прошу администрацию разобраться в этом инценденте, ибо чревато.

с одной стороны, это шуточки, конечно, но очень сильно злоупотреблениями попахивает.

давай рассмотрим варианты взлома...

почта - отпадает сразу, ибо ящег временный и давным давно почил в бозе.

для подбора надо знать логин из 4-х букв и 3-х цифр, ладно, с цифрами догадаться не трудно, но набор букв достаточно бессвязен, соотвецтвенно он идёт в подбор + пароль 6 цифр, они хоть и тупые, но не совсем, поперебирать придёцца, итого 10 символов на подбор, 4 из которых буквы. чтобы подобрать такую комбинацию, нужно заспамить сруль. следовательно - это нах, иначе бы это посчитали за ддос атаку и айпишнег был бы занесён в блеклист.

рассмотрим вариант с тем, что кто то мог узнать логин через какую-либо дыру в форуме... вроде были такие... в этом случае нужно угадать 6 цифр... конечно, такую возможность не стоит отметать, но она ничтожно мала.

остаётся одно - украсть куку.

тут есть 2 варианта.

первый - прямой доступ к базе, с целью вытащить значение куки из поля.

второй - быстренько подсунуть скрипт, крадущий куку с клиента, для этого вполне сгодится яваскрипт, например скрипт предпросмотра.

предлагаю администрации ограничить доступ к скриптам форума нечистоплотным сотрудникам, использующим этот доступ не по назначению.

если у вас есть другие варианты и предположения почему это происходит, с удовольствием их выслушаю.

вот айпи адрес с которого был выход под моим ником 178.63.68.137 возможно он пригодится при анализе логов. я подозреваю, что с этого адреса не был осуществлён вход в форум, а была банальная подмена куки, это можно отследить по логам посещений.

ак был украден в районе 15:00, вот сохранившееся сообщение от хакера.

12393997

прошу не прятать под ковёр.

я свои мысли изложил. у вас есть мысли поумнее? готов выслушать.

серёжа, ты дурак. людям надо верить.

на твоей уже третий. и всё по тому же сценарию и с того же айпишника выход с тупыми высерами из-под стыренного ника. пароль не меняли ни разу. более того, я пароль менял, перелогиневался, один хрен выход по устаревшей куке. всё явно показывает на то, что ни логина не пароля хакер не знал. как можно увести куку, думайте сами.

ну не можете сделать нормальную защиту, сделайте хотя бы сброс куки после смены пароля.

тынцык дай, пожалуйста, где он это говорил?

вот не надо нас только за лохов держать.

я перерегистрировался под темже логином и паролем. два часа полёт нормальный... хакер знает эти логин и пароль, почему он снова не прикололся?

в общем, логи у админов есть, я надеюсь, всю инфу скинул. жду объяснений.

я три раза регался под разными логинами/паролями, только индекс повторялся. ярмеч то рабрираецца... ага. он первый на подозрении.

почему бы его не забанить?

скорее не так. это не вопрос топика.

айпи из германии. с моим ни с одним не совпадает, естественно. что за вопрос?
за никами и точным временем к модераторам пт, они владеют информацией.

от верблюдова. тебя только это интересует? то, что аки ломают тебе пофиг?

ну отлично. значит зайти через него мог любой желающий, соответственно к хакеру этот адрес никакого отношения не имеет. в принципе, я так и думал.

https://www.sql.ru/forum/actualthread.aspx?tid=933472

ловите по свежим следам! :)

реально уже достало..

оно ещё и стебёцца :)

в принципе, вопрос снят. доверился левому почтовому серверу и его уверениям о том, что ящик уничтожен. сам дурак.

но всё же есть одна очень большая просьба - сделать e-mail после регистрации по умолчанию невидимым. это убережёт многих от подобной ошибки в будущем. идеальный вариант, конечно - два емейла, один скрытый для общения с администрацией, другой открытый, просто поле информации для публичной переписки, который можно хоть по три раза на дню менять без активации... но понятно, что это я требую почти невозможного! :)

Сделаю как посоветовали 12400569

а х да, ещё забыл. на приличных ресурсах есть возможность принудительно прервать сессию, нажав "выйти", так, чтобы никто не смог бы воспользоваться ником просто по сохранённой куке без обязательного входа, в таком случае после смены почты и пароля злоумышленник не сможет попасть на ак и постить с него. почему то на скл.ру такой механизм не реализован. хотя с другой стороны, тогда злоумышленник сможет украсть ник с концами... правда и сейчас может... тут уж к

я вот, например, не могу вернуть контроль над этим ником в данный момент, хотя могу поменять и почту и пароль.

нет уж, дружок. подожду решения джуджа. :)