Здравствуйте.
Заметил существенную ошибку безопасности на сайте DrWeb (https://www.drweb.ru).
Шаги для воспроизведения ошибки:
1). Я залогинен в аккаунте сайта drweb.ru (посмотрел дату окончания моей лицензии и прошёл 1 тест в проекте ВебIQметр). Я хочу выйти из аккаунта сайта drweb.ru. Нажимаю соответствующую кнопку "Выйти".
2). Открываю страницу проекта ВебIQметра (https://www.drweb.ru/web-iq/), ничего там не делаю, закрываю эту страницу.
3). Обновляю страницу drweb.ru.
4). Оказывается, что я СНОВА залогинен в аккаунте сайта drweb.ru, хотя я только что (на шаге 1) ведь вышел из своего аккаунта сайта drweb.ru и не входил туда больше.
Вот запись экрана http://www.dailymotion.com/video/x5qslju
Ошибка существенная, опасная, требует немедленного исправления.
Сценарий взлома и причинения вреда:
1). Человек на общественном компьютере поработал в своём аккаунте сайта drweb.ru (пообщался со службой поддержки, продлил лицензию, прошёл пару тестов ВебIQметра, прошёл ещё один курс в системе обучения, др.).
2). Вышел (нажатием соответствующей кнопки "Выйти" (как и положено, как и учат везде)) из своего аккаунта сайта drweb.ru. Пошёл спокойно домой в уверенности, что всё сделал правильно. И чего ему не быть уверенным и спокойным: он ведь вышел (нажатием соответствующей кнопки "Выйти")?
3). Следующий пользователь общественного компьютера просто заходит на страницу проекта ВебIQметр и оказывается в аккаунте сайта drweb.ru предыдущего пользователя.
В аккаунте сайта drweb.ru злоумышленник может посмотреть лицензии (и что-нибудь с ними сделать, помимо простого любования), посмотреть личные данные (домашний/рабочий адрес, фотографию, e-mail, телефон, др.; и все эти данные увязаны между собой, что ещё более опасно). Только раскрытие личных данных уже может привести к очень печальным последствиям; вы и сами это знаете не хуже меня. E-mail также может быть логином к другим сайтам Интернета (сейчас это весьма распространено). Могут e-mail заспамить так (зная персональные данные), что человек обязательно такие письма откроет. И много-много чего можно с e-mail'ом сделать.
Но, помимо перечисленного, злоумышленник может сделать ещё больше вреда на вашем и на не ваших сайтах. Об этом я пока не буду говорить до того, как будет исправлена ошибка, иначе это наверняка причинит большой вред вашим пользователям.
Также рекомендую проверить работу с другими аккаунтами (кабинет заочника, экзамены для получения сертификата, др.). Мне лень снимать видео-ролики, какие там есть ошибки безопасности.
Браузер - обычный Chrome, безо всяких специфических настроек. Проверял также на Firefox'е.
Исправьте, пожалуйста, пока киберпреступники не воспользовались.
