Собственно сабж. Имеется ввиду дополнительный этап авторизации с применением кода из СМС, которое приходит на номер телефона, закреплённый за учётной записью. Обстоятельства таковы: 1) Есть компьютер, где все этапы авторизации пройдены, бразуер запомнен как авторизованный, т.е. коды из смс уже не требуются. 2) Есть второй компьютер, где логина в данную учётку ещё не производилось. Вопрос такой: по каким критериям контач и ок отличают авторизованный браузер от неавторизованного? И возможно ли подменить данные неавторизованного бразуера данными авторизованного, чтобы зайти в учётку без применения кода из СМС на совершенно другом компьютере? Дело только в куках или есть ещё нюансы?
Не имеет. Пробовал заходить с четырех разных прокси на одних и тех же куках - логинится без вопросов. Ни СМС на телефон, ни писем на почту.
ну вот я тоже как бы экспортирую куки находясь на украинском айпи, а потом закидываю куки на сервер в Санкт-Петербурге, - ставлю на крон, вечный онлайн в ОД. процентов 80 аккаунтов благополучно логинится, а примерно %20 акков - приходит смс на телефон - проверочный код, вы зашли из необычного места, бла-бла-бла. Все акки - свои, саморег, и использование их идёт исключительно на двух провайдерах - один RU второй UA. При этом логин по адресу почту+пароль из под впн от hideme - всегда без проблем. Так что это имеет место быть. Закономерность еще не выяснил -) Все акки одинаковые .
А какая кука отвечает за прохождение авторизации через телефон? Просто у меня есть логины и пароли, но надо беспалевно зайти в аки, чтобы не приходила смс на трубку.
Пару раз экспериментировал с куками, другими машинами и телефоном. На сколько я понял, куки не отвечает за авторизацию через телефон. Возможно, сейчас уже идет сверка и браузера и IP машины - не проверял.
А мы говорим конкретно и только про PC авторизацию..? Допустим с того же телефона - заходил с браузера в ВК - логинишься (с смс). Заходишь через ВК клиент - логинишься заного так же. Заходишь через n+1 браузер - все равно логинишься с смс. Заходил с ноутбука через mozilla - авторизовался на сайте (с смс). Захожу с оперы - снова авторизуюсь на сайте, но уже без смс. Заходил с PC с той же подсети - повторяется ситуация как с ноутбуком. ИМХО, имеется следующая ситуация: при первом заходе на машине происходит первичная полная авторизация. Дальнейшие заходы с этой машины, но через другие сервисы, приводят ко вторичной (читай - неполной) авторизации. То есть ты так же вводишь данные, но уже без указания мобильного/смс-кода (и тп). Идея закинуть куки жертвы на другую машину и зайти мне кажется маловероятной из-за уникальных данных каждой машины. По крайней мере, с ВК мне кажется не прокатит. С Одноклассниками шанс повыше (имхо сервис у них так себе).
Писал сегодня в саппорт одноклассников (вежливость - лучшее оружие вора). Сказали, что у них на сайте вообще отсутствует двухфакторная авторизация: "Наш сайт может потребовать подтверждение по СМС, только после блокировки вашего профиля. Если с вашим профилем всё ОК, то вы должны заходить на сайт без подтверждающего кода. Сожалеем, но функции двухфакторной аутентификации нет на нашем сайте." Так что с ОК вопрос отпал сам собой, ибо логины с паролями уже и так есть. С ВК дела обстоят так: куки сохраняются на два домена: login.vk.com и vk.com, меня интересует первый, ибо там храняться все данные об авторизации. Там пять переменных. В одной храниться ID пользователя (причём даже не зашифрованый). Что конкретно делают остальные четыре сказать не могу. Но при переносе этих КУК в ЛЮБОЙ браузер, на ЛЮБОЙ машине (испытывал на трех разных компах, на разных прокси) контач их хавает на раз. НО!!!!!! Кука с данными о том, что бразуер прошёл авторизацию через СМС храниться в данных о домене VK.COM (а там данных куда больше) и зашифрована в MD-5. Но не смотря на это, эти куки тоже хваются контачом без проблем при переносе на любую машину.
Опера автоматом копирует в себя все куки с машины, где устанавливается. Поэтому и авторизовалось без кодов всяких. Я не думаю, что контач разделяет куки по IP или ещё каким-то подобным данным - это слишком неудобно для юзеров.
Неудобно для юзеров, но я смотрю безопасность они латают на раз-два. Но что вк разделяет куки по ип - это сугубо моё мнение.
Я работал через эмулятор. каждый раз перед заходом в вк чистятся куки и кеш и генериться юзер-агент. Смс ни разу не требовало. Но когда заходишь через IP не СНГ требует ввести недостающие цифры номера телефона. На сколько я знаю логинится по смс приходиться только после того как вк замораживает профиль из-за каких то нарушений правил.
Нет, смс приходит каждый раз, как пытаешься залогиниться с компьютера, на котором нет контактовских куков. Если удалить все куки в бразуере и залогиниться, то полюбому придет СМС. ЕСЛИ, конечно, в настройках аккаунта включено подтверждение авторизации.
Мне ни разу ничего не приходило. боты работают без подтверждения по смс. Каждый раз перед залогиниванием бота чистятся куки и кеш и ставиться прокси. Бот только капчу разгадывает и дописывает недостающие цифры. Ботовод сам писал на Зене.
Ну, я имел ввиду обычный бразуер, а не вспомогательный софт. То есть способ, когда можно получить полный доступ к аккаунту. Бот ведь не сможет снифить сам по себе никакой инфы с аккаунта.
Ну Зена сама эмулирует юзер агент в том числе браузер. А значит робот вк с ботом должен обращаться также как и с обычным пользователем. Может я чего-то не понимаю, но я сталкивался с подтверждением по смс только при заморозке профиля и когда создавал в вк приложение.
Попробуйте авторизоваться через обычный браузер, где нет куков с авторизуемой страницы. Если в настройках включено подтверждение авторизации и указан номер телефона, 100% придет СМС на этот номер. Есть способы обойти это путем SQL-инъекций, но контач часто меняет тип и содержание принимаемых и отправляемых кук, плюс, дыры они латают хорошо, так что те инъекции, которые работали, скажем, год назад, сейчас уже не актуальны. Если бы знать, какие именно данные зашифрованы в куках, все стало бы намного проще. Но, увы, это крайне сложно, если не сказать больше. Плюс, некоторую инфу в куках, я уверен, сервак генерит на месте, при авторизации, что добавляет ещё больше сложностей. Короче, я пришел к выводу, что самый простой способ ломануть страницу ВК, для меня, не "кулхацкера", - это снифать куки из авторизованного браузера, с помощью, скажем ссылки в электронном письме. Для людей более профессиональных, можно пошаманить напрямую с базами контача и попытаться выудить нужную инфу прямо оттуда. С ОК дела обстоят проще: там двухфакторной авторизации вобще нет, но если попытаться авторизоваться с IP, который отличается от привычных регионов адресов, с которых ты логинился, то тоже попросит код из СМС для подтверждения.
