2 omant
Вот сама функция GetAppParam
function GetAppParam(param_id) {
if(!isNS6) return document.iw.getParam(param_id) ;
return "";
}


Вот метод (getParam) который вызывается из js–функции GetAppParam.

public final String getParam(String s1)
{
String s2 = "";
if(s1.equals("uin"))
{
s2 = dw.p();
} else
if(s1.equals("online"))
{
s2 = dp.a? "1" : "0";
} else
if(s1.equals("port"))
{
s2 = String.valueOf(nf.p);
} else
if(s1.equals("state"))
{
s2 = String.valueOf(dp.v);
}
q.n("JS<<== getParam " + s1 + ": " + s2);
return s2;
}


Как видишь тут ничего связанного с password нет. Так что с этой стороны проблем не предвидится :)

Все таки, кто програмирует на Java, скажите условия получения значений переменых из аплета? Или где про то можно прочитать :) Заранее спасибо.

Вообще в cy2.jar 128 файлов… причем в названиях нет никакой логики (типа a.class, ab.class, b.class etc). Из просто декомпилировать замучаешся :)

2 omant
Попробовал, варианты с GetAppParam('password') и GetAppParam('pass') не прошли. А теоретически так возможно вытащить пароль, надо только узнать имя переменной. А это ни так уж и сложно :( Хотя может от этого есть какя–либо защита? Не все значения переменных можно вытащить из java–аплета? Не слежу за новинками в области JAVA, есть специалисты?

Сейчас попробую поразбирать его (аплет). Может что интересное наковыряю :)

2 Cheese
Можно и так :) Кому как удобнее… В свете всего вышесказанного я переделаю страницу, добавлю сопровадительно–пояснительные тексты, ссылку на go.icq.com :) Кому будет удобнее пользоваться с go.icq — пожалуйста :)

2 omant
>> ой, влез не в тему (–:
Почему не в тему, ты все верно сказал. Теоретически такая ситуация возможна. Осуществляется очень легко. Все дело в том, считает ли владелец сайта такое возможным, или нет. Вопрос доверия.

2 Crazy Alex
IMHO значит "по моему скромному мнению", то есть еще можно перевести как "я так считаю", "это мое личное мнение". Но никак IMHO не значит гипотетичность высказанной мысли.

2 Crazy Alex, omant
>> рисуется оболочка, которая никуда не ведет, а после ввода UIN и pass пишет что–то вроде "Unable to establish connection", одновременно записывая UIN и pass в лог файл умельца.
Гипотетически это возможно. Но это не дает оснований обвинят меня в воростве паролей.

2 Crazy Alex
что webicq расписывается так, как будто сам troublemaker ee и сваял.
Спасибо за совет. На странице добавлю ссылку на icq.com, текст про то что используется алпет разработанный в мирабилиси и что гипотетически возможен перехват уинов/паролей пользователя. Если он не доверяет данному сайту то пожалуйста, проше перейти на go.icq.com :)

2 Crazy Alex
>> дешевый выпендреж
:lol: Мальчик, тебя уже заносит. Потом опять будешь говорить что этого не говорил? Как в случае с обвинением меня в воровстве паролей, а потом объяснений что совершенно не это имел ввиду?

>> и накрутка собственного баннеропоказа
Накрутка? Каким образом? Один заход на старницу = одну показу баннеров. Аська открывается в совершенно отдельном окне, без баннеров. Страницу на которой стоит кнопка открытия вебаськи после этого можно закрыть. Так где тут накрутка? Или ты может не знаешь что такое накрутка?

2 Cheese
Хотя бы в том что не надо лезть на иностранный сервер. Многих пугает большое кол–во незнакомых слов :)

То что я сделал — это альтернатива, еще один интерфейс для пользования удобным инструментом. Кому нравится может пользоваться go.icq.com. Свобода выбора :)

>> Но в своем посте я имел ввиду ГИПОТЕТИЧЕСКУЮ возможность того, что в один момент апплет некого анонимного (:)) чела подменяет собой мирабилисовский аплет и начинает тягать пароли.
Это нельзя сделать из–за механизма защиты реализованого в JAVA. Аплет может соединяться только с сервером с которого был загружен.Если он будет грузиться с моего сервера то не сможет работать из–за того что он не сможет коннектится с icq.com. Я уже это объяснял.

