Случайно обнаружил возможность узнать скрытый e-mail текущего пользователя.

Если в VK на десктопе зайти в настройки

image

то мы видим что адрес электронной почты пользователя скрыт.
Однако в верху страницы в поле поиска появляется e-mail в чистом виде!

(Upd.) Изначально показалось что это случается при смене языка.

image

Вопрос — это фича или баг?

Комментарии (18)


  1. alexr64
    23.08.2018 23:35

    А у меня почта не указана — потому вставляет номер телефона. Сразу при открытии настроек.


    1. mastacamp Автор
      23.08.2018 23:43

      Да, заметил что у меня тоже. я подумал что это изза языка в тот момент когда заметил. Видимо это баг.


    1. alexr64
      24.08.2018 08:05

      FireFox 61.0.2 win, x64


  1. welcomerooot
    24.08.2018 01:28

    Хабр теперь багтрекером вк стал?


    1. XakRU
      24.08.2018 01:41

      ТС мастер багрепортов, ни версия браузера, ни названия браузера, ни тебе списка установленных плагинов.
      Вангую, у автора установлены дополнения браузера приводящие к подобным фокусам.
      Сам проверил в 4-х браузерах (Safari, Firefox, Opera, Google Chrome) — нигде не воспроизводится.


      1. mastacamp Автор
        24.08.2018 02:41

        Никаких плагинов лишних не установлено, MacOS Sierra Firefox 61.0.2


        1. Quarc
          24.08.2018 05:28

          macOs, последний Chrome и Safari — ничего подобного не наблюдается.


  1. Taraflex
    24.08.2018 02:34

    Это точно не автокомплит для input в хроме срабатывает?


    1. mastacamp Автор
      24.08.2018 02:41

      Очень непохоже, там у инпута name=disable_autofill вообще…


    1. victoriously
      24.08.2018 11:02

      Это автокомплит, хоть там и стоит autocomplete=«off», он все равно определяется как поле для ввода логина.

      img
      image


  1. Madeas
    24.08.2018 07:50

    Скорее всего баг, но если вскроется что нет, куча спамеров скажут вам спасибо))


  1. ShinRa
    24.08.2018 08:22

    Вот интересно, а какой смысл узнавать e-mail текущего пользователя? Если это твой аккаунт смысла нет, если чужой, то это уже как бы нарушение.


    1. Free_ze
      24.08.2018 11:18

      Не было бы смысла его тогда и «звездить». Но кейс таков: у вас угнали куки. Мыло/телефон — это как минимум логин, который нежелательно светить, как максимум — ПД (понятно, что при полном доступе к странице можно и не такое наковырять, но это — единственный 100%-достоверный кусок информации).


      1. hMartin
        24.08.2018 11:37

        У них же там httponly куки, чтоб их угнать надо иметь доступ к устройству с активной сессией


        1. Free_ze
          24.08.2018 11:47

          Это же не абсолютная защита, лишь XSS-вектор отсекается.


  1. usdglander
    24.08.2018 10:22

    Думаю, что гораздо этичнее, было бы сначала в ВК об этом сообщить.


  1. negasus
    24.08.2018 10:32

    Ничего не понятно. Как в поле поиска сам собой появляется email? Что надо сделать для этого? Даже на первом скрине видно, что поле поиска пустое


  1. timkovik
    24.08.2018 11:02
    +1

    Не воспроизводится