Ха, точно…
этого я не учел. Думаю, Госдеп тоже этого не учел:lol:
Вроде кириллицей написано. И вроде даже на русском. И вроде я не пил ничего. Но нифига непонять))))
4 лайка
И вот снова форум дает повод освежить и уточнить свои знания. Почитал про MD5. Как и предполагал,
In 2004 it was shown that MD5 is not collision resistant.[5] As such, MD5 is not suitable for applications like SSL certificates or digital signatures that rely on this property for digital security.
То бишь при разных исходных данных может совпасть MD5 ключ. И если данных очень много (а именно так обстоит с заявками DV), то и повторения будут случаться часто. d1abolic , я правильно твою мысль трактую?
Ну да, хеш не устойчив к коллизиям. Я просто предположил, что взяли и заюзали его по тупости/раздолбайству. MD5 - Wikipedia, the free encyclopedia - хорошо раздел описывает сие дело 
Для кракости, да, мысль правильная. Цитата из статьи:
An example MD5 collision, with the two messages differing in 6 bits, is:
Both produce the MD5 hash 79054025255fb1a26e4bc422aef54eb4
Следовательно, вероятно получить то, что получили. То есть чужие данные из кеша по ключу при хешировании связки своих данных.
2 лайка
Ну, вы когда там про законы рассуждаете, нам тоже не очень зачастую понятны те или иные нюансы Зато в данном случае легко в голове моделируется как могло вот это всё безобразие произойти.
Боже, как страшно жить:)
Ну да, как два пальца! Проще некуда:)
ну старался человек блеснуть. Бывает.
То, что MD5 не устойчив к коллизиям совсем не означает, что ваше предположение верно.
Collision vulnerabilities означает нечто другое. А именно, что можно подобрать данные под некий конкретный MD hash
Вероятность же того, что hash некоторых двух различный наборов данных случайно совпадет ничтожна. Тем более, что данных не так много.
А я так и сказал, что это лишь моя догадка. Как там устроено у них всё - только им известно. Но при достаточном уровне криворукости замутить нечто подобное не представляется мне чем-то невероятным. Может они и вовсе какую-то свою хеш-функцию сделали, а может и совсем все по-другому объясняется. Только инсайдерская информация тут поможет, не иначе.
Ну скорее всего, если кто-то и применил MD5 в качестве хэш ключа, то именно с такими предположениями. И если реально именно эта проблема имела место быть то, опять же, предположительно, ввиду слишком большого количества заявок. Может закодировали 20 лет назад, когда это была наимоднейшая технология и заявок в десятки раз меньше??? Нельзя ж отрицать принципиальную невозможность такого?
Хотя… 128 бит это довольно таки дохрена, чтобы даже на 100 000 000 заявок оказалось больше десятка совпадений.
Значится, если криворукость имела место быть, то, небось, какая-то более серьёзная.
Таки да, но кто знает что за хеш-функция была на самом деле? И была ли? Еще вопрос к рандомности сгенерированной сессии у них:
Тут тоже варианты, насколько оно привязано и к чему
По-моему вы тут очень мудрите. Люди либо выиграли, либо нет. Можно будет проверить еще через пару недель (думаю, если какие косяки были- то исправят к этому времени) и все. Да- да, нет- нет. А копаться кто и где какой код писал…ну это чисто профессиональный интерес, наверное.
3 лайка
Ну я когда в Штатах вижу на сайте .aspx, у меня сразу всплывает в голове VB.NET, чуть-чуть портированный из VB ASP… не самые приятные ассоциации. Ну… чего гадать - смысла нет. Только позориться, потому как неподтверждённые гипотезы разбиваются на раз-два, а мне мои гениальные идеи ой как жалко
Насколько я понял там уже дали кому надо по шапке и баг с кешированием устранили. Можно проверить, что не выбран и забыть. До следующей лотереи.
Угу, профессиональный интерес. Это прикольно, правда. Тем прикольнее, что за ошибку в рассуждениях с нас не снимут зарплату за 3 месяца
Мне тоже кажется, что софт там какой-то бородатый, и шибко туда никто переписывать не лезет. Косметические изменения в шаблоны вносят, а начинку трогать то ли боятся, то или еще чего. То ли ответственность большая, то ли просто некому, так как “набрали по объявлениям”
Сужу исключительно потому, что 1) контора государственная; 2) фантик меняется, всякие информационные странички более или менее красивеют, а начинка уже который год одна и та же.
Да можем рассуждать, почему бы и нет. Я и я вот нового почерпну:) хотя совсем не их этой стихии, но интересно. Продолжайте…
Завидуй молча 
1 лайк
Да собственно у меня больше теорий нет, отчего бы показывало чужие результаты.