Memori.ru сдаcт ваш email третьей стороне

Если вы забыли свой пароль на memori.ru, то когда вы запрашиваете восстановление пароля, и при этом ещё и забыли ваш email, с которым регистрировались, то ошибочно указанный email уйдет на сторону: например, вы запрашиваете восстановление пароля на email blabla@mail.ry. Тогда браузер переходит на страницу http://memori.ru/forgot/?err=1&email=blabla@mail.ry

НО: в страницы сайта встроен счётчик liveinternet (counter.yadro.ru, маленький прямоугольничек внизу страницы).
Если просмотреть html-код страницы, то увидим следующее:
<img src=’http://counter.yadro.ru/hit?t25.1;r»+ escape(document.referrer)+. . .

document.referrer относительно сервера counter.yadro.ru — это адрес страницы, на которой расположен счетчик.
Таким образом, когда вы восстанавливаете пароль, ваш email становится известным постороннему серверу.

Могут ли владельцы memori.ru не знать об этом? Ай-яй-яй, такой известный раскрученный сайт не желает заделать пустяковую дыру и через нее сдает данные юзеров. Нехорошо. Насколько мне известно, эта дыра существует не первый месяц.

А если email введен верно, то он не засвечивается.

Правила соблюдены, не придерешься :-\ вы ввели неверный email, он не зарегистрирован на мемори-ру, и они не обязаны хранить его в тайне.

Изм. 27.03.2008: откомментили, что дыру исправили 

3 комментария на «Memori.ru сдаcт ваш email третьей стороне»

  1. Хм… Пока это у нас не сильно развито, так что придётся чуть подождать.

Добавить комментарий

Ваш email не публикуется. *
Можно использовать эти HTMLтэги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>