"Если вдруг открылся люк, не пугайся, это глюк!" (с) Если что-то работает не так, вы нашли ошибку или опечатку в программе — вам в этот раздел
Аватара пользователя
baho_76
Взято отсюда: https://habr.com/ru/post/280910/

А меня конкретно интересовал вопрос №4
Код: Выделить всё
Четвёртая уязвимость в MyChat касается использования доменной авторизации. Суть уязвимости заключается в том, что, зная адрес сервера, имя домена и доменного пользователя, а также имея возможность подключения к серверу, злоумышленник может успешно авторизоваться с этими данными. Злоумышленнику достаточно внести значение строковых параметров «Domain», «IP», «Port», «ServerPassword» (пустое значение) в ветке реестра «HKEY_CURRENT_USER\Software\MyChat Client» (как ни странно, но это документированный способ включения режима доменной авторизации), создать в операционной системе локальную учётную запись, совпадающую по имени с доменной, а затем войти при помощи неё в систему. Теперь при запуске клиента MyChat произойдёт успешное подключение к серверу от имени доменного пользователя. Таким образом, можно сделать вывод о том, что в MyChat не используется безопасный вариант прозрачной авторизации NTLM или Kerberos. [b]Разработчики были уведомлены об уязвимости 10.08.2014, но на текущий момент уязвимость не устранена[/b].


На сегодня уже 09.04.2020 - а уязвимость осталась на месте!
Ранее в чате мне было отвечено с вашей стороны "Давно исправлено" - я это расцениваю как преднамеренный ввод в заблуждение с целью извлечения прибыли.

Коллеги, это недопустимо! Если уязвимость осталась - надо уметь это признавать и оповещать об это потребителей вашего продукта!

Я только что проверил и ДА! Уязвимость осталась на месте. Я создал на не доменной машине во внешнем мире учётную запись локальную которая просто совпадает логином с доменной и на белый IP адрес успешно подключился!

Я разочарован до глубины души не самой даже уязвимостью, а вашим обманом.
Так партнёрские отношения не выстраиваются!
Аватара пользователя
Алексей Пикуров
Мы не стесняемся признавать свои ошибки и не вводим никого специально в заблуждение :)

Я проверю то, о чём вы пишете, отвечу позже.