Ich entwickle Google Alerts für den GitSpo-Dienst. Ich habe nicht verstanden, was genau es ist, aber der Service entwickelt sich schnell und die Leute mögen es. Ein großer Teil von GitSpo sammelt Daten aus verschiedenen sozialen Netzwerken: Twitter, LinkedIn und Stack Overflow. Mir ist eines aufgefallen: Stack Overflow verwendet den Gravatar-Dienst für Avatare in Benutzerprofilen.Gravatar ist ein Dienst, der ein Bild (in unserem Fall einen Avatar) mit Ihrer E-Mail-Adresse verknüpft. Dieses Bild kann von anderen Websites (in unserem Fall Stapelüberlauf) verwendet werden, um einen Avatar für Besucher der Website anzuzeigen.Der Avatar des Benutzers wird durch Hashing seiner E-Mail-Adresse gefunden. Meine E-Mail-Adresse lautet beispielsweise gajus@gajus.com . Jeder, der meine E-Mail hat, kann mit meinem Avatar einen Link zu einem Bild erstellen. Zum Beispiel https://www.gravatar.com/avatar/74a5bd659b3a8af09a336a932eebe3b1Wir erhalten:
Gravatar wurde 2007 gestartet und ist teilweise schnell gewachsen, da es als Standarddienst für Avatare verwendet wird, die auf WordPress-Sites verwendet werden. Tolle Idee - lade einen Avatar einmal hoch und er wird automatisch auf allen Seiten installiert. Aktualisieren Sie einfach den Avatar auf Gravatar und das Bild Ihres Avatars ändert sich sofort auf allen Websites. Leider erwies sich der von ihnen gewählte Verschlüsselungsalgorithmus als völlig unsicher.
Der Link zum Bild wird durch MD5-Hashing Ihrer E-Mail-Adresse generiert, bevor er in Kleinbuchstaben übertragen und die Leerzeichen entfernt werden.md5('gajus@gajus.com') === '74a5bd659b3a8af09a336a932eebe3b1'
Die Verwendung von MD5 zum Hashing persönlicher Informationen war selbst zu dieser Zeit eine schlechte Wahl. Heute umfasst die MD5-Verschlüsselungsdatenbank über 90 Billionen Hashes. Darüber hinaus enthält die Hälfte der E-Mail-Adressen einen begrenzten Zeichenbereich ( /^►az@\-.†+$/ ), und es ist recht einfach, deren Endungen vorherzusagen, z. B. eine so beliebte Domain wie@ gmail.com
.Ich entschied mich für ein Experiment und nahm 1000 Hashes von Stapelüberlaufprofilen und verwendete einen der Dienste zur Entschlüsselung. Das Ergebnis waren 721 E-Mail-Adressen, d.h. 72% Erfolg.Es ist jedoch interessant, diesen Fall nicht nur zum Empfangen von E-Mail-Adressen zu verwenden. Die E-Mail-Adressen vieler Entwickler sind bereits öffentlich verfügbar, da die E-Mail-Adressen von GitHub aus ihren Profilen, Commits, Dateien und Lizenzen oder sogar direkt in den Codekommentaren abgerufen werden können. GitSpo verfügt über Daten zu allen öffentlich verfügbaren GitHub-Profilen und -Repositorys, sodass ich die Adressen hashen und mit Stack Overflow-Hashes vergleichen konnte. Und ich habe 1000 davon gefunden.Es sollte beachtet werden, dass Stack Overflow nicht nur Gravatar verwendet, sondern auch von WordPress, HootSuit, TechDirt, Disqus und nicht nur. Stack Overflow stach unter den anderen hervor, da dies eine Ressource ist, bei der das Hauptpublikum Entwickler sind, und ich war überrascht, dass so etwas durch die Lücke ging.Tatsächlich kann Stack Overflow heute nicht viel - viele Websites im Internet, die eine Kopie von Stack Overflow sind. Es wäre jedoch großartig, die Verwendung von Gravatar für die erstmalige Registrierung von Benutzern zu deaktivieren.