Pass-the-hash?

В чем посыл статьи?

Да, такой момент, к сожалению, присутствует.

Есть хорошая картинка на аналогичную тему.

Чисто гипотетически — обход двухфакторной аутентификации.

Дорогая, я просто уязвимости искал!

Эксплуатировать на своих аккаунтах, например.

Почему не воспользовались баг-баунти программой? (тыц).

Ваше поведение совсем не похоже на «этичный хакинг».

Эксплуатация уязвимости в отношении третьих лиц:

Я просто стал заваливать их списком модераторов известных новостных сообществ: «Первый канал», «РБК», «Известия» и прочие.

Разглашение сведений о выявленной уязвимости:

Поэтому я решил написать тому, кому, как я думал, это будет интересно, тем самым привлечь внимание на ошибку.

Меры, принятые по отношению к вам, адекватны на все 100%.

>На хабре с июня 2015.
>Не комментировать до этого абсолютно ничего.
>Откомментить, что код «редкостная гадость».
>«сохранить общий тон разговора нейтральным и вежливым».

Скромное баунти какое-то для такой уязвимости.

Без мнения zhovner не разобраться.

К чему этот снобизм? «На прямой запрос службе поддержке об этом — никто не отвечает.» Вы издеваетесь?

Сумма конечно невелика, но ведь с тем же успехом — денег могли вообще не заплатить. Вы же занимаетесь этим на добровольных началах, соответственно такой исход не должен удивлять, разве нет?

Хардкорная проверка пользователей на устойчивость к «Дорожному яблоку».

Интересно как его удалось вывести на чистую воду.

Как всегда отличная статья от Milfgard. Пишите чаще!

Отличная статья, спасибо!

Интересен Ваш технический бэкграунд до прохождения курса.

Выглядит эпично.

Этот сервис подсказывает, что сочетание трех практически любых (кроме тех, что состоят из одного символа) слов дают довольно криптостойкий пароль.

К примеру, пароль «HelloDigitalSecurity» — несильно уступает «f13r23faef32#R@lo», но явно удобнее.

Однозначно в «избранное».