Всем привет!
Мне пришло сообщение здесь, на сайте, что мой аккаунт под угрозой взлома, нужно перейти по ссылке внутри сайта.
А на следующий день захожу, и у меня какой-то ад в профиле. Адовая криповая фотка и пожелания смерти всем, в тч администрации. Это вообще что, откуда? У кого ещё такое было?

Привет! Ссылка мошенническая. Это технология "вредоносная ссылка". Она притворяется ссылкой на этот сайт, но на самом деле ведёт на ресурс злоумышленника, что можно проверить через браузер. Не надо было по ней переходить. Вредоносные действия осуществились как раз из-за того, что вы перешли по ссылке (кража очков, замена аватара, замена биографии).

Вот тут я об этом писал: https://klavogonki.ru/forum/general/20011/page1 .

Что можно сделать сейчас: поменять пароль, запросить у администрации (реальной, например, у аккаунта Переборыч, а не у флудера) возврат очков (если они были утеряны), вручную изменить аватар и биографию.

Касательно взлома: я бы рекомендовал поменять учётные данные аккаунта (пароль). Но технология "вредоносная ссылка" не означает, что пароль от аккаунта был обязательно взломан - даже администратор сайта Даниэль нажимал на эту ссылку и отправлял "флудные" сообщения.

Надо смотреть слева внизу - куда ссылка ведет - перед тем как нажимать на нее, везде и всегда, и если это левый сайт, то скорее всего развод.
Если вводится логин/пароль, то надо смотреть, чтоб в адресной строке был правильный адрес и https, а через http пароль передается в открытом виде и можно "подслушать".

Только вечная проблема: то отвалится https, тогда через http приходится заходить. А иногда и наоборот.

В самых запущенных случаях ты, как ни в чём не бывало, заходишь через http, а тебе за это сомнительные личности без пробега предъявы кидают.

Nowhereman42nd, у меня хттпс никогда не отваливается. Возможно, это как-то связано с твоим браузером или аддонами. Проблем с зашифрованным безопасным протоколом на КГ нет.

Баристарх, а если воспользоваться поиском? [Сравнить с незашифрованным вариантом.]

Поиск ничего не выдаёт, я им и не пользуюсь. Но незашифрованный поиск использовать нельзя, так как это ставит под угрозу весь профиль, сессию и пароли.
Рекомендую ставить аддон HTTPS-Only, чтобы даже мысли не было ходить по незащищённым протоколам.

Ссылки потихоньку переделываю на защищенную версию, незащищенная не грузит заезды, которые создаются. Спасибо сашевиртуалу, переделал скрипт ссылок под защищенную версию.

Томский вообще удивил, вроде столько народу уже нарывалось на взлом по всяким ссылкам от псевдоадминистрации, а он не в курсе, хотя это не первая тема, которую он создал. Наша администрация никаких рассылок никогда не делала, всегда новостная тема закреплена на главной странице, прочесть может любой желающий.