Designul aplicatiilor – Yahoo! Messenger: De ce nu mai merge detectarea userilor pe invizibil?
107
Presupun ca majoritatea dintre voi ati intrat cel putin odata pe un detector de invizibil pentru Yahoo! Messenger (invisible detector, invisible scanner, yahoo scanner sau cum sunteti voi obisnuiti sa le spuneti). De ce ar vrea cineva sa stie daca cineva este online cand este clar ca acea persoana nu vrea sa fie vazuta? Eu nu pot gasi un raspuns, insa uimitor aceste servicii adunau pe domeniile lor zeci de mii de utilizatori unici zilnic. O alta intrebare, care banuiesc ca va intereseaza mai mult, este cum o companie atat de mare(Yahoo!) nu a intervenit? Am putea sa consideram ca este un bug, pentru ca utilizatorii nu se puteau folosi de un serviciu oferit, sau am putea sa consideram ca este o vulnerabilitate pentru ca „atacatorii” se foloseau de slabiciunile protocolului YMSG pentru a afla o informatie pe care nu ar fi trebuit sa o stie.
Care era vulnerabilitatea?
In timp au existat multe vulnerabilitati ce permiteau detectearea utilizatoriilor cu optiunea de invizibil insa o voi aminti doar pe cea mai recenta. Aceasta se baza pe simpla optiune a Yahoo! Messenger de a atribui o imagine id-ului tau (avatar). Atacatorii se foloseau de pachetul 0xBE din protocolul YMSG ce facea o cerere catre id-ul victima in care cerea avatarul. Daca utilizatorul era online, clientul trimitea(fara a cere permisiunea utilizatorului) raspuns atacatorului. Intermedierea era facuta de catre serverele Yahoo!. Aceasta metoda a functionat timp de ani de zile fiind intr-un sfarsit oprita cu aproximativ o saptamana in urma.
Cum nu a aflat yahoo de vulnerabilitate din moment www-ul era plin de asemenea site-uri?
A aflat. Inca de la inceputuri Yahoo a fost instiintata de prezenta acestei vulnerabilitati si a incercat in cateva randuri sa le repare, dar de fiecare data au fost opriti de designul protocolului de comunicare. Nu puteau face schimbari majore in protocol fara ca ele sa nu aiba efect in cascada asupra altor elemente din protocol si asupra clientului. O solutie ar fi fost lansarea unui client nou care sa foloseasca un protocol nou, insa pentru asta era nevoie de o investitie majora in programarea sa si a serverelor, care fie trebuiau programate sa suporte ambele protocoale (extrem de costisitor), fie trebuiau sa baneze clientii precedenti (ce ducea la pierderea de utilizatori). A fost nevoie de mai mult de zece ani de zile, peste 10 upgradeuri la protocolul de comunicare si peste 5 versiuni de clienti pentru a repara o eroare ce putea fi eliminata fara niciun cost daca era descoperita in momentul in care designul protocolului a fost scris.
Concluzie
Detectoarele precum ydetector, imvisible, persiangap, vizgin, yahooscan si restul nu mai functioneaza, si foarte probabil nu vor mai functiona mult timp de acum incolo. Asa ca putem acum sa ne ascudem linistiti. Sper totusi ca dupa ce au reparat o vulnerabilitate ce a tinut ani de zile, Yahoo nu va lasa sa scape in upgrade-urile viitoare o noua portita.
In final tin sa mai dau un sfat programatorilor: Nu gandit proiectele ca „idee+implementare”. Etapa de design a softului este esentiala pentru un software de calitate. Ganditi designul, testati, implementati, testati, refaceti designul din nou, implementati, etc pana nu vreti sa mai modificati nimic si nu mai gasiti nicio vulnerabilitate.
Imax, lasa oamenii sa se simta bine, fiecare are fetish-urile lui. De ce tre sa te bagi in vietile altora. Fiecare are dreptul sa faca ceva vrea cu timpul lui.
