O http://www.hi5.com/ permite aos seus utilizadores trocarem mensagens com código html, e é pratica comum nessas mensagens incluírem imagens (“img src=”http://antoniocampos.net/xpto.jpg” />”), existem sites espalhados pela internet que alojam imagens gratuitamente e inclusive fornecem o código html para que essa imagem possa ser incluída em qualquer pagina. Até aqui nada de novo…!!!
Quando alguém recebe uma mensagem enviada através do site é enviado um email a notificar o destinatário que recebeu a mensagem, nessa mensagem existe um link directo para a mensagem sem que o utilizador tenha que introduzir password ou username. Até aqui nada de novo…!!!
Enquanto dava uma vista de olhos nos logs de um dos servidores Web que administro, e que tem imagens alojadas que são usadas em algumas das mensagens que alguns amigos meus enviam através do hi5 reparei que nos logs (do apache), quando alguém faz o GET da imagem fica o tal link (que acompanha a notificação de nova mensagem) fica registado no referer e com um simples copy\paste no browser tenho acesso ilimitado não só a mensagem em causa mas a toda a sua conta… Por isso caros amigos tenham cuidado com as mensagens que enviam nesse site porque podem ter surpresas menos agradáveis porque alguém pode andar a cuscar a vossa conta sem se aperceberem…
—————————–EDIT 17-10-2007————————————–
A forma de resolverem ou tentarem resolver os problemas que afectam as vossas contas é contactar directamente o hi5 através desta página www.hi5networks.com/contact.html e exporem o vosso problema, talvez o resolvam.
No caso de usarem o hotmail e estarem a tentar recuperar a password do hi5 vejam na pasta de lixo electrónico ás vezes as mensagens do hi5 vão para lá directas!
Em principio e visto haver imensas pessoas com problemas no hi5 vou apresentar aqui uma nova forma para tentarmos resolver os vossos problemas… metam este post nos favoritos e vão visitando a ver se já tenho novidades!
—————————–EDIT 16-07-2007—————————————-
Muitos de vocês questionam porque é que não têm acesso ao HI5.com, a razão mais provável e caso estejam a aceder ao hi5 da escola ou do trabalho é que o administrator do sistema informático tenha bloqueado a acesso ao site! As razões podem ser muitas a mais comum é a perda de produtividade!!! Para “furarem” essas limitações tem que usar Web Proxies (o funcionamento depende de rede para rede) como descrito nos comentários. Ou podem experimentar uma alternativa em Português que é o Kroow ou o easyFlirt... que é na minha opinião é mais completo do que o HI5
————————————————-
E a pedido de varias famílias uma tradução mal feita para ingles:
hi5.security hole:
www.hi5.com allows users to send messages to others users, and users can include on that messages html code including remote inclusion off images (“”)… when a user receives a message he receives too a mail message with the new message notification and a direct link to the message without have to do login…
the problem: the server log keeps the GET and the REFERER for each request, and when the user click the mail link to the message he do the GET of the image on remote server, and the direct link to the message is keeped on the REFERER log, if you copy the link(on the REFERER) to the browser you have full control of the sender account..
ola tudo bem queres uma amiga mocambicana aranjaste
Boas,
Existem vários tipos de proxies e como tal várias formas de bloquear acesso a sites, tenta descobrir se bloquearam só o acesso a hi5.com e a http://www.hi5.com, se assim for podes aceder ao hi5 pelo endereço do teu perfil aquilo de http://NomeUtilizador.hi5.com pode ser que dê.
O ip do hi5 é 204.13.51.236 por isso se acederes a http://204.13.51.236 em principio consegues aceder.
Mas se no proxy bloquearam todos os sites do ip 204.13.51.236 então nenhuma das formulas anteriores resulta terás que usar outro género de “solução” podes usar uma solução do género http://proxify.com/ . experimenta e depois partilha a tua experiencia!!
Olha Campos reparo que es a pessoa indicada a quem perguntar o seguinte: tenho uma net de escola e recentemente porque estavam nas aulas sempre a ver o hi5,vá-se lá perceber porquê…lol.., criaram um proxy que não permite aceder a certas paginas sendo o hi5 uma delas, sei que consigo entrar por endereço ip mas nem sei qual é nem como fazer essa proeza, será que me poderias ajudar…???ficava-te a dever uma….se puderes responde para o mail
o passoa
tive um situaçao desse caso ,adaram no meu hi5 mudaram me a passe e agora sei o k tao a faxer cuidado pessoal isso pode vri a dar bronca da grossa !!!
conto com a vossa ajuda
obrigada
Não sei se no sapo consegues ver os referers das imagens!!
Não tem a ver com alojamento pago, tem a ver com o acesso que tens aos logs do servidor…
E muito sinceramente não sei se isto ainda funciona, mas na altura que escrevi isto soube de muitas brincadeiras à custa disto!!!
Se puderes deixar o teu computador uns dias ligado instalas um servidor http://antoniocampos.no-ip.com/?p=91
configuras o no-ip ou o dyndns e envias a imagem e como es o administrador do servidor tens acesso ilimitado a tudo inclusive os tais logs de referers…!!! se fizeres isto diz-me se ainda funciona!!!