>> По–моему я никого не обвинял. Читай внимательнее посты.
Вот цитата из твоего первого поста в этом треде:
IMHO используют стандартную оболочку icq2go, просто прокручивая ее через свой сайт, а попутно снимают UIN и password пользователей. (выделено мной)

Вот и обвинение в воровстве :( Глагол "снимают" употреблен в утвердительной форме, а не сослагательной.

Из этого практически невозможно понять что ты всего лишь имел ввиду ГИПОТЕТИЧЕСКУЮ возможность того, что в один момент апплет некого анонимного (:)) чела подменяет собой мирабилисовский аплет и начинает тягать пароли.

Надеюсь пришли к взаимопониманию? Извинений не требую, хотя услышать их хотелось бы.

2Ilich
>> что ты воруешь, аккаунты у юзеров или идею у мирабилиса
Красиво сказано, громко, пафосно :) Что я еще успел своровать? Родной язык у Пушкина? :lol:

>> после моего одного появится еще десяток твоих, не разочаровывай, плз:))
Буду очень огорчен если разочаруешся :(

2feathery
Вот, наконец то пошел более–менее конструктивный разговор.

>> даже ни разу не назвал Вас на ты. :)
Можно и на ты. Если ты против моего обращения к тебе на "ты", то мне это не сложно исправить. Просто сеть демократична и мое обращение на "ты" не говорит о моем неуважение к тебе. Также как и обращение на "Вы" не говорило бы об уважительном отношение. Это все слова, которыми легко манипулировать. "Вы" использую тoлько в деловых письмах.

>>есть. но и тот и другой в состоянии утащить пароль описанным выше способом.
Только в обоих случаях пароль может получить владелец сервера с которого запускается cgi–скрипт или java–аплет. Так? В нашем случае java–аплет грузится с ICQ. Идет соединение машина пользователя–сервер ICQ. После того как аплет вызвался с моей страницы я в этом процессе _не_участвую_. И трафик перехватит не могу, ведь он просто идет мимо.

>> как мы можем его взять за пример, если у вас там mysql–сервер подвис?
На момент первого твоего поста в этом треде он тоже висел? :) Да… когда писал прошлое сообщение он уже был работоспособен, забыл об этом написать, домой вернулся после продолжительного пивопития с друзьями.

>> И чего мне бояться–то?
Сорри, был излишне эмоционален.

>> Вы не опровергли пока ни одного моего утверждения
Да, не опроверг. Потому что к нашему случаю они не имеют отношения так как я не являюсь владельцем сервера с которого запускается java–аплет. Ведь ты говорил о воровсте паролей через cgi–интерфейс? Или я что то не так понял?

>> А где Вы видели, чтоб я это утверждение опровергал?!
Я не прошу чтобы ты это опроверг, я необорот хочу чтобы ты с этим согласился :)

>> вот мои друзья с воида.
Если не сложно попроси их зайти сюда :) И высказать свое мнение.

>> апплеты и прочая подобная муть выдуманы чтоб ими пользоваться, а не изучать код каждый раз.
Полностью согласен. Обычные юзеры так и делают, просто пользуются. О безопасности за них думаю другие :) Но в этом случае, прежде чем что–то сказать они хорошенько изучают предмет разговора. Согласен?

Только зачем изучать код каждый раз?
2Spacoom and 2feathery
>> что вы в любой момент можете начать грузить _свой_ апплет, и начать воровать чужие эккаунты.

Не могу, потому что мне этого не надо :) но это не доказательство :). А вот то что java–аплет может соединяться только с тем сервером с которого был загружен факт. Это доказательство является достаточным? Соответсвенно я не могу сделать _работающую_ webicq если буду грузить аплет с своего сервера. Она c icq.com коннектится не будет :) (так было два года назад, может быть сейчас уже ввели механизм проверки подписей)

>>Так какая хрен разница?
Да никакой… практически. Только это говорит об уровне твоих знаний, как видно не высоких. Если не знаешь чем http://go.icq.com отличается от http://lite.icq.com :) Удачи :)

2Crazy Alex
>> Зачем же ТАК возбуждаться?
Не зачем… Ты согласен что с аплета загружаемого с icq.com нельзя воровать пароли? Скажи только да или нет. А то сейчас разведешь демагогию :)

Значение IMHO я и так знаю очень хорошо :)

>>Так какая хрен разница?
Большая.. я могу подвердить свои слова, а ты только обвинить меня в очередном проступке.

>> могу поспорить, что завтра будет еще один пост про ensk.ru.

Нет.. не будет, информационного повода нет. А какую–нибудь лажу я вам давать не хочу. Стыдно будет.

