Про плюсы и минусы граватаров

комментариев 8


Привет. Сегодня хотелось бы обратить внимание читателей на такую полезную в блогосфере вещь, как граватары — global recognized avatars.

Во многих движках (в том числе WordPress) есть возможность использования граватаров, во многих они используются по умолчанию.

Вкратце о граватарах.
Вот ты регистрируемся на http://gravatar.com со своим почтовым адресом, ставишь себе там в настройках аватар, адрес которого становится, к примеру, http://www.gravatar.com/avatar/d4645d900bdf9d8f47eced01ce78d7ce, где d4645d900bdf9d8f47eced01ce78d7ce — просто md5 хэш почтового адреса. Тем самым, указывая свой почтовый адрес, скажем, на моём блоге, рядом с комментарием показывается граватар — глобальный аватар, так как движок рассчитывает хэш и просто вставляет картинку по этому адресу. Также существуют несколько get параметров, которые также передаются — в зависимости от них мы получаем аватары разного размера и различные варианты стандартных картинок в случае отсутствия регистрации граватара на указанный почтовый адрес.

Приватность.
Теперь суть моего сегодняшнего поста. Комментируя блог, мы обычно пишем свой почтовый адрес, обычно как обязательный параметр. WordPress (и не только он) гарантирует, что «Mail will not be published». Конечно, в прямом виде мы при всём желании не увидим ни один e-mail ни одного комментатора ни в одном WordPress блоге. Но! Ты уже понял, к чему я веду. Об этом следующий абзац.

Немного про шифрование md5.
Ты наверняка знаешь, что md5 — необратимый хэш строки. То есть вот у нас строка, а вот мы запросто можем сосчитать её хэш. А вот расшифровать хэш невозможно — это одностороннее шифрование. Но есть один момент: его можно подобрать, существует великое множество программ-брутфорсов, PasswordsPro, например. Теперь касаемо e-mail’ов: среднестатистический почтовый адрес из 5–8 букв на одном из пяти популярных доменов не составит труда подобрать, и это займёт не так уж и много времени, которое пропорционально производительности компьютера.

Камень в огород граватаров.
Теперь о возможности использования системы граватаров нехорошими людьми. Если напарсить с тематических блогов хэши, зарядить на ночь в PasswordsPro, обозначив излюбленные пользователями интернета почтовые домены как соль (соль — то, что дописывается перед шифрованием, md5(text+salt)), то можно собрать тематическую актуальную спам-базу. Я никому не советую этого делать, я сам по себе противник чёрных методов оптимизации и монетизации 🙂 Таким же образом можно узнать контакт человека, который скрывает своё почтовый адрес.

Заключение.
«Фи», скажешь, «я и не скрываю свой мыло». Многие не скрывают, и я из их числа. Но мистер WordPress берёт на себя ответственность за приватность почтового ящика комментатора, вот я и подмигиваю ему 😉 Как бы оно ни было, я продолжаю использовать gravatars на своём блоге, я продолжаю использовать аватар для комментирования чужих блогов.

(с) http://dimonbaton.ru, 2010


комментариев 8 (+написать?)

  1. ladosha
    Мар 25, 2010 @ 15:52:10

    Век живи — век учись. Только заведя блог на WordPress, я поняла, что граватары весьма успешно используются спамерами. Теперь поняла, как. Спасибо.

    Ответить

    • Батонэ
      Мар 25, 2010 @ 16:51:30

      Я только предположил возможность в теории, не стоит воспринимать как факт, так как это достаточно накладно.
      Если браться за конкретного человека с конкретной целью — почему бы и нет? А за тысячи и десятки тысяч — результат будет меньше затраченного времени, имхо

      Ответить

  2. Reader
    Мар 25, 2010 @ 15:53:46

    Хороший сервис — главное удобство. Сейчас пойду регистрироваться

    Ответить

  3. Alex Pro
    Мар 25, 2010 @ 16:01:09

    Верные мысли, согласен, набрутить можно списоче мыл.
    А вообще у любого блоггера этот список уже не так уж мал.

    Ответить

  4. sad_bear
    Мар 25, 2010 @ 17:19:41

    Спасибо за пост. Мысль действительно интересная
    Если учитывать, что для рунета характерны следующие почтовые домены: mail.ru, ya.ru, rambler.ru, gmail.com (а также bk.ru, list.ru, inbox.ru, yandex.ru, ro.ru) — то на расшифровку 6-символьного логина на одном из этих доменов должно уходить менее двух часов. Я считаю, что средняя скорость брутфорса около 3 миллионов вариантов в секунду, логин содержит все буквы латинского алфавита, цифры и некоторые символы

    Ответить

  5. Jack
    Мар 29, 2010 @ 09:08:31

    Мне кажется это слишком сложный вариант для спамеров.. 🙂 Посудите сами: зачем тратить 24 часа на получение 10-12 адресов, когда можно написать
    1) скрипт парсинга электронной почты со страниц сайтов и получить милионы ящиков, почле чего проверить их на валидность
    2) скрипт, генерирующий популярные слова в известных почтовых зонах и тоже проверить их на валидность

    Что-то мне кажется что инвертировать мд5 сейчас крайне невыгодно для спамеров.. 🙂

    Ответить

    • Батонэ
      Мар 29, 2010 @ 20:15:32

      Не отрицаю, я только указал возможность. Хотя в некоторых случаях удобен именно такой подход

      Ответить

  6. Типичный интернетчик
    Фев 15, 2015 @ 20:34:21

    Батонэ, а зачем тебе подбирать md5 к ящикам? И пробовал ли ты оставлять на ночь комп? Много насобирал?

    Если собирать для спама, то есть очень легкие пути. Зачем процессор компьютера мучать? Когда нужен единичный email расшифровать — то, естественно, перебор.

    Ответить

Напиши-ка комментарий, добрый человек