SaAnVi.Ruпародиифотоприколыбаннаяполитотакомпотажитота вкладка меню  сцылкиблогдумырецензиипоржатьфотоотчётыподдержать (12.5%)
^
Читаешь?
Интересно?
Поддержи.
SaAnVi.Ru
восклицалка
музыкальные приколы
фотоприколы / банная
политота / компота
житота / сцылки
блог / думы
рецензии на фильмы
тексты на поржать
фотоотчёты
Don't speak Russian?В избранноеПодписка РейтингАктивностьПоддержать (12.5%)

последние запросы

Яндекс поискпоиск Яндекса по сайту

нафигатор
*Музыка
Приколы, пародии, переделкиПесенки-чудесенкиПриколы (прочее)Авторский инструменталАвторские песниМинусовки (HiFi)Минусовки (LoFi)Минусовки (избранное)СаундтрекиZX SpectrumMODsMIDI
 
*Фото, рисунки
ПриколыБаннаяКарикатурыЖивотныеБелкиНасекомыеНебоЦветы, растенияПриродаКрасноярскРазноеФотоотчётыТрансляцииОбои (1280x1024)Обои (1680x1050)Обои (FullHD)СтокМоё
 
*Статьи
СмешноеРецензии на фильмыОбзорыЗвукСофт, комп, инетФотоСлова к песнямРецептыРазноеОчумелые ручкиЯндекс.ДиректФинансыИстории моей жизниДомостроениеОт других авторовПолитотаКомпотаЖитотаСцылкиВопросы по компьютеруВопросы по звуку
 
*Программы
Battle Ship DeLuxePut The BlockPrometeusNetZhopSpectrAnsDCAD
 
*Рингтоны
 
*Рейтинги
ОбщийМузыкаМинусовкиФотоСтатьиБлог
 
*Об авторе и сайте
АвторыЧаВоКонтактыБлогДумыАктивностьЮзерыКЖПСсылкиХостингКартаПоддержать сайт (12.5%)Горячие поклонники

 

блогЪ
одномоментные думы
последняя трансляция

19.03.2024 DNS: проверяем товары тщательней

18.03.2024 HDD

12.03.2024 Спамер-идиот

11.03.2024 проект, затычки, голосование

05.03.2024 Над ЖЖ нависла Ж?

04.03.2024 вокал, кабели, шрифт

01.03.2024 Яндекс.Дурак

29.02.2024 Фейковые мастера на Авито

28.02.2024 Очередной межгалактический следователь

26.02.2024 падение, бар, bitcoin

весь блог ▶
популярные посты ▶

 

подпишизь

RSS новости RSS комментарии

Уязвимость в "Госуслугах"

опубликовано:  08.08.2020  <весь блог>


Я и супруга имеем аккаунты на "Госуслугах", а всеми бюрократическими делами занимаюсь я - слежу, оплачиваю, оформляю заявления и т.п. Разумеется, с одного и того же браузера. Сегодня увидел интересное: не мог зайти в аккаунт жены после того, как полазил в своём. То есть, после своей сессии нажал "выйти", потом нажал "войти", сменил пользователя, набрал пароль (разумеется, от аккаунта жены) и... Оказался опять в своём аккаунте.

Подохренел, почесал репу. Одним из свойств моего мозга является мгновенное восприятие информации на экране, и я не совершаю ошибок а-ля "ввёл не тот телефон / имя пользователя". Точно помню, что вводил телефон жены. Даже если по запарке ввёл свой пароль (вот это уже бывает, он весь в звёздочках же) - пустить всё равно не должно.

Эх, раз, ещё раз, ещё много, много раз - всё то же. Логин - телефон жены, пароль - от аккаунта жены. А попадаю чётко в свой аккаунт.

Как веб-разработчик, понимаю, что дело в куках. Очищаю все куки домена gosuslugi.ru - та же петрушка. Вижу, что, несмотря на очистку куков, система помнит последнего пользователя. Поднимаю взгляд на адресную строку - светится домен esia.gosuslugi.ru - именно через него производится аутентификация. Очищаю куки с этого домена - вуаля! Никто больше ничего не помнит, и я наконец-то могу зайти в аккаунт жены.

