Недавно пилил скрипт для валидации данных вконтакте. Так вот, случайно ввел пароль на другой расскладке и успешно авторизовался. Сначала думал, что уязвимость нащупал,
а потом загуглил и обнаружил вот это: http://vk.com/wall-2158488_317644 (https://hpc.name/redirector.html#http://vk.com/wall-2158488_317644)
Пожалуй самое глупое обновление, которое уменьшает время брута пароля в ДВА раза + исходя из этого обновления можно сделать вывод, что пароли вконтакте хранятся в незашифрованном виде.
А вы знали? Что думаете об этом?

Спойлер

Спонсор темы двухэтапная аутентификация. Двухэтапная аутентификация - пока что единственый способ защитить Ваш аккаунт.

после 3 неправильных вводов появляеться капча, после 15-20 неправильных капч даже при верном вводе пароля вк скажет пасс невалид - есть ли вообще смысл от этой уязвимочти?
как по мне, брутом вк не взломать.

ТС , не сочти что я "докапался" к твоим темам.
Просто , реально , эта тема прошла мимо меня. Видимо пропустил.

По сабжу :

Цитата:

Сообщение от Arkham

А вы знали?

Конечно знали ! Ибо столько отчётов приходит вида :

[/URL][URL="https://hpc.name/redirector.html#http://radikal.ru/big/a5ca44036f284c0f86a12d63c06620af"] (https://hpc.name/redirector.html#http://radikal.ru/big/a5ca44036f284c0f86a12d63c06620af)IMAGE (https://hpc.name/redirector.html#http://s017.radikal.ru/i408/1508/fc/0310b6fca1e5.jpg) http://s017.radikal.ru/i408/1508/fc/0310b6fca1e5.jpg

И авторизация проходит на УРА по паролю лана221091( из примера).
НО вот при попытке сменить пароль , и при вводе этого пароля в русской раскладке , VK скажет что введённый пароль НЕ действительный .
И для смены пасса на акке , придётся вводить его в английской раскладке ,
а именно так ---->>> kfzf221091
Иными словами пасс русскими буквами для авторизации - это плод Вашей фантазии .

Цитата:

Сообщение от Arkham

Что думаете об этом?

А то и думаем , что VK , НЕ понимает русской раскладки , и если ВЫ при регистрации ввели пароль типа : УльяноваМаша1999 , то Контакт его видит как -EkmyzjdfVfif1999.
И не более того.

Цитата:

Сообщение от Arkham

Пожалуй самое глупое обновление, которое уменьшает время брута пароля в ДВА раза

Ты хотел сказать - УВЕЛИЧИВАЕТ время брута в 100 раз ?
Ибо если у девочки стоит пароль , вернее , если девочка при регистрации ввела пароль - ЛенаплюсКоляравноЛюбовь , то в английской раскладке это будет выглядеть как - Ktzfgk.cRjkyhfdzjK.,jdm !!!
По какому алгоритму будешь генерировать список паролей ?
Книжку конвертировать в крякозябры , для получения возможных паролей ?

По поводу : СТЕНЫ В КОНТАКТЕ (https://hpc.name/redirector.html#http://vk.com/wall-2158488_317644)
Кто написал сей бред ?

"У большинства русскоязычных пользователей на компьютерах включены сразу две раскладки: русская и английская. И все мы иногда начинаем писать текст не в той раскладке, в которой нужно. Обычно это сразу заметно, но если при входе на сайт в качестве логина вы используете номер телефона, то звездочки в поле ввода пароля помешают вам заметить ошибку. Как с этим бороться? "

Как , блеАть, на компе может быть включено СРАЗУ две раскладки ?????
На компе МОГУТ быть установлены НЕСКОЛЬКО языков текстового ввода !
НО использоваться языком ввода ПО УМОЛЧАНИЮ - может ТОЛЬКО ОДИН ЕДИНСТВЕННЫЙ !

У большинства "русскоязычных" пользователей , в моей стране например , ВООБЩЕ отсутствует РУССКИЙ язык !
И они пользуются ТРАНСЛИТОМ !
Им так Удобнее ! --->>> privet , kak dela ?

"Никак! Разработчики ВКонтакте сделали всё за вас. Вы просто набираете пароль, невзирая на раскладку, и вас пускают на сайт. Пароль и в русской, и в английской раскладке считается одним и тем же паролем."

Что курил автор той темы ?
МаррьИванннну ?
С каких пор английский и русский язык считается одним и тем же ?
Я что то пропустил ? Я с рождения владею английским языком ?

"Кстати, теперь вы должны понимать, что обычное слово, набранное в “неправильной” раскладке, нельзя считать надёжным паролем. Чтобы обезопасить свою страницу от взломщиков, используйте случайно сгенерированные комбинации символов."

Обычное слово набранное в неправильной раскладке , БОЛЕЕ устойчиво к бруту ,
нежели набранное слово в правильной раскладке !
ЗЫ :
1 - ПриветHPC
1 - GhbdtnРЗС

А знаешь почему более стойко к бруту ?
Потому логика отсутствует в подборе списка паролей !
Пароли вида - какойтакойпароль?/смешнойпарень/рукожопа/ тебе придётся "переворачивать" в другую раскладку ..
Хочешь попробовать ?
Давай ---->>> rfrjqnfrjqgfhjkm?/cvtizjqgfhtzm/herjöjgf
По какому принципу ты будешь строить СВОЙ лист паролей для своего брута ?
С русскими словами всё понятно.
С транслитом , тоже всё понятно..
А вот с "рукожопыми" паролями , получится запара .

