Saya sedang mengembangkan Google Alerts untuk layanan GitSpo. Saya tidak mengerti apa sebenarnya itu, tetapi layanan ini berkembang pesat dan orang-orang menyukainya. Sebagian besar dari GitSpo mengumpulkan data dari berbagai jejaring sosial: Twitter, LinkedIn dan Stack Overflow. Saya perhatikan satu hal: Stack Overflow menggunakan layanan Gravatar untuk avatar di profil pengguna.Gravatar adalah layanan yang mengaitkan gambar (dalam kasus kami, avatar) dengan alamat E-mail Anda. Gambar ini dapat digunakan oleh situs lain (dalam kasus kami, Stack Overflow) untuk menampilkan avatar untuk orang yang mengunjungi situs.Avatar pengguna ditemukan dengan mem-hashing alamat emailnya. Misalnya, alamat email saya adalah gajus@gajus.com . Siapa pun yang memiliki email saya dapat membuat tautan ke gambar dengan avatar saya. Misalnya, https://www.gravatar.com/[/74a5bd659b3a8af09a336a932eebe3b1Kami mendapatkan:
Gravatar diluncurkan pada 2007 dan telah berkembang pesat sebagian karena digunakan sebagai layanan default untuk avatar yang digunakan di situs WordPress. Ide bagus - unggah avatar satu kali dan itu akan dipasang secara otomatis di semua situs. Cukup perbarui avatar di Gravatar dan gambar avatar Anda akan segera berubah di semua situs. Namun sayangnya, algoritma enkripsi yang mereka pilih ternyata sama sekali tidak aman.
Tautan ke gambar dihasilkan oleh hashing MD5 dari alamat E-Mail Anda, sebelum dipindahkan ke huruf kecil dan spasi dihapus.md5('gajus@gajus.com') === '74a5bd659b3a8af09a336a932eebe3b1'
Menggunakan MD5 untuk hash informasi pribadi adalah pilihan yang buruk bahkan pada saat itu. Saat ini, basis data sandi MD5 terdiri dari lebih dari 90 triliun hash. Selain itu, setengah dari alamat email berisi rentang karakter yang terbatas ( /^►az@\-.†+$/ ) dan cukup mudah untuk memprediksi akhir mereka, misalnya, domain populer seperti@ gmail.com
.Saya memutuskan untuk melakukan percobaan dan mengambil 1000 hash profil Stack Overflow dan menggunakan salah satu layanan untuk dekripsi. Hasilnya adalah 721 alamat E-Mail, mis. 72% sukses.Namun, menarik untuk menggunakan kasing ini tidak hanya untuk menerima alamat email. Banyak alamat email pengembang sudah tersedia untuk umum, karena alamat email GitHub dapat diperoleh dari profil mereka, komit, file, dan lisensi, atau bahkan langsung dalam komentar kode. GitSpo memiliki data tentang semua profil dan repositori GitHub yang tersedia untuk umum, jadi saya dapat meng-hash alamat dan membandingkannya dengan hash Stack Overflow. Dan saya menemukan 1000 dari mereka.Perlu dicatat bahwa Stack Overflow tidak hanya menggunakan Gravatar, tetapi juga digunakan oleh WordPress, HootSuit, TechDirt, Disqus dan tidak hanya. Stack Overflow menonjol di antara yang lain, karena ini adalah sumber daya di mana audiens utama adalah pengembang dan saya terkejut bahwa hal seperti itu melewati celah.Bahkan, hari ini Stack Overflow tidak dapat berbuat banyak - cukup banyak situs di Internet, yang merupakan salinan Stack Overflow. Namun, alangkah baiknya untuk tidak menggunakan Gravatar untuk pengguna pertama kali mendaftar.