https://www.opennet.ru/openforum/vsluhforumID3/91976.html В развиваемом проектом Mozilla распределённом сервисе идентификации пользователей Persona выявлена (https://blog.mozilla.org/security/2013/10/02/bug-bounty-program-finds-and-helps-resolve-security-vulnerability-in-persona/) уязвимость, позволяющая злоумышленнику подделать факт верификации email и выполнить вход от имени любого адреса сервисов Gmail и Yahoo Mail, для которых поддерживается использование OpenID для подтверждения валидности пользователя. Уязвимость была выявлена в рамках программы "Bug Bounty Program" и не была публично оглашена до устранения проблемы. Persona позволяет пользователям авторизоваться на любом веб-сайте, используя email, который должн быть предварительно подтверждён владельцем, для чего в том числе поддерживается использование протокола OpenID. <br><br><br><br>Причина уязвимости кроется (https://blog.mozilla.org/security/2013/10/02/learning-from-a-recent-security-vulnerability-in-persona/) в особенностях верификации с использованием OpenID и проявляется только для сервисов, для которых по https://www.opennet.ru/openforum/vsluhforumID3/91976.html#16 Thu, 03 Oct 2013 23:05:01 GMT &gt; Бугага хацкер получит доступ к используемым и сохранённым темам лисы и будет <br>&gt; их менять, или подсунет тему с рекламой :)) <br>&gt; ИМХО!, начиная с переработанного интерфейса ff7+, который прекрасно смотрится с системной <br>&gt; темой, по крайней мере у меня с qtcurve, эту перделку, не <br>&gt; то что можно, а нужно давно было выкинуть!<br><br>Илюха, ты блин такой жуткий экстремист: "перделку", "выкинуть!"<br><br>Напиши им письмо, мол так и так, я Илюха с Опеннета, требую немедленно все "перделки" выкинуть, ибо не согласен я. О результатах потом нам поведаешь. А вдруг они и в самом деле пойдут тебе на встречу и таки повыкинут их.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/91976.html#15 Thu, 03 Oct 2013 23:00:38 GMT &gt; Так тут больше не Mozilla виновата, а кривые валидаторы входных данных в <br>&gt; сервисах и либах.<br><br>А кого это по большому счёту чешет ? Мозилка сервис свой не обезопасила как следует, ну, теперь-то у них глаза откроются, придумают чего-нибудь.<br> https://www.opennet.ru/openforum/vsluhforumID3/91976.html#14 Thu, 03 Oct 2013 22:59:06 GMT Элегантно, даже.<br> https://www.opennet.ru/openforum/vsluhforumID3/91976.html#13 Thu, 03 Oct 2013 09:32:23 GMT Это судьба<br> https://www.opennet.ru/openforum/vsluhforumID3/91976.html#12 Thu, 03 Oct 2013 09:30:26 GMT Нормальный человек, если попадет в сервис с чужого аккаунта, сразу перелогинится<br> https://www.opennet.ru/openforum/vsluhforumID3/91976.html#11 Thu, 03 Oct 2013 09:12:46 GMT мда, студенческая поделка, сразу видно<br> https://www.opennet.ru/openforum/vsluhforumID3/91976.html#10 Thu, 03 Oct 2013 07:12:02 GMT Лох!<br> https://www.opennet.ru/openforum/vsluhforumID3/91976.html#9 Thu, 03 Oct 2013 03:41:58 GMT Дети Индиго... они такие<br> https://www.opennet.ru/openforum/vsluhforumID3/91976.html#8 Wed, 02 Oct 2013 21:26:59 GMT &gt; Бывшие &#171;Personas&#187; теперь называются &#171;темами&#187;, а &#171;Persona&#187; <br>&gt; &#8212; это бывший &#171;BrowserID&#187;.<br><br>Спасибо, не знал.<br>