SaAnVi.Ruпародиифотоприколыбаннаяполитотакомпотажитота вкладка меню  сцылкиблогдумырецензиипоржатьфотосеты ПОДДЕРЖАТЬ
^
Читаешь?
Интересно?
Поддержи.
SaAnVi.Ru
музыкальные пародии
фотоприколы / банная
политота / компота
житота / сцылки
блог / думы
рецензии на фильмы
тексты на поржать
фотосеты
Don't speak Russian?В избранноеПодписка РейтингАктивность Поддержать

последние запросы

Яндекс поискпоиск Яндекса по сайту

нафигатор
*Музыка
Пародии, приколы, переделкиПесенки-чудесенкиПриколы (прочее)Авторский инструменталАвторские песниМинусовки (HiFi)Минусовки (LoFi)Минусовки (избранное)СаундтрекиZX SpectrumMODsMIDIПранк
 
*Фото, рисунки
ПриколыБаннаяКарикатурыЖивотныеБелкиНасекомыеНебоЦветы, растенияПриродаКрасноярскРазноеФотосетыТрансляцииОбои (1280x1024)Обои (1680x1050)Обои (FullHD)СтокМоё
 
*Статьи
СмешноеРецензии на фильмыОбзорыЗвукСофт, комп, инетФотоСлова к песнямРецептыРазноеОчумелые ручкиЯндекс.ДиректФинансыИстории моей жизниДомостроениеОт других авторовПолитотаКомпотаЖитотаСцылкиВопросы по компьютеруВопросы по звуку
 
*Программы
Battle Ship DeLuxePut The BlockPrometeusNetZhopSpectrAnsDCAD
 
*Рингтоны
 
*Рейтинги
ОбщийМузыкаМинусовкиФотоСтатьиБлог
 
*Об авторе и сайте
АвторыЧаВоКонтактыБлогДумыАктивностьЮзерыКЖПСсылкиХостингКартаПоддержать сайт (0%)Горячие поклонники

 

блогЪ
одномоментные думы
последняя трансляция

26.08.2025 Яндекс и спам

25.08.2025 Элио, Солонцыско, F1

24.08.2025 Windows 95: 30 лет

18.08.2025 супермен, миссия, плагиатор

11.08.2025 шеф, Demio, комп

04.08.2025 80-е, кинотеатр, возрождение

29.07.2025 Джилекс продолжает жечь

28.07.2025 блокировка, день, сайдинг

21.07.2025 сайдинг, уголь, тортик

20.07.2025 Мастера-мошенники компьютерных дел 4

весь блог ▶
популярные посты ▶

 

подпишизь

RSS новостиНОВОСТИ
RSS комментарииКАМЕНТЫ
ТЕЛЕГАТЕЛЕГА

Уязвимость в "Госуслугах"

опубликовано:  08.08.2020  <весь блог>


Я и супруга имеем аккаунты на "Госуслугах", а всеми бюрократическими делами занимаюсь я - слежу, оплачиваю, оформляю заявления и т.п. Разумеется, с одного и того же браузера. Сегодня увидел интересное: не мог зайти в аккаунт жены после того, как полазил в своём. То есть, после своей сессии нажал "выйти", потом нажал "войти", сменил пользователя, набрал пароль (разумеется, от аккаунта жены) и... Оказался опять в своём аккаунте.

Подохренел, почесал репу. Одним из свойств моего мозга является мгновенное восприятие информации на экране, и я не совершаю ошибок а-ля "ввёл не тот телефон / имя пользователя". Точно помню, что вводил телефон жены. Даже если по запарке ввёл свой пароль (вот это уже бывает, он весь в звёздочках же) - пустить всё равно не должно.

Эх, раз, ещё раз, ещё много, много раз - всё то же. Логин - телефон жены, пароль - от аккаунта жены. А попадаю чётко в свой аккаунт.

Как веб-разработчик, понимаю, что дело в куках. Очищаю все куки домена gosuslugi.ru - та же петрушка. Вижу, что, несмотря на очистку куков, система помнит последнего пользователя. Поднимаю взгляд на адресную строку - светится домен esia.gosuslugi.ru - именно через него производится аутентификация. Очищаю куки с этого домена - вуаля! Никто больше ничего не помнит, и я наконец-то могу зайти в аккаунт жены.