Есть пара не относящихся к енску ссылок. Размещу только одну, такие правила…

2feathery
В момент написания твоего первого поста все отлично грузилось, потом подвис mysql–сервер… Зачем переводить разговор на то что несущественно… отмазываешся? Не можешь признать свои ошибки? Ведь действительно, java–аплет загружаемый с сервера ICQ не может дать возможности своровать пароль. Но ты же это нигде не сказал, боишся видимо, IMHO.

Может все–таки спросим у тех кто в этом разбирается? Ребятам с http://void.ru, http://hackzone.ru и http://securitylab.ru ты доверяешь? Давай спросим их _профессиональное_ мнение. Я не боюсь, потому что знаю, что прав. А ты, "специалист" в кавычках? Даже код вызова аплета посмотреть поленился, иначе бы не поднимал эту тему.

2serg А при чем тут мой пост, моя ссылка и проблема воровства паролей?? Они как–то связаны? Если нет то зачем тут заводит об этом разговор? Или ты опять еще раз скажешь что не обвиняешь меня в воровстве паролей? Только намекаешь?

Заранее спасибо :)
Приятон пообщаться с умными людьми.

serg.. radosti net.. пост был рекламный.. я это не скрываю, но правилм он не противоерчиит, тем более прошел твое внимание? (или не ты мою ошибку исправлял?)… и между строк отлично видно что ты согласен с обвинением меня в воровстве паролей. Ну что же, проект твой, поэтому удачи… Бань, но на мои вопросы никто не ответил… 2Crazy Alex IMHO, относилось к оболочке… это так и есть, она с ICQ, зачем мне придумывать велосипед. Тем более если бы была моя оболочка — тогда действительно можно было бы сомневаться в том куда идут пароли… но мне этого не надо, своих проблем хватает… 2 serg
Неприятно видет людей пытающихся построить из себя профи.

>> Или Вас так обнадёживает "открытость" кода Java–апплета?

Меня обнадеживает что аплет загружается с icq.com. Если бы он грузился с енска то вопросов бы не было. А тут… Или ты ICQ тоже не веришь? ;)

fethery, к сожалению не знаю кто писал скрипты для dirty.ru, и с использование каких технологи.

Так пока у меня нет кляпа спрошу :) Как можно снять логин/пароль с ява–аплета работающего с сервером icq.

Берем за пример то что есть на ensk.ru — сам аплет грузится с icq.com, то есть я к нему _никакого_отношения_ не имею. Объясни? Или можешь говорить только общии слова?

>> тогда уж lite.icq.com :)

Crazy Alex, еще одно проявления "знаний"?
Web–based ICQ находится именно на http://go.icq.com/, с лайта есть только ссылка.

А лайт версия — это облегченной версия стандартной аськи, без излишних наворотов, который загружается на компьютер и там запускается. Хистори вроде нет, еще чего–то. Точно не знаю, сам не пробовал, обычная, 2002 аська вполне устраивает.

Кстати на www.dirty.ru пост об этом вроде был.

Сделать себе что ли майку с надписью "Lamers, shut up!" :) :lol:

serg, товарищ feathery сказал дельную вешь, но только к этому случаю она не относится, используются разные технологии. Проконсультируйся у хорошего веб–программиста знакомого с cgi и java.

Crazy Alex, если ты хорошо разбираешся в компьютерной безопасности то опиши технологию попутного снятия логина–пароля? Даже не реализуй, а просто опиши.

Дельную? Хммм.. а есть разница между cgi–скриптом отправляющии данные на сервер на котором он находится и java–аплетом работающим только с сервером на icq.com. "Специалисты", блин. Может каждый будет говорить о том, в чем хорошо разбирается, а не знает на уровне слухов?

>> Блин, troublemakers, не надо считать всех идиотами, ладно?
Спасибо, за совет :)

>> Ты еще напиши, что микрософт переехал на troublemakers.da.ru
А вот за это спасибо не будет, глупый он. Надеюсь не растроился?

Раскрутка, да :) Но информацию даю вроде полезную, нужную, интересную.

Плюс webicq всего один, возможность пользоваться аськой с любого компьютера подключенного к сети. Помоему этого достаточно, не так ли?

Михрютка :)

А в чем была своеобразность этого «источника»?

Насколько я знаю посольство Луны В РФ есть — http://www.luna.ru/.

Оригинально :) Заставляется задуматься… действительно, зачем автобомобили, на девушек смотреть гораздо приятнее.

Можно флажки дать. Тогда будут семафорить.

А если она скажет: "Что скалишся?"