23.08.2018 20:16
mastacamp 18 3600 Источник
Случайно обнаружил возможность узнать скрытый e-mail текущего пользователя.

Если в VK на десктопе зайти в настройки

image

то мы видим что адрес электронной почты пользователя скрыт.
Однако в верху страницы в поле поиска появляется e-mail в чистом виде!

(Upd.) Изначально показалось что это случается при смене языка.

image

Вопрос — это фича или баг?

Комментарии (18)


  1. alexr64
    23.08.2018 23:35
    #19027219

    А у меня почта не указана — потому вставляет номер телефона. Сразу при открытии настроек.


    1. mastacamp Автор
      23.08.2018 23:43
      #19027231

      Да, заметил что у меня тоже. я подумал что это изза языка в тот момент когда заметил. Видимо это баг.


    1. alexr64
      24.08.2018 08:05
      #19027759

      FireFox 61.0.2 win, x64


  1. welcomerooot
    24.08.2018 01:28
    #19027391

    Хабр теперь багтрекером вк стал?


    1. XakRU
      24.08.2018 01:41
      #19027403

      ТС мастер багрепортов, ни версия браузера, ни названия браузера, ни тебе списка установленных плагинов.
      Вангую, у автора установлены дополнения браузера приводящие к подобным фокусам.
      Сам проверил в 4-х браузерах (Safari, Firefox, Opera, Google Chrome) — нигде не воспроизводится.


      1. mastacamp Автор
        24.08.2018 02:41
        #19027445

        Никаких плагинов лишних не установлено, MacOS Sierra Firefox 61.0.2


        1. Quarc
          24.08.2018 05:28
          #19027537

          macOs, последний Chrome и Safari — ничего подобного не наблюдается.


  1. Taraflex
    24.08.2018 02:34
    #19027437

    Это точно не автокомплит для input в хроме срабатывает?


    1. mastacamp Автор
      24.08.2018 02:41
      #19027443

      Очень непохоже, там у инпута name=disable_autofill вообще…


    1. victoriously
      24.08.2018 11:02
      #19028435

      Это автокомплит, хоть там и стоит autocomplete=«off», он все равно определяется как поле для ввода логина.

      img
      image


  1. Madeas
    24.08.2018 07:50
    #19027713

    Скорее всего баг, но если вскроется что нет, куча спамеров скажут вам спасибо))


  1. ShinRa
    24.08.2018 08:22
    #19027799

    Вот интересно, а какой смысл узнавать e-mail текущего пользователя? Если это твой аккаунт смысла нет, если чужой, то это уже как бы нарушение.


    1. Free_ze
      24.08.2018 11:18
      #19028515

      Не было бы смысла его тогда и «звездить». Но кейс таков: у вас угнали куки. Мыло/телефон — это как минимум логин, который нежелательно светить, как максимум — ПД (понятно, что при полном доступе к странице можно и не такое наковырять, но это — единственный 100%-достоверный кусок информации).


      1. hMartin
        24.08.2018 11:37
        #19028607

        У них же там httponly куки, чтоб их угнать надо иметь доступ к устройству с активной сессией


        1. Free_ze
          24.08.2018 11:47
          #19028665

          Это же не абсолютная защита, лишь XSS-вектор отсекается.


  1. usdglander
    24.08.2018 10:22
    #19028239

    Думаю, что гораздо этичнее, было бы сначала в ВК об этом сообщить.


  1. negasus
    24.08.2018 10:32
    #19028277

    Ничего не понятно. Как в поле поиска сам собой появляется email? Что надо сделать для этого? Даже на первом скрине видно, что поле поиска пустое


  1. timkovik
    24.08.2018 11:02
    #19028441
    +1

    Не воспроизводится