Estoy desarrollando Alertas de Google para el servicio GitSpo. No entendí exactamente qué es, pero el servicio se está desarrollando rápidamente y a la gente le gusta. Una gran parte de GitSpo es recopilar datos de varias redes sociales: Twitter, LinkedIn y Stack Overflow. Noté una cosa: Stack Overflow utiliza el servicio Gravatar para avatares en los perfiles de usuario.Gravatar es un servicio que asocia una imagen (en nuestro caso, un avatar) con su dirección de correo electrónico. Esta imagen puede ser utilizada por otros sitios (en nuestro caso, Stack Overflow) para mostrar un avatar para las personas que visitan el sitio.El avatar del usuario se encuentra al cifrar su dirección de correo electrónico. Por ejemplo, mi dirección de correo electrónico es gajus@gajus.com . Cualquier persona que tenga mi correo electrónico puede generar un enlace a una imagen con mi avatar. Por ejemplo, https://www.gravatar.com/avatar/74a5bd659b3a8af09a336a932eebe3b1Obtenemos:
Gravatar se lanzó en 2007 y ha crecido rápidamente en parte porque se usa como el servicio predeterminado para los avatares que se usan en los sitios de WordPress. Gran idea: suba un avatar una vez y se instalará automáticamente en todos los sitios. Simplemente actualice el avatar en Gravatar y la imagen de su avatar cambiará inmediatamente en todos los sitios. Pero desafortunadamente, el algoritmo de cifrado que eligieron resultó ser completamente inseguro.
El enlace a la imagen se genera mediante el hash MD5 de su dirección de correo electrónico, antes de que se transfiera a minúsculas y se eliminen los espacios.md5('gajus@gajus.com') === '74a5bd659b3a8af09a336a932eebe3b1'
Usar MD5 para trocear información personal fue una mala elección, incluso en ese momento. Hasta la fecha, la base de datos de cifrado MD5 tiene más de 90 billones de hashes. Además, la mitad de las direcciones de correo electrónico contienen un rango limitado de caracteres ( /^►az@\-.,++$/ ) y es bastante fácil predecir sus terminaciones, por ejemplo, un dominio tan popular como@ gmail.com
.Decidí experimentar y tomé 1000 hashes de perfil de desbordamiento de pila y utilicé uno de los servicios de descifrado. El resultado fue 721 direcciones de correo electrónico, es decir 72% de éxito.Sin embargo, es interesante utilizar este caso no solo para recibir direcciones de correo electrónico. Las direcciones de correo electrónico de muchos desarrolladores ya están disponibles públicamente, ya que las direcciones de correo electrónico de GitHub se pueden obtener de sus perfiles, confirmaciones, archivos y licencias, o incluso directamente en los comentarios del código. GitSpo tiene datos sobre todos los perfiles y repositorios de GitHub disponibles públicamente, por lo que pude analizar las direcciones y compararlas con los hashes de desbordamiento de pila. Y encontré 1000 de ellos.Cabe señalar que no solo Stack Overflow usa Gravatar, también lo usa WordPress, HootSuit, TechDirt, Disqus y no solo. Stack Overflow se destacó entre el resto, porque este es un recurso en el que la audiencia principal son desarrolladores y me sorprendió que tal cosa haya pasado por la brecha.De hecho, hoy Stack Overflow no puede hacer mucho, muchos sitios en Internet, que son una copia de Stack Overflow. Sin embargo, sería genial dejar de usar Gravatar para los usuarios que se registran por primera vez.