"Обратите внимание, что эта фича относится только к русской и английской (США) раскладкам. Другие латинские и кириллические раскладки (например, украинская или немецкая) могут конвертироваться некорректно."

Дык ясен красен !
Раскладки то отличаются !
В английской и немецких раскладках буквы Z и Y стоят на месте друг друга.
То есть ,вместо Y стоит Z , и соответственно вместо Z стоит Y !
Было бы странным , если бы все языки соответствовали Английской раскладке !

ЗЫ : это в русском языке 33 буквы
а в английском 26
А в арабском 28 и пишутся с права налево ....

А ещё есть украина ,белоруссия , казахстан - со своими 42 буквами

И если пользователь из казахстана поставит пароль на казахском , НО в английской раскладке - то твои шансы подобрать пароль - сведутся в сторону "отрицательных" чисел

Делай выводы когда будешь пилить скрипт .

Всем Мира и Добра !!!

Цитата:

Сообщение от popov

есть ли вообще смысл от этой уязвимочти?

Это не уязвимость, скорее "фишка". Но явно в ущерб безопасности.

Цитата:

Сообщение от popov

как по мне, брутом вк не взломать.

Верно, конкретную цель не взломать. Если только массовый взлом, с огромной базой телефонов и 3-4 популярными паролями.

Цитата:

Сообщение от wera87df

Ты хотел сказать - УВЕЛИЧИВАЕТ время брута в 100 раз ?

Уменьшает, ведь если к логину подходит два пароля, то в теории забрутить пароль легче. Но уж не увеличивает точно.

offtop

ох, любишь же ты длинные посты писать

это треш :-)

Цитата:

Сообщение от Arkham

Уменьшает, ведь если к логину подходит два пароля, то в теории забрутить пароль легче. Но уж не увеличивает точно.

Ваша теория Не выдерживает критики..
Уважаемый - пойдите на страницу регистрации VK , регните акк с паролем в русской раскладке - например ---->>> иванвасильевич , потом попробуйте его сменить ,
заполнив форму смены пароля , введя в поле "старый пароль" - иванвасильевич НО в русской раскладке,
а в полях "новый пароль" и "повторите пароль" - введи новый пароль НО уже в английской раскладке!
Потом вернитесь на эту страничку и "расскажите" мне про свои "успехи" !

К логину ПОДХОДИТ один ПАРОЛЬ !
и тот ФАКТ , что VK не сечёт раскладку клавы юзера , в момент ввода пароля,
НЕ говорит о том что у логина ДВА пароля ;
Сам то понял что сказал ?
К ЛОГИНУ ПОДХОДИТ ДВА ПАРОЛЯ
А если установить семь языков ввода , то по Вашей логике будет "СЕМЬ" паролей ?

Вот майлСру , например , сечёт раскладку юзера в момент ввода пароля !

[/URL][URL="https://hpc.name/redirector.html#http://radikal.ru/big/f27698d921c34e328491e56ab12df369"] (https://hpc.name/redirector.html#http://radikal.ru/big/f27698d921c34e328491e56ab12df369)IMAGE (https://hpc.name/redirector.html#http://s016.radikal.ru/i336/1508/57/a20c5f4d3e74.jpg) http://s016.radikal.ru/i336/1508/57/a20c5f4d3e74.jpg

Сходи проверь
*****************************

Повторяю ЕЩЁ раз !

VK НЕ сечёт раскладку юзера в момент ввода пароля , ПО той причине что в поле ЛОГИН вы вводите НОМЕР ТЕЛЕФОНА (цифрами от вашего номера)а в поле ПАРОЛЬ вы вводите ваш русский пароль , который контакт воспринимает КАК белиберду , НО введённую на английской раскладке !

БлеАть - попробуйте тогда , если такие умные ,
ввести свой логин вот так - фдуч@ьфгдюкг (alex@mail.ru) .
По вашему же контакт хавает "русские" буквы))))
Потом расскажете мне про свои "успехи" !!!

При регистрации , у юзеров с россии , ЯЗЫК ВВОДА ПО УМОЛЧАНИЮ стоит РУССКИЙ !
НО VK понимает ввод в поле пасс - как английскую раскладку !

ВЫ вводите - мамапапаия ! а VK видит и понимает как vfvfgfgfby !!!!

И в дальнейшем ВЫ так и ПРОДОЛЖАЕТЕ вводить свой пароль по русски , как впрочем и цифры в поле логин ) , А VK понимает что пароль введён на английской раскладке , а цифры вашей мобилы - они и в африке и в албании - цифры !!

********************************

Цитата:

Сообщение от Arkham

ох, любишь же ты длинные посты писать

Не я такой , жизнь такая.
Юзер пошёл , нынче , упёртый.
Ему в трёх словах НЕ докажешь , Не расскажешь!

И да --->>> если писать скрипт/брут/монтировку для взлома контакта :
ТО по любому тебе нужен будет лист паролей вида : qwerty/qwerty123/
Ибо просматривается "смысл" в этих паролях, и можно ПРЕДПОЛОЖИТЬ какого вида пароли в принципе могут быть !

aka - первые пять букв на клаве/первые пять букв на клаве + какие нибудь цифры по по порядку

А теперь представь что чел вводил "ОСМЫСЛЕННЫЙ" пароль НО , как думает сам чел , НА русской раскладке ------>>> мойпарольсамыйсложный

Контакт схавал этот пароль как --->>> vjqgfhjkmcfvsqckjözsq

Теперь расскажи мне , пожалуйста , каким образом ты будешь генерировать пассвордлист при таком раскладе дел ?
А заодно и расскажи мне про ДВА пароля ОТ одного логина
Ты же вроде инструменты хацкерские пишешь , НЕ ?