Как взломать двухфакторную аутентификацию Яндекса

Наконец-то Яндекс запилил двухфакторную аутентификацию. Я не ждал подвоха, но, похоже, зря.

Как работает двухфакторная аутентификация Яндекса?
В браузере отображается QR-код, юзер сканирует его специальным приложением, браузер сразу это чувствует и авторизует пользователя.

QR-код расшифровывается в ссылку вот такого вида:

yandex.ru/promo/2fa?track_id=38e701d0bb5abaf50d381c3f95e0f341a8

Внутри всего этого веб-страничка с QR-кодом постоянно опрашивает сервер в ожидании авторизации:

POST /auth/magic/status/ HTTP/1.1Host: passport.yandex.rutrack_id=38e701d0bb5abaf50d381c3f95e0f341a8

Как только пользователь отсканирует приложением Яндекса QR-код, следующий такой запрос отдаст браузеру куку.

В чем здесь проблема?
Читать дальше →

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• Децентрализованное доверие. 1. Гипотеза
• Боли и решения: какие трудности возникают при найме коммуникаторов
• Большие языковые модели в финтехе: можно ли доверять им данные
• Spark_news: Каждый четвертый предприниматель не доволен своим окружением
• Редакция Spark.ru: Не прогори. Как найти китайского поставщика для работы на российском рынке?
• Finpeople: «Лента» объявляет о росте выручки на 62,1% и увеличении рентабельности по EBITDA на 434 б.п. в 1 квартале 2024 года
• Руслан Галифанов: Трезвый взгляд на Америку как место для жизни и бизнеса
• Путеводитель по Docker. От основ контейнеризации до создания собственного докера
• Чтение на выходные: «Искусство быть невидимым. Как сохранить приватность в эпоху Big Data» Кевина Митника
• Spark_news: Зумеры быстрее всех выгорают на работе