Voisik как аналог дискорд или почему нельзя доверять каждому вайбкодеру

Кратко - любой из вас может поломать этот «сервис» по 2 статьям на хабре

Информация в посте - не призыв к действию, лишь информация для предостережения пользователей

Сегодня, на нашем любимом сайте возник человек, который решил прорекламировать свой продукт вайбкодинга как альтернативу дискорду

Сегодня я хочу поговорить о том, почему в целом нельзя слепо доверять и в целом регистрировать аккаунты в таких сервисах, тем более начинать какое-либо общение с людьми и вообще какой-либо обмен конфиденциальной инфой

Дальше чем самое минимальное сканирование я заходить не стал тк это в целом при эксплуатации уязвимостей будет считаться взломом со всеми последствиями, но как факт, api аунтификации имеет самую простую и банальную болячку, в виде sql-инъекции

Соответственно любой человек зная вашу почту, а в некоторых случаях это даже не обязательно, может спокойно войти в ваш аккаунт

на клиентской части защита от sql реализована, все бы ничего, если бы стояли правильные настройки content-security-policy которые бы ограничивали xss атакам, что в комбинации дает злоумышленнику неограниченный доступ к аккаунтам пользователей

Дальше копать я стесняюсь, это было бы неэтично, как и использовать эту информацию, но я предупреждаю вас, не регайтесь там под своей стандартной комбинацией логина и пароля, и выбирайте выражения, перед тем как написать сообщение на платформе, ведь ваш аккаунт там - фактически достояние общественности

Всем мир, не пользуйтесь сервисами, которые не заслужили ваше доверие

И этот человек не стесняется просить деньги за подписку если что)

Пост автора рекламы: https://dtf.ru/software/4853674-rossijskij-analog-discord-dlya-gejmerov-i-obshheniya