https://ssl.opennet.dev/openforum/vsluhforumID3/119257.html GitHub оказался подвержен атаке, позволяющей захватить доступ к учётной записи через манипуляцию с Unicode-символами в email. Проблема связана с тем, что некоторые символы Unicode при применении функций преобразования в нижний или верхний регистр транслируются в обычные символы, близкие по начертанию (когда несколько разных символов транслируются в один символ - например, турецкий символ "&#305;" и "i" при приведении в верхний регистр преобразуются в "I")...<br><br>Подробнее: https://www.opennet.ru/opennews/art.shtml?num=52047<br> https://ssl.opennet.dev/openforum/vsluhforumID3/119257.html#5 Sat, 21 Dec 2019 14:24:56 GMT Весьма древняя проблема. И она принципиально не лечится.<br><br>- Если вы маппите одни символы в другие, вознимает множество проблем взаимодействия и неоднозначностей. Через которые системы могут того-этого.<br>- А если не маппите, тогда можно спуфить ники, используя очень похожее отображение.<br> https://ssl.opennet.dev/openforum/vsluhforumID3/119257.html#4 Thu, 19 Dec 2019 22:58:00 GMT toUpperCase в обоих случаях<br> https://ssl.opennet.dev/openforum/vsluhforumID3/119257.html#3 Thu, 19 Dec 2019 18:45:47 GMT &gt; Адрес проходил проверку так как преобразовывался в верхний регистр и <br>&gt; совпадал с исходным адресом (mike@example.org ), но при отправке <br>&gt; письма подставлялся как есть и код восстановления уходил по <br>&gt; поддельному адресу (m&#305;ke@example.org<br><br>корень (краеугольная причина!) этой проблемы в том что в ряде случаев в базах данных хранятся (опрометчиво) только "нормализированный-варианты-email".<br><br>но при отправке -- сервис справедливо хочет использовать "оригинальный-вариант-email" а не "нормализированный", на случай вдруг нормализация испортила свойства этого email.<br><br>а откуда взять "оригинальный-вариант-email" если он не был сохранён?! вот программисты и решили (опрометчиво!) что ЯКОБЫ могут взять его прямо сразу из формы ввода пользователя. хитрые какие :-) ..<br><br>вот и выводы -- либо сохраняйте в базе данных сразу оба варианта email...<br><br>...и в любом случае после процесса верификации email -- имейте точно ввиду что-же-именно вы верифицировали.<br><br>фраза звучит бонально, но всё же программистам в неё https://ssl.opennet.dev/openforum/vsluhforumID3/119257.html#2 Thu, 19 Dec 2019 12:18:41 GMT Более того она нелепа =)<br> https://ssl.opennet.dev/openforum/vsluhforumID3/119257.html#1 Thu, 19 Dec 2019 11:59:53 GMT '&#223;'.toLowerCase() === 'SS'.toLowerCase()<br>false<br>'John@G&#305;thub.com'.toUpperCase() === 'John@Github.com'.toUpperCase();<br>true<br><br>Отправлять письмо по введенному адресу, а не по тому, что был найден в базе? Ну, ок.<br>