Неприятная дыра в Feedburner
Забыл свой пароль к Feedburner, стал восстанавливать — и обнаружил дыру.
Восстановить пароль можно двумя способами — указать e-mail либо указать логин. В первом случае система сгенерирует новый пароль и вышлет его. Во втором — предложит ответить на секретный вопрос, который вы указывали при регистрации. Don’t worry about capitalization or spacing; only correct spelling is a must.
User friendly, не правда ли? И тут возникает традиционная проблема Feedburner’а — нелюбовь к кириллице. Если вы задавали вопрос и ответ на русском, то вместо вопроса увидите только кучу вопросиков, а правильно введенный ответ не будет принят. Но как только вы укажете вместо ответа подходящее количество вопросиков — сразу сможете задать новый пароль. Увы и ах — получить доступ к чужому аккаунту так просто. Разумеется, если владелец использовал кириллицу.
hi! Это действительно так? Проверено. Просто насколько я понимаю, в базе данных должны храниться далеко не вопросики. Символы вроде как могут отображаться вопросиками, но это не значит, что это вопросики… по крайней мере я так думал до сегодняшнего дня. Век живи век учись. А вообще, конечно все эти ответы на секретные вопросы лучше делать в виде еще одного пароля. В вопросе востановки пароля это конечно же минус, но по идее обеспечит безопасность 🙂
В принципе, я подразумевал, что ФидБернер не любит русский, поэтому использовал только анлгийские ответы:) Причем стараюсь делать это везде, для меня это как логин и пароль на русском — неправильным кажется.
А вообще интересно так ли это не 100% 🙂
wmas, проверено на собственном аккаунте.