Adresy z Gravatar
Napisał: Patryk Krawaczyński
05/09/2022 w Techblog Brak komentarzy. (artykuł nr 828, ilość słów: 509)
S
erwis Gravatar umożliwia ustawienie swojego awatara, który będzie miał charakter globalny – ang. Globally Recognized Avatar. Serwis został stworzony przez Toma Perstona-Wernera, a od 2007 roku jest własnością firmy Automattic, która zintegrowała ją z platformą blogową WordPress. Na Gavatarze użytkownicy mogą zarejestrować konto/a na podstawie adresu e-mail i przesłać cyfrowy awatar, który będzie powiązany z tym kontem. Wtyczki Gravatar są dostępne dla większości popularnego oprogramowania do blokowania; kiedy użytkownik umieszcza komentarz na takim blogu, który wymaga podania adresu e-mail – oprogramowanie do blogowania sprawdza, czy ten adres e-mail ma powiązany awatar w serwisie Gravatar. Jeśli tak, to obrazek umieszczony w serwisie Gravatar jest wyświetlany wraz z komentarzem użytkownika.
Adres takiego obrazka możemy skopiować z komentarzy danego wpisu na platformie WordPress. Posiada on schemat:
https://secure.gravatar.com/avatar/00329e7ae0bec897c563611bf2fd7ad0
Ostatni człon to hash MD5 adresu e-mail, który jest tworzony wedle określonych kroków: 1) wycięcie początkowych i końcowych białych znaków z adresu e-mail, 2) zamiana wszystkich znaków na małe, 3) wykonanie funkcji skrótu MD5 na ostatecznej wersji ciągu znaków. Oczywiście nie odwrócimy funkcji skrótu. A z kolei, aby szybko odgadnąć kryjącą się za nią wartość byśmy musieli mieć wystarczającą dużą kolekcję adresów e-mail (z wielu wycieków) i ich wartości hash. Jednak możemy zwiększyć swoje szansę na odgadnięcie adresu e-mail użytkownika Gravatara poprzez kilka żądań HTTP(s). Po pierwsze znając wartość hash możemy wejść na profil takiego użytkownika zmieniając adres na:
https://en.gravatar.com/00329e7ae0bec897c563611bf2fd7ad0.json
W zależności od ilości danych jakie użytkownik wypełnił na portalu możemy otrzymać jedynie jego ksywę / login:
{
"entry":[
{
"id":"321",
"hash":"00329e7ae0bec897c563611bf2fd7ad0",
"requestHash":"00329e7ae0bec897c563611bf2fd7ad0",
"profileUrl":"http:\/\/gravatar.com\/inazwisko",
"preferredUsername":"inawisko",
"thumbnailUrl":"https:\/\/secure.gravatar.com\/avatar\/00329e7ae0bec897c563611bf2fd7ad0",
"photos":[
{
"value":"https:\/\/secure.gravatar.com\/avatar\/00329e7ae0bec897c563611bf2fd7ad0",
"type":"thumbnail"
}
],
"name":[
],
"displayName":"inazwisko",
"urls":[
]
}
]
}
Lub znacznie więcej:
{
"entry":[
{
"id":"321",
"hash":"00329e7ae0bec897c563611bf2fd7ad0",
"requestHash":"00329e7ae0bec897c563611bf2fd7ad0",
"profileUrl":"http:\/\/gravatar.com\/inazwisko",
"preferredUsername":"inazwisko",
"thumbnailUrl":"https:\/\/secure.gravatar.com\/avatar\/00329e7ae0bec897c563611bf2fd7ad0",
"photos":[
{
"value":"https:\/\/secure.gravatar.com\/avatar\/00329e7ae0bec897c563611bf2fd7ad0",
"type":"thumbnail"
}
],
"name":{
"givenName":"Imię",
"familyName":"Nazwisko",
"formatted":"Imię Nazwisko"
},
"displayName":"tr0ll",
"emails":[
{
"primary":"true",
"value":"admin@tr0lls.pl"
}
],
"urls":[
{
"value":"https:\/\/forum.spamerskie.com",
"title":"Farma Flejmów"
}
]
}
]
}
Jeśli otrzymaliśmy tylko ksywę / login – to jest bardzo prawdopodobne, że jest ona pierwszym członem adresu e-mail. Wystarczy teraz udać się na stronę weryfikacji poprzez adres e-mail i dodać do tego członu najczęściej używane domeny np. @gmail.com, @onet.pl, @wp.pl lub @protonmail.com. Jeśli formularz zwróci nam tę samą wartość skrótu, jak w adresie URL oraz identyczny obrazek – oznacza to, że poprawnie dopasowaliśmy do siebie elementy adresu e-mail. W przeciwnym wypadku otrzymamy inny hash oraz standardowy avatar serwisu.
Więcej informacji: Online avatar service Gravatar allows mass collection of user info
K a t e g o r i e :
T a g i :
