Кратко, о себе: Не связан, с IT но в качестве хобби, занимаюсь изучением юзабильности и дружелюбности, сайтов и приложений к пользователю смартфона. Хобби, примерно с 2009 года. Время от времени, на тестируемых ресурсах, позволяю себе, высказать свое мнение и пожелания.Иногда, мнение принимали благожелательно и даже применяли пожелания на пользу. В общем, кое какой опыт, в "интернетах" есть. Но, вот, такого, как получен от ВКонтакте, буквально вчера - пока не случалось.
История болезни:
Убиваю время в одном из мини приложений "тайм-киллеров" в приложении вк, получаю несколько сообщений от спамеров, по одной из ссылок, из интереса, перешел. Определил, методику использующегося мошенничества (откройте ящик, заберите приз, введя данные карты), чего естественно делать не стал, вернулся к игре. И тут начались чудеса.
Через минуту, получаю сообщение от "Администрация вконтакте" - вы перешли по подозрительной ссылке, смените пароль и подтвердите номер телефона.
Прочитавший это сообщение, мозг, напряг логику и подтолкнул - выгребай!
1.Что такое "сниффер", я знаю, эта штука, ворующая сессию пользователя, без доступа к паролю, в лучшем случае, и при наличие пароля в траффике приложения (да, в десятых, такая безалаберность случалась у сайтов), ворующая и его. Но, сейчас у нас, не десятые, вконтакте, вроде как страдавший в былые годы, от подобного воровства, в нынешнее времена, повторять ошибки не склонен. А воровство сессии, обрывается банальным перезаходом на страницу пользователем. То есть, самым логичным методом, для группы безопасности ВК, было бы, оборвать сессию пользователю, автоматически. Перезашел бы с вводом пароля, так как, по факту, пароль не скомпроментирован, а учетная запись с номером телефона и дублированной, почтой. Небольшая досадная неприятность, для пользователя, сохраняющая безопасность, но не напрягающая самого пользователя.
Однако, сессия вопреки логике не оборвана, а сообщение в приложении просит сменить пароль. К тому же, кто может себе представить, ситуацию, когда, администрация, сообщает угонщику страницы (ведь по ее логике, страница уже скомпроментирована, так как обнаружен переход по потенциально опасной ссылке), что требуется смена пароля (ведь у вора потенциально уже есть доступ). Да и сама уверенность, в том, что пароль скомпроментирован, на чем то основанна должна быть? В траффике перехода, был пароль? Серьезно?