😉
andei a pesquisar sobr isto…
o meu site está alojado na Sapo.pt!
tentei ir a estatisticas mas nao encontrei links…
pf explikem-me isto pf…
é preciso ter um alojamento pago??
cumpz
ola, dscp tar a responder a este topico passado mais d um ano…
uma duvida:
eu tenho um site, e meto la as imagens… depois envio a imagem pelo hi5 a uma pesoa kualker… komo é k eu tenh acesso ao link p/ entrar na konta d kem enviei?
ajude-me pf…
cumpz…
😉
Ola Melissa!
Se reparares na data do post tem quase um ano, eu nunca fui fã do HI5 mas como recebia n convites todos os dias resolvi ver como akilo era!!! isto para dizer que ja nao frequento esse site, e desde a data do post nunca mais voltei a experimentar para saber se o problema continuava… para conseguir por em pratica o que descrevo no post é necessario ter alguns conhecimentos de informatica, nao tem a ver com o teu pc, tem haver com akelas mensagem com imagens que recebes, para elas aparecerem tens que colocar um codigo que provevelmente arranjas em algum site que se dedica a isso. Se reparares quando recebes uma mensagem do hi5 no teu e-mail clicas num link em que nao te é pedido password para entrar na tua conta se copiares esse link e o guardares sempre que o abrires entras na tua conta sem meter password, agora imagina que alguem arranja uma forma de ter o tal link, tera acesso a tua conta sempre que queira, certo???
a ligação que isto tem com as mensagens pipi’s é quando recebes a imagem ela tem que estar alojada (guardada) em algum sitio na internet e quando entras na tua conta o hi5 vai busca-la onde ela estiver e o servidor onde ela estiver vai guardar o endereço de quem veio buscar a imagem para depois usar por exemplo em estatiticas, o endereço que é guardado é o que tens escrito nesse momento no barra de endereço do internet explorer se nesse momento tiveres o tal link directo acabas-te de dar acesso á tua conta do hi5, agora que tens uma amigo que configura um servidor de internet coloca la uma imagem e te manda essa imagem numa mensagem para o hi5… fica com acesso a tua conta…
😉
para ser sincera. . . nao percebi nada. . . eu tentei fazer ixO para veR se DaVa Pk Se de faCto Da naO kerO pOr aI ng a invadir O meu hi5. . . mas naO cOnsegui nada. . . =S
daS dUas, Uma. . . Ou isSo sO da km Os vOxOs Pcx. . . Ou entaO aLguEm Vai Ter K me EspliCar eM pOrtuGueS cOrrEnTe O qUe eSta a Dizer La em ciMa. . . =S
AgrAdeCia. . .!! =)
ola esabel!!
eu sei que é estupido mas nao fui eu que fiz o HI5.com, suponho que seja a eles que estás a insultar eu apenas alertei para um facto de haver pelo menos uma falha mas concerteza que nem toda as pessoas pensam como eu, eu descobri e partilhei decerto outros descobrem e aproveitam-se…!!!
eeeeesssstttttuuuuuppppiiiiiiddoooooooooooo
Bom, antes demais, obrigado, bom eu proprio experimentei com o meu proprio LINK, gerado aparatir da foto, ” clickar nesta” e sim, da para entrar directamente na conta, sem fazer login, em qulquer PC, basta guardar o LINK, quanto ao Apache, vou instalar, pois o EXplorer, nao me permite visulaizar o LINK, de envio, daqueles que me enviaram a mensagem, mas se da com o meu, tb da com os outros! Obrigado
Nao sei se esta situação se mantem, na altura que escrevi isto recebi algum feedback de alguns amigos que brincaram muito com isto…
respondendo a algumas perguntas:
Apache é um servidor internet, cada vez que alguem acede a uma pagina, o servidor regista a hora a pagina, qual q ultima pagina visitada antes e o codigo http retornado…
isto aontece(ia) quando enviavam uma mensagem com uma imagem e essa era a primeira pagina que viam quando clicavam no endereço que vos chegou via e-mail, o vosso browser vai “buscar” a imagem ao servidor onde esta a imagem e regista no tal log qual a pagina de onde veio o pedido e como tal quem esta do lado do servidor tem acesso a esse log e consequentemente ao link directo para a vossa conta do Hi5.com.
a solução se esta situação ainda se manter é não abrir os links que vos chegam por e-mail e fazerem login directamente no site e só depois é que vão as mensagens, espero ter sido claro… se quiserem saber mais sobre o apache existe um topico neste blog que só fala sobre isso….
Boas, gostava de lhe perguntar algo, mas o que o SR refere em cima sò acontece se utilizado o mesmo PC por terceiros, certo? visto que è nesse PC que os links ficam armazenados! Ou ha a possibilidade de ao enviar a mensagem para outro ” amigo ” via HI5, que ao abrir o mail, para ler a mesma, “clickar na foto” qualquer um pode apartir dai entrar na conta do dito amigo?
Ja agora pedia-lhe que me explica-se o que è um GET? Obrigado pelo seu tempo.
Jorge
o que é o log (do apache)??
Genial ideia!
Coitada das pitas… ficam com a vida a descoberto.