Daca ai o idee mai buna pentru petrecerea timpului liber, do it for yourself and your friends 😉
Oameni buni…am o prob…si am nevoie parerea voastra. De cateva zile niste persoane vor sa intre in lista mea de mess…spunand ca eu le-am trimis invitatie. Eu nici nu ii cunosc pe oamenii astia, si nici nu am vazut numele lor la mine in lista ca si cum cineva le-ar fi trimis invitatie de pe adresa mea. Nici macar in address book nu erau id-urile lor. atunci cum a ajuns invitatia la ei? caci daca dai o invitatie la cineva, si apoi stergi inainte sa iti dea add..invitatia nu mai ajunge. la adresa mea de mess nu are nimeni acces, si nici la laptop. Credeti ca cineva ma ia misto, si spune ca eu trimit invitatii? Vreau sa inteleg ce naiba se intampla… voi ce spuneti?
De ce nu face cineva o aplicatie care are o interfata ca pe mess si acolo inserezi IDul persoanei care trebuie scanata, si se alege intervalul de timp la care se repeta scanarea(spre ex 4 min)…iar cand persoana intra pe mess (adinca trece din modul offline in modul invisibe sau chiar online, userul primeste notificarea, fara ca el sa scaneze mereu cand persoana aceea e pe mess… bineinteles..aceasta aplicatie sa fie contra cost..)..ASTEPT PROPUNERI!!!!!
Exista de ceva timp un astfel de serviciu
Intri pe IMvisible.ro si in meniu gasesti „Alerta Yahoo ID”
Sau intri direct pe http://alert.imvisible.info/ro
Face exact ce ai cerut tu 😉
eu as fi interesat cum sa fac un asemenea serviciu.help anyone?
Ma baieti si fete va confirm eu ca ydetector.com functioneaza l-am testat de 30 de ori azi si mi-a aratat corect de fiecare data, ce-i interesati il puteti utiliza.
Ali, poti face doar daca ai detector propriu.
Vezi ca si-au schimbat baietii de la IMvisible pagina la
http://alert.imvisible.ro/
Am o intrebare: imi puteti spune daca ma vede cineva cand stau pe invizibil pe mess dar fara sa ma scaneze? Adica daca exista vreun astfel de program care detecteaza userii care stau pe invizibil, pe toti din lista, insa fara sa-i scanezi? Multumesc !
Costi, Intrebarea ta este putin cam fara sens. Daca stai pe mess si nimeni nu te scaneaza nu are cum sa te gaseasca daca esti invizibil, iar daca vrei sa te detecteze cineva, trebuie neaparat sa te scaneze.
Daca te referi la a scana intreaga lista de mess simultan, nu este un astfel de soft, deoarece s-ar genera un usage mult prea mare pentru orice detector. IMvisible a avut asa ceva, pe vremea cand se putea face mult mai usor detectarea.
Ok, am inteles, insa intrebasem acest lucru pentru ca mi s-a intamplat de cel putin 2 ori sa stau pe invizibil si cineva sa intre in vorba cu mine imediat cum am intrat…si nu cred ca ma scanase exact in minutul acela, de asta e dubios…
Ah, pai pentru asta exista tool. Este serviciul de ID Alert de la IMvisible spre exemplu.
Daca cineva vrea, te pune sub urmarire si automat cand intri te si contacteaza 😉
Multumesc pentru raspuns. Vreau sa mai stiu ceva 😀 Cand scanezi pe cineva sau cand esti scanat, am inteles ca exista si posibilitatea sa afli locatia si ora de unde s-a efectuat scanarea…Exista vreun astfel de soft sau site?
Alt lucru, am scanat un ID si era OFFLINE desi in lista mea de mess aparea ONLINE. Cum se poate asa ceva? (Invers stiu ca se poate si stiu de ce)
Ok…
„De ce nu mai merge detectarea userilor pe invizibil ?” Pai de aia, ca se apropie 1 aprilie, si faza ca „…nu mai merge detectarea userilor invizibili” este pacaleala. Pacat de articol. Decit sa scrii o minciuna (ca sa nu zic altceva) mai bine nu scriai articolul deloc.
Ai remarcat din curiozitate data la care a fost publicat articolul?
de vreo doua saptamani iarasi detectoarele nu mai functioneaza..in sensul ca cei care stau pe invisible sunt detectati ca fiind offline….e verificata treaba…mai exista oare sperante de revenire?..sunt interesata daca au constat si altii acelasi lucru…
…………..
Stiti cumva de ce nu mai merg? sau stiti vreunul care merge? am o urgenta 😀
de azi, si au revenit 🙂
IMvisible.ro merge, verificat de aseara
Am verificat de aseara pe IMvisible.ro si merge fain
Very rapidly this web page will be famous among all blogging visitors, due to it’s good articles