Брешь довольно адовая, поскольку, получается, система при каких-то условиях заходит в аккаунт последнего пользователя, несмотря на то, что вход производится совсем в другой. Эксплуатировать сложно, но можно. Вообще не понимаю, как так напрограммировали. Это при том, что проект "Госуслуги" как разработчику мне даже в какой-то степени нравится - редко когда видел там неприятные глюки, сделано вроде неплохо, работает сносно. И - такой косяк.

 

©2020, Анатолий Савенков

комментариев: 3

просмотров:
521
глас народа:
+50 / -0
+зачёт    незачёт

голос будет учтён
в рейтинге

▶ Понравилось? Поддержи! ◀
 

 

Комментарии

 

1  Кот ДаВинчи
гость
08.08.2020 10:09
Да ладно тебе, на исправление подобных мелких багов у них уйдет не больше полугода :)

Запись к врачу, например, через них до сих пор через жопу работает - а ведь четвертый год уже пошел...
2  Flora )))
гость
08.08.2020 11:26
"Разумеется, с одного и того же браузера."
Разумеется??? А зачем с одного и того же? Подобные вещи реально удобнее делать в разных браузерах, т.е. у одного все профили в одном браузере, у другого на тех же сайтах, но в другом браузере.
3  SaAnVi
tzar
08.08.2020 15:13
> Подобные вещи реально удобнее делать в разных браузерах

Может быть, а может быть и проще держать один браузер вместо двух. :)

 

↑ к началу комментариев    ↑↑ к началу страницы

 

Вы не зарегистрированы. Зарегистрируйтесь или войдите в систему, чтобы не набирать каждый раз проверочный код (и иметь другие приятные функции на сайте). Действует суточный лимит анонимных комментариев для защиты от троллей, школоло-хакеров и спам-ботов. На текущий момент осталось комментариев: 10.

Добавить комментарий

* Ваше имя/ник:
E-mail:
* Комментарий:
(до 2048 символов)
введите две первые цифры из четырёх: 1195 

 

Фулюганствовать не надо: соблюдайте правила приличия. Я не люблю комментариев не по делу типа "Оццтой!" и им подобных. Если хотите что-то покритиковать или поучить кого-то жизни - делайте это с чувством, с толком и с расстановкой.

 

  

 

группа ВКонтакте Telegram Канал RuTube Яндекс.Дзен Канал YouTube
 
Яндекс.Метрика Top.Mail.Ru
EC: 1428
новостя
14.08.2025
рецензия: Нэчжа побеждает царя драконов
05.08.2025
статья: TradeOgre умер?
02.08.2025
музпародия: Мечта ютубера
07.07.2025
фотоприкол: Волшебные бахилы
01.07.2025
статья: ИИ: революция с инволюционным уклоном
25.06.2025
рецензия: Кракен
19.06.2025
рецензия: Новичок
06.06.2025
банная: Круассаньё
02.06.2025
рецензия: Источник вечной молодости
20.05.2025
рецензия: Дроп
все новости ▶

 

популярЪ

1. статья: Тёплый ламповый звук и сферический винил в вакууме

2. музыкальная пародия: Винда

3. статья: ИИ: революция с инволюционным уклоном

4. музыкальная пародия: Комп налаживается

5. статья: TradeOgre умер?

6. статья: RUCELF UPI-400-12-EL: лучше, чем ничего

7. статья: Отключение ненужных служб Windows

8. А вы думали, только компьютерные мошенники используют идиотские..

9. музыкальная пародия: No Coca

10. музыкальная пародия: Админ

весь TOP ▶

 

крайние каменты

1. блог: Windows 95: 30 лет

2. блог: Элио, Солонцыско, F1

3. блог: Яндекс и спам

4. блог: шеф, Demio, комп

5. блог: супермен, миссия, плагиатор

6. блог: Чем опасен ИИ

7. блог: 80-е, кинотеатр, возрождение

8. статья: TradeOgre умер?

9. блог: дно, главы, закат

10. блог: Приключения с богатырями-барбершоперами

 

на сайте
Садисто (1)

гости: 5

статистика за 10 минут

юзеры ▶
изображениезакрыть
dummy