Брешь довольно адовая, поскольку, получается, система при каких-то условиях заходит в аккаунт последнего пользователя, несмотря на то, что вход производится совсем в другой. Эксплуатировать сложно, но можно. Вообще не понимаю, как так напрограммировали. Это при том, что проект "Госуслуги" как разработчику мне даже в какой-то степени нравится - редко когда видел там неприятные глюки, сделано вроде неплохо, работает сносно. И - такой косяк.

 

©2020, Анатолий Савенков

комментариев: 3

просмотров:
466
глас народа:
+50 / -0
+зачёт    незачёт

голос будет учтён
в рейтинге

▶ Понравилось? Поддержи! ◀
 

 

Комментарии

 

1  Кот ДаВинчи
гость
08.08.2020 10:09
Да ладно тебе, на исправление подобных мелких багов у них уйдет не больше полугода :)

Запись к врачу, например, через них до сих пор через жопу работает - а ведь четвертый год уже пошел...
2  Flora )))
гость
08.08.2020 11:26
"Разумеется, с одного и того же браузера."
Разумеется??? А зачем с одного и того же? Подобные вещи реально удобнее делать в разных браузерах, т.е. у одного все профили в одном браузере, у другого на тех же сайтах, но в другом браузере.
3  SaAnVi
tzar
08.08.2020 15:13
> Подобные вещи реально удобнее делать в разных браузерах

Может быть, а может быть и проще держать один браузер вместо двух. :)

 

↑ к началу комментариев    ↑↑ к началу страницы

 

Вы не зарегистрированы. Зарегистрируйтесь или войдите в систему, чтобы не набирать каждый раз проверочный код (и иметь другие приятные функции на сайте). Действует суточный лимит анонимных комментариев для защиты от троллей, школоло-хакеров и спам-ботов. На текущий момент осталось комментариев: 9.

Добавить комментарий

* Ваше имя/ник:
E-mail:
* Комментарий:
(до 2048 символов)
введите две первые цифры из четырёх: 5755 

 

Фулюганствовать не надо: соблюдайте правила приличия. Я не люблю комментариев не по делу типа "Оццтой!" и им подобных. Если хотите что-то покритиковать или поучить кого-то жизни - делайте это с чувством, с толком и с расстановкой.

 

  

 

группа ВКонтакте Яндекс.Дзен Канал YouTube
 
Яндекс.Метрика Top.Mail.Ru
EC: 1481
новостя
15.03.2024
рецензия: Кентавр
09.03.2024
рецензия: Холоп 2
03.03.2024
банная: Хата азиата
22.02.2024
рецензия: Крушение
20.02.2024
статья: ASUS System Control Interface и иже с ними
07.02.2024
фотоприкол: Рыбалка
27.01.2024
фотоприкол: Простоквашино
23.01.2024
рецензия: Поехавшая
15.01.2024
статья: Firefox: пришла пора прощаться?
14.01.2024
рецензия: Синдром
все новости ▶

 

популярЪ

1. статья: Тёплый ламповый звук и сферический винил в вакууме

2. Хата азиата. Фото: NETDTHC.

3. статья: Firefox: пришла пора прощаться?

4. музыкальная пародия: Стоят девчонки

5. статья: ASUS System Control Interface и иже с ними

6. рецензия: Холоп 2

7. рецензия: Крушение (Plane)

8. музыкальная пародия: Винда

9. статья: RUCELF UPI-400-12-EL: лучше, чем ничего

10. статья: Отключение ненужных служб Windows

весь TOP ▶

 

крайние каменты

1. блог: HDD

2. блог: проект, затычки, голосование

3. статья: Куда пропали компьютерные вирусы

4. рецензия: Холоп 2

5. блог: Отзыв о Nolix

6. блог: Искусственный интеллект, и почему он терпит поражение

7. блог: Web-oil.com: на каждого найдётся свой мошенник

8. блог: Спамер-идиот

9. Святые рёбрышки. Фото: GanZ. Кстати, успеха достигли: "народ" уже..

10. Пахата. Зато "с фрезою". Фото: NETDTHC.

 

на сайте
гости: 8

статистика за 10 минут

юзеры ▶
изображениезакрыть
dummy