Google - подтверждение электронного адреса Налаштування

[Arbalet]

Пришло сегодня на мое левое мыло письмо с темой "Google - подтверждение электронного адреса" с account-verification-noreply@google.com

Добро пожаловать в Аккаунты Google. Чтобы активировать аккаунт и
подтвердить свой адрес электронной почты, нажмите на эту ссылку:

https://www.google.com/accounts/VE?service=<...>

***ПРИМЕЧАНИЕ*** Распечатайте эту страницу на всякий случай. Ссылка для
подтверждения понадобится Вам, если Вы лишитесь доступа к своему аккаунту
(например, забудете имя пользователя или пароль).

Если Вы получили это письмо по ошибке, очевидно, другой пользователь ввел
Ваш адрес при создании нового аккаунта для другого адреса. Если не нажимать
на ссылку для подтверждения, аккаунт не будет активирован.

Если Вы не запрашивали это письмо, но решили использовать этот аккаунт или
удалить его, Вам нужно сначала изменить пароль аккаунта, указав адрес
электронной почты на странице
https://www.google.com/accounts/ForgotPassw...nue=<...>

Если приведенная выше ссылка не работает, скопируйте URL и вставьте его в
адресную строку в новом окне браузера.

Благодарим за использование Google.

Ответы на вопросы об аккаунте Google и способы решения возможных проблем
описаны в Справочном центре Аккаунтов Google на странице
http://www.google.com/support/accounts/

Это сообщение отправлено в целях уведомления. Ответы на него не
отслеживаются и не
обрабатываются.

Периодически Гмейл проверяет адрес моей резервной почты, но проблема в том, что мыло, на которое пришло это письмо, к резервному адресу не имеет отношения. И спрашивается, какого ? Шо происходит? Какой такой ахтунгдругой пользователь? Мой аккаунт хотят увести?

[Arbalet]

Фишинг - подменный сайт, который выглядит как настоящий.

Здесь же домен гуугл.ком, а не какой то гооогле ком о_0

Короче, ссылка, по которой предлагается пройти, выглядит вот так (15-20 символов убрал на всякий): https://www.google.com/accounts/ForgotPassw...KSGi1J39oiZN1wm<...>UkM_TRPdgBxEmPVw5dde<...>bQ2xXFQe9nfENmoj0wP93062xptCJ0uQzoJtmcR1ZBGIkLOWLvo_Clxqg3tm4udyBakyLi8uL-9ejlIJ_mGB<...>BxdicaxwvsoCGGE9DDrTeiP1mf5x1YCz-YnDY59vZk<...>4QVEbhxCC-T5wd2TskimU66mVS61o%253D%26ltmpl%3Dsso%26next%3Dhttp%253A%252F%252Fwww.youtube.com%252Fwatch%253Fv%253DU5My66HKZi8%2526feature%253Dplayer_embedded%2526has_verified%253D1&followup=http%3A%2F%2Fwww.youtube.com%2Ffinish_ssu&hl=ru-US&service=youtube&skipvpage=true&ltmpl=sso&dEM=<мое>%40<мыло>.

Короче, эта ссылка у мну вызывает подозрения, и тыцать в нее, чтобы проверить - лучше сразу застрелите.

[whynot]

Фишинг - подменный сайт, который выглядит как настоящий.

Здесь же домен гуугл.ком, а не какой то гооогле ком о_0

Короче, ссылка, по которой предлагается пройти, выглядит вот так (15-20 символов убрал на всякий):
убрал вовсе

Короче, эта ссылка у мну вызывает подозрения, и тыцать в нее, чтобы проверить - лучше сразу застрелите.

Как по мне это воняет XSS

• uri --
  
  CODE
  https://www.google.com/accounts/ForgotPasswd
  
  
• query1 --
  fpOnly=1 -- я так понимаю абревиатура (ForgotPasswd)
  
• query2 --
  здвсь некий 'continue'. А вот как это выглядит в развернутом виде:
  CODE
  http://www.youtube.com/finish_ssu?action_create=1&SignupKey=CAYQQinW0IoUIvAmAOa8fIDknA_-ii0YHCpB-HXF8IGFG6pZC8jse9aaGYXZFqw-eAKSGi1J39oiZN1wm

(если это действительно XSS) то тыц, и там (на youtube.com) получают твою сессию. Можно было бы настучать арбуз-тим, но она у гугеля странная (короче, ни одной саксес-стори я не слышал).

по поводу длинны ссылки, в HTTP разрешены до 2КБ

Учи матчасть

p.s. А день только начинается. Предчувствую, что меня сегодня на ОГОтом форуме опять забанять.