4rum.i2p: различия между версиями
(Имя создателя форума) |
(особенности) |
||
Строка 14: | Строка 14: | ||
= Особенности = | = Особенности = | ||
* Открыт постинг без регистации | |||
* Личные сообщения | |||
* Невозможно редактировать и удалять посты | |||
* Нет возможности менять и восстанавливать пароль | |||
* Отсутствует пагинация тредов | |||
== Особенность авторизации == | == Особенность авторизации == | ||
Для авторизации используются не куки, а b32 адрес клиента. Такой способ авторизации был раскритиковам некоторыми пользователями, а позже привел к взлому. | Для авторизации используются не куки, а b32 адрес клиента. Такой способ авторизации был раскритиковам некоторыми пользователями, а позже привел к взлому. Но, несмотря на это, админ не оставляет надежду придумать способ авторизации без использования кукисов. | ||
{{Q| | |||
'''carvet''' Да, мне тоже куки не нравяться, размышляю над тем как от этого уйти | |||
|http://major.acetone.i2p/ilita/4rum/2022/05/29 | |||
}} | |||
= Взлом = | = Взлом = |
Версия 23:05, 29 мая 2022
![]() | ||||||||
4RUM | ||||||||
|
4rum.i2p - русскоязычный форум в i2p, запущенный 24 мая 2022 аноном под ником Carvet. Форум позиционируется как место для адекватного общения в противовес Кислице и бордам вцелом. Форум использует самописный движок и свободен от java script.
Можно считать данный форум продолжением дела почивших forum-ru.i2p и hata.i2p. Даже цветовая схема похожа.
Особенности
- Открыт постинг без регистации
- Личные сообщения
- Невозможно редактировать и удалять посты
- Нет возможности менять и восстанавливать пароль
- Отсутствует пагинация тредов
Особенность авторизации
Для авторизации используются не куки, а b32 адрес клиента. Такой способ авторизации был раскритиковам некоторыми пользователями, а позже привел к взлому. Но, несмотря на это, админ не оставляет надежду придумать способ авторизации без использования кукисов.
« |
carvet Да, мне тоже куки не нравяться, размышляю над тем как от этого уйти |
» |
— http://major.acetone.i2p/ilita/4rum/2022/05/29 |
Взлом
28 мая 2022 была запощена ссылка на форум на Кислице. Вскоре некий анон обнаружил уязвимость в движке форума, позволившую ему логиниться без регистрации под чужими никами и писать. В том числе был создан пост от имени админа.
По словам админа причиной было отсутствие заголовка X_I2P_DEST_B32 в запросах того анона.
В тот же день админ исправил проблему, переведя авторизацию на использование кук.