Jak podszywać się pod inną osobę na blogach używających Gravatarów (m.in. opartych na WordPress)

Posted: 2010/03/12 by wildwezyr in Programistycznie i technicznie
Tagi: , , , , , ,

Załóżmy, że jest blog oparty na WordPress – czyli używa Gravatarów. Załóżmy, że chcemy się pod kogoś podszyć – kto komentował wpis, chcemy mu zrobić wstyd itp. cokolwiek. Zgadując i potwierdzając ze 100% pewnością adres e-mail, możemy następnie go użyć do podpisania naszego komentarza i będzie on wyglądał dla czytelników bloga dokładnie tak, jak oryginalny wpis zrobiony przez prawowitą osobę, pod którą się podszywamy. Będzie wyświetlony ten sam avatar, ale nie w sensie skopiowania go sobie pod swoje konto – będzie wygenerowany dokładnie ten sam adres do gravatara – a więc na poziomie przeglądania źródła HTML strony na której robimy psikusa – będzie wyglądało nie do odróżnienia.

Przykład: mamy piękną dyskusję na antyweb.pl: http://antyweb.pl/no-to-sobie-obejrzalem-solaris-gate/ w której bierze udział Piotr Tymochowicz (prawdopodobnie on). Za pomocą opisanej wcześniej metody (programu w Javie jaki do tego napisałem) znam ze 100% pewności adres e-mail jaki Piotr Tymochowicz użył podpisując swoje komentarze. Nic więc nie stoi na przeszkodzie, abym się pod niego podszył. Swoją drogą śmieszne, że P. Tymochowicz nie podpisuje się podając adres w domenie infinitysa.pl ;-).

To wielką aferą nie jest, wielkiej dziury w zabezpieczeniach tu nie odkryłem. Po prostu należy zawsze pamiętać, że bardzo łatwo jest w internecie podszyć się pod kogoś innego – w sposób nie do odróżnienia dla innych.

Ciekawe jakie jeszcze inne praktyczne zastosowania można znaleźć do potwierdzana zgadniętego e-maila za pomocą gravatarów? Choćby phishing?

Reklamy
Komentarze
  1. mirsun pisze:

    Jak ktoś jest świnia i złodziej to może włamać się wszędzie, może dokonać fałszerstwa, może podszywać się pod inną osobę. Nie chodzi o to by wszędzie były kraty ale o to by złapać takiego złodzieja. Niech Pan pomyśli czy aby stosując opisaną przez pana metodę taki złodziej będzie nieuchwytny. Uważam że z łatwością zostanie namierzony. Niech Pan może napisze poradnik jak włamać się do sklepu strzeżonego przez firmę ochroniarską.

    • wildwezyr pisze:

      Póki co napisałem tylko, że istnieje dziura i można ją łatwo wykorzystać. Chodziło mi o uświadomienie ludziom, że podając nick zgodny ze swoim adresem e-mail łatwo ten adres można zgadnąć i potwierdzić. Nie zrobiłem poradnika jak ominąć zabezpieczenia, bo żadnych zabezpieczeń tu nie ma, tu jest wręcz niechcący luka.

      Swoją drogą – nie mam pojęcia jak można namierzyć kogoś kto w opisany sposób spróbuje się podszyć pod inną osobę. IMHO jedynie adres IP oraz tzw. sygnatura przeglądarki może coś powiedzieć, ale:
      1) te informacje można zafałszować,
      2) są one dostępne dla właściciela serwisu i musi je zbierać,
      3) przydatność tych danych do namierzenia osoby jest mocno ograniczona,
      4) rzecz jasna nie jestem ekspertem bezpieczeństwa, polecam np. http://niebezpiecznik.pl/post/internet-cie-sledzi-i-namierza-bron-sie/ tutaj znają się na tym znacznie lepiej i specjalizują się w pisaniu o bezpieczeństwie.

      Reasumując: nie uważam abym w tym wpisie robił podręcznik włamywania się gdziekolwiek, raczej jest to tylko ostrzeżenie dla ludzi – aby byli świadomi jaką informację o nich można łatwo wyciągnąć z teoretycznie niewinnego (gr)avatara.

Skomentuj

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

Logo WordPress.com

Komentujesz korzystając z konta WordPress.com. Wyloguj / Zmień )

Zdjęcie z Twittera

Komentujesz korzystając z konta Twitter. Wyloguj / Zmień )

Facebook photo

Komentujesz korzystając z konta Facebook. Wyloguj / Zmień )

Google+ photo

Komentujesz korzystając z konta Google+. Wyloguj / Zmień )

Connecting to %s