Прислали мне вот такое видиво
VIDEO
Посмотрите, оно короткое.
Если вкратце, поинт автора - аккаунты можно пиздить, зная IP и сессию жертвы.
Я, со своими убогими знаниями работы интернет протоколов, не особо понимаю как такое возможно и возможно ли вообще?
Типо TCP Handshake не может завершиться, если ты спуфишь IP, а без него ты пососешь хуев, а не войдешь в лаунчер, разве нет?
Единственный механизм (из тех которые пришли мне в голову) который В ТЕОРИИ МОГ БЫ СРАБОТАТЬ ТАК, это если вместо прямого обращения со своего IP, ты отправляешь на сервер форму в которой одна из строчек это “мой IP, мамой клянусь” и вот это значение, как раз таки, можно подменить, нормально завершив handshake.
Короче, призываю всю форумную интеллигенцию сюда, потому что мне интересно чем все закончится.
Если эта дыра реальна - jesus fucking lord, ваша безопасность на уровне нахуй 1996 года.
Всем добра.
