Nakłonił mnie do tego ten komentarz: http://www.wykop.pl/wpis/23613707/#comment-84654685 użytkownika @Droper i parę poniższych użytkowników, którzy twierdzą, że w ich aktywnych sesjach widnieje tylko i wyłącznie ich IP i nie ma nowych sesji z podejrzanych adresów IP. Wersja z zawirusowaniem wydaje się mało prawdopodobna - jak zawirusować aż tyle komputerów przypadkowych wykopków, którzy nie mieli praktycznie aktywności lub była ona wręcz zerowa? Mogłoby być ciężko z tym. No może jakby spamować polskie popularne skrzynki pocztowe z jakichś ogólnodostępnych list mailngowych, ale przecież prawdopodobieństwo trafienia użytkownika wykopu, jelenia który otworzy jakiegoś spamerskiego maila, pobierze z niego wirusa, jeszcze będzie miał jeden system operacyjny na którym on zadziała(4in1) jest niewielkie, nieprawdaż?
Dopiero jak się wylogowałem to rzeczywiście się wylogowałem. A jak zalogowałem się ponownie to aktywność zmieniła się na teraźniejszą godzinę. Screen5: https://zapodaj.net/images/a5a7a2900ad00.png
Wykop zapamiętuje Twoje dane logowania, dzięki temu nie musisz za każdym razem wpisywać hasła.
Na tej liście prezentujemy wszystkie adresy IP, na których logowałeś się na Wykop. Jeżeli uważasz, że któryś z adresów IP nie był używany przez Ciebie, możesz zabrać mu możliwość automatycznego logowania.
Chyba to nie bardzo tak działa.
Oznacza to według mnie tyle, że na wirusy na kontach użytkowników miejsca tu nie ma - jedynie poznanie kompletu login+hasło lub przejęcie sesji użytkownika(?) wchodzi tu w grę. Specjalistą od bezpieczeństwa nie jestem,ale skoro usuwam sesję, to powinienem zostać automatycznie z niej też wylogowany. A nawet jeżeli nie to ta sesja z której ją usuwam i mnie nie wylogowuje ciągle powinna tam widnieć. A skoro nie widnieje to znaczy, że ten bot, który loguje się na te konta mógł też usuwać sesję i dlatego część użytkowników biorących udział w automatycznym zakopywaniu i wykopywaniu znalezisk podejrzewa zawirusowanie swojego komputera, które według mnie nie miało miejsca.
Nie napisałem tego, ale u mnie z konta nie miała miejsca jakakolwiek niepokojąca sytuacja - nie było wykopywanych ani zakopywanych znalezisk oprócz tych, które wykopywałem lub zakopywałem sam. W połączeniu z tym, że były tam też jakieś mało albo wcale nie używane konta wyklucza to jak dla mnie wpływ uprawnień w aplikacjach, bo wątpię, żeby one miały jakiekolwiek aplikacje dodane.
Raczej to kwestia bruteforce (dużo osób z "poszkodowanych" twierdziło, że miało łatwe
A i jakby co to te widoczne klucze API sobie już zmieniłem, bo się trochę zamotałem podczas pisania i robienia screenow i zapomniałem zamazać. Więc nie krzyczeć ( ͡°͜ʖ͡°)
@ArekJ: ja zmieniłem hasło, włączyłem wykop na laptopie po wybudzeniu i zalogowany na stare haslo mogłem robić wszystko - przeglądać, pisać itp. Dopiero po restarcie przegladarki wyświetlił się prompt o hasło.
@staryhaliny: Bezpiecznie bardzo ( ͡°͜ʖ͡°) Czyli w sumie ani zmiana hasła ani usunięcie sesji nie gwarantuje nam bezpieczeństwa jak ktoś już jest zalogowany na nasze konto i ma aktywną sesję...
@DOgi: Działa. W Moim Wykopie wywaliło mi błąd, że błędny klucz użytkownika po usunięcia klucza z konta. Dopiero jak się wylogowałem w MW i zalogowałem ponownie to wygenerowało klucz i zaczęło działać.
Nakłonił mnie do tego ten komentarz: http://www.wykop.pl/wpis/23613707/#comment-84654685 użytkownika @Droper i parę poniższych użytkowników, którzy twierdzą, że w ich aktywnych sesjach widnieje tylko i wyłącznie ich IP i nie ma nowych sesji z podejrzanych adresów IP.
