Refer je absolutne nepouzitelny.
Staci ze dana phising aplikacia by pouzivala PHP/CURL a moze sa priamo nalogovat do relanej aplikacie s tym ze si len zapamata udaje. Refer si da logicky vlastny. V takom pripade vsak moze banak proste bloknut IP daneho webservra...
URL sa DA MASKOVAT! Javascriptom sa da prepisovat URL! ;)
Kazdy kto uz robil nejakych php/curl robotov vie ze sa da spravit tak kvlaitna phising stranaka ze sa na to (pre bezneho uzivatela) ani neda dojst.
Napriklad nacitate realny ebanking, ten zobrazite klientovi, akurat vsetky formy sa prv poslu na vas server a odtial potom na relany server. uzivatel sa nasledne naloguje do relaneho ibankingu bez toho aby si nieco vsimol ;)
Tato technika mi dala 1000ce login uctov na chat/blog servery v SK/CZ ;)
Paranoidní? Ale ne – kde máte důkaz, že po mně nejdou?
Přečteno 23 144×
Přečteno 20 019×
Přečteno 13 333×
Přečteno 11 545×
Přečteno 11 183×