Неприятная дыра в Feedburner
Забыл свой пароль к Feedburner, стал восстанавливать - и обнаружил дыру.
Восстановить пароль можно двумя способами - указать e-mail либо указать логин. В первом случае система сгенерирует новый пароль и вышлет его. Во втором - предложит ответить на секретный вопрос, который вы указывали при регистрации. Don’t worry about capitalization or spacing; only correct spelling is a must.
User friendly, не правда ли? И тут возникает традиционная проблема Feedburner’а - нелюбовь к кириллице. Если вы задавали вопрос и ответ на русском, то вместо вопроса увидите только кучу вопросиков, а правильно введенный ответ не будет принят. Но как только вы укажете вместо ответа подходящее количество вопросиков - сразу сможете задать новый пароль. Увы и ах - получить доступ к чужому аккаунту так просто. Разумеется, если владелец использовал кириллицу.
hi! Это действительно так? Проверено. Просто насколько я понимаю, в базе данных должны храниться далеко не вопросики. Символы вроде как могут отображаться вопросиками, но это не значит, что это вопросики… по крайней мере я так думал до сегодняшнего дня. Век живи век учись. А вообще, конечно все эти ответы на секретные вопросы лучше делать в виде еще одного пароля. В вопросе востановки пароля это конечно же минус, но по идее обеспечит безопасность
В принципе, я подразумевал, что ФидБернер не любит русский, поэтому использовал только анлгийские ответы:) Причем стараюсь делать это везде, для меня это как логин и пароль на русском - неправильным кажется.
А вообще интересно так ли это не 100%
wmas, проверено на собственном аккаунте.