подобии,описывайте здесь,буду рад любой помощи и новых тестов этих зависимостей вконтакте.
Всем известно что после 13.09.09 теперь в куках храниться только remixsid,но и в нём то не без хитрости,я посидел и пробивал разные способы входа по ним,вот такие неутешительные результаты с моих тестов:
Скажу сразу,remixsid имеет привязку к вашему IP,но и не только к нему,и эта привязка скорее для удобства а не для зашиты,прочтя дальше мои тесты и выводы Вы в этом убедитесь. ;)
Я пробовал сменять IP,но не железо,а именно IP...Делал так:
1.Логинюсь вконтакте.
2.Включаю прокси,который маскирует мой IP.
3.Жму F5 (обновляю страницу).
После этих действий идут запросы между вашим компьютером и вконтакте,а именно:
1.GET запрос к http://login.vk.com/?vk=
В ответ получает это:
<html><head><meta http-equiv='content-type' content='text/html; charset=windows-1251' /></head><body onload="document.getElementById('l').submit();"><form id='l' method='post' action='http://vkontakte.ru/login.php?op=slogin'><input type='hidden' name='s' id='s' value='17b1bfber144d30b13d2557c29c141fd61f1e2843e9 5ed11f396efa5'></form></body></html>
Тут мы видим,что в ответ нам прислали уже новый remixsid для передачи со страницы...
2.POST запрос к http://vkontakte.ru/login.php?op=slogin с данными,переданными нам в первом шаге,а именно 17b1bfber144d30b13d2557c29c141fd61f1e2843e95ed11f3 96efa5
и в ответ получаем это:
<html></html>
и записывается в куки новый remixsid,а именно 56fdc0ecf38774088cac86d5c1be1514ee0828428264217e34 d061e0
3.Потом шлётся POST запрос уже к вашей странице,с вашим ID в конце,а в нашем случае к http://vkontakte.ru/id1234
В запросе указаны такие данные:
id: 1234
IP_ADDRESS: 10.0.13.3
request_method: get
pda :
и в ответ получаем уже нашу собственную страницу вконтакте,на которой мы и были.
Это мы разобрали какие действия контакт производит после смены IP на одном и том же компе,теперь рассмотрим случай который нам более интересен,заберём куки с чужого компа и вставим себе.
Теперь выполняем эти действия:
1.Логинимся на другом компе.
2.Берём получивший remixsid.
3.Подменяем его на своём компе и жмём F5 (Обновляем страницу).
Контакт делает следующие манипуляции:
1.После обновления страницы получаем этот ответ:
<html>
<head>
<meta http-equiv='content-type' content='text/html; charset=windows-1251' />
<script>
var t = setTimeout("location.href='http://vkontakte.ru/login.php?op=logout'", 7000);
</script>
</head>
<body>
<div>
<img src='http://vkontakte.ru/images/progress.gif'>
</div>
<form id='f' name='f' method='post' action='http://vkontakte.ru/id1234'>
<input type='hidden' name='id' value='1234' /><input type='hidden' name='IP_ADDRESS' value='10.11.13.15' /><input type='hidden' name='request_method' value='get' /><input type='hidden' name='pda' value='' />
</form>
<iframe name="mf" onload="try{if (this.contentWindow.location.href.indexOf('slogin' ) != -1) {clearTimeout(t); if (this.contentWindow.location.href.indexOf('nonenon e') != -1) {location.href='http://vkontakte.ru/login.php?op=logout&to=aWQ0Nzg2NDgwMw--'; return false;} document.f.submit();}} catch(e) {}" border=0 style='border:0px; background-color:#FFF' src='http://login.vk.com/?vk=' width='1' height='1'></iframe>
</body>
</html>
2.Отправляет GET запрос к http://login.vk.com/?vk=
Получает ответ:
<html><head><meta http-equiv='content-type' content='text/html; charset=windows-1251' /></head><body onload="document.getElementById('l').submit();"><form id='l' method='post' action='http://vkontakte.ru/login.php?op=slogin'><input type='hidden' name='s' id='s' value='http://vkontakte.ru/login.php?op=slogin'></form></body></html>
По нём мы видим что получили новый параметр s со значением 482eec34a42374aab06e2766039161f6db292550c115f5c7da ac1908
3. POST запрос к http://vkontakte.ru/login.php?op=slogin с данными 482eec34a42374aab06e2766039161f6db292550c115f5c7da ac1908
В ответ получаем это:
<html></html>
И запись в куки нового remixsid,а именно 482eec34a42374aab06e2766039161f6db292550c115f5c7da ac1908
4. Отправляет POST запрос уже к вашей странице,с вашим ID в конце,а в нашем случае к http://vkontakte.ru/id1234
В запросе указаны такие данные:
id: 1234
IP_ADDRESS: 10.11.13.11
request_method: get
pda :
и в ответ получаем старицу которой мы сменили remixsid, тоисть не та страница,которую мы взяли с другого компа а та,в которой мы билы до этого залогинены...
То есть доступ к странице мы не получили,а нас тупо переадресовало в нашу,родную страницу...Самое хитрое то,что мы то сменяли уже remixsid в куках,а вот нам его уже от страницы контакт новый сам выдал,то ли по IP то ли я не знаю по чём...
Выводы
1.Заходить вконтакте с одного и того же компа но с другим IP можно.
2.Взять куки с чужого компа и зайти со своего невозможно,по крайней мере не подменяя привязки,которой я пока еще не знаю.
3.remixsid имеет привязку,и не одну,к IP привязка есть 100% но суть её не в том чтоб не могли зайти с другого компа,а чтоб получить новый remixsid на эту страницу для уже другого IP,если всё же определит что последний вход в этот профиль был именно с этого компа.
Если Вы заметили еще какие то привязки или еще что то на подобии,описывайте здесь,буду рад любой помощи и новых тестов этих зависимостей вконтакте.