Wersja z zawirusowaniem wydaje się mało prawdopodobna - jak zawirusować aż tyle komputerów przypadkowych wykopków, którzy nie mieli praktycznie aktywności lub była ona wręcz zerowa? Mogłoby być ciężko z tym. No może jakby spamować polskie popularne skrzynki pocztowe z jakichś ogólnodostępnych list mailngowych, ale przecież prawdopodobieństwo trafienia użytkownika wykopu, jelenia który otworzy jakiegoś spamerskiego maila, pobierze z niego wirusa, jeszcze będzie miał jeden system operacyjny na którym on zadziała(4in1) jest niewielkie, nieprawdaż?
Pierwsze co zrobiłem to zalogowałem się na swoje konto:
Screen1: https://zapodaj.net/images/f6e982551d482.png
Pochodziłem chwilę po mirko i... podejrzane wydało mi się to, że ostatnia aktywność jest ciągle taka sama jak na screenie powyżej. Screen:
Screen2: https://zapodaj.net/images/0790b0d4e0c34.png
Drugie co zrobiłem to usunąłem sesję użytkownika na swoim koncie. I wiecie co? Nie wylogowało mnie.
Screen3: https://zapodaj.net/images/1d33df1a824bf.png
Poklikałem trochę po mirko, trochę po głownej itp., wróciłem do sesji i nadal się tam nic nie pojawiło. A ja ciągle byłem zalogowany.
Screen4: https://zapodaj.net/images/b4f2a9b122f08.png
Mogłem chodzić po mirko, dodawać komentarze i wpisy(http://www.wykop.pl/wpis/23617981/testuje-cos-sobie-o/ - ten dodałem pomiędzy ostatnimi 2 screenami.), mogłem otwierać nowe karty z wykopem i nowe okna przeglądarki.
Dopiero jak się wylogowałem to rzeczywiście się wylogowałem. A jak zalogowałem się ponownie to aktywność zmieniła się na teraźniejszą godzinę.
Screen5: https://zapodaj.net/images/a5a7a2900ad00.png
Chyba to nie bardzo tak działa.
Oznacza to według mnie tyle, że na wirusy na kontach użytkowników miejsca tu nie ma - jedynie poznanie kompletu login+hasło lub przejęcie sesji użytkownika(?) wchodzi tu w grę.
Specjalistą od bezpieczeństwa nie jestem,ale skoro usuwam sesję, to powinienem zostać automatycznie z niej też wylogowany. A nawet jeżeli nie to ta sesja z której ją usuwam i mnie nie wylogowuje ciągle powinna tam widnieć.
A skoro nie widnieje to znaczy, że ten bot, który loguje się na te konta mógł też usuwać sesję i dlatego część użytkowników biorących udział w automatycznym zakopywaniu i wykopywaniu znalezisk podejrzewa zawirusowanie swojego komputera, które według mnie nie miało miejsca.
Wołam jeszcze @niebezpiecznik-pl, @ZaufanaTrzeciaStrona, @Wykop, @Moderacja, @a__s, @m__b
W połączeniu z tym, że były tam też jakieś mało albo wcale nie używane konta wyklucza to jak dla mnie wpływ uprawnień w aplikacjach, bo wątpię, żeby one miały jakiekolwiek aplikacje dodane.
Raczej to kwestia bruteforce (dużo osób z "poszkodowanych" twierdziło, że miało łatwe
Ja czasem usuwałam sesje, mirkowałam trochę i po jakimś czasie dopiero byłam wylogowana.
Ech, mogłeś zrobić tl;dr, bo tak z rana w sobotę to powieki podnieść nie mogę xD
Bardzo w stylu Wypoku xD Kiedyś ukradli im bazę. A wiesz dlaczego? Bo nie było hasła na roota. ( ͡° ͜ʖ ͡°)
Czyli w sumie ani zmiana hasła ani usunięcie sesji nie gwarantuje nam bezpieczeństwa jak ktoś już jest zalogowany na nasze konto i ma aktywną sesję...
@ArekJ: pozostaje mieć nadzieję, że zarządzanie kluczami działa lepiej niż zarządzanie sesjami xD