Gravatar ( сочетание всемирно признанного аватара ) — это сервис для предоставления глобально уникальных аватаров , созданный Томом Престоном-Вернером . С 2007 года он принадлежит компании Automattic , которая интегрировала его в свою платформу для ведения блогов WordPress.com .
На Gravatar пользователи могут зарегистрировать учетную запись на основе своего адреса электронной почты и загрузить изображение по своему выбору, которое будет связано с этим адресом электронной почты. Плагины Gravatar доступны для популярного программного обеспечения для ведения блогов ; когда пользователь публикует комментарий в таком блоге , для которого требуется адрес электронной почты , программное обеспечение для ведения блога проверяет, имеет ли этот адрес электронной почты связанный аватар в Gravatar. Если да, то Граватар отображается вместе с комментарием. Поддержка Gravatar изначально предоставляется в WordPress начиная с версии 2.5 [1] и в веб- приложении для управления проектами Redmine , начиная с версии 0.8. [2] Поддержка Gravatar также обеспечивается через сторонние модули для систем управления веб-контентом, таких как Drupal и MODX . [3] [4]
Данные профиля пользователя доступны в ряде стандартов метаданных, включая hCard , JSON , XML , PHP и vCard , а также через QR-коды . Форматы необработанных данных (JSON, XML и PHP) используют стандарт Portable Contacts . [5]
Изображение Gravatar может иметь ширину до 2048 пикселей , всегда является квадратным и по умолчанию отображается с разрешением 80 на 80 пикселей. [6] Если загруженный аватар больше или меньше, аватар масштабируется соответствующим образом. Каждому Gravatar присваивается возрастной рейтинг в стиле MPAA , что позволяет веб-мастерам контролировать содержимое Gravatar, отображаемое на их веб-сайте .
Веб-мастера также могут настроить свою систему на автоматическое отображение идентификатора , когда у пользователя нет зарегистрированного Gravatar.
Некоторое время сервис Граватар оставался необслуживаемым. Поскольку популярность Gravatar росла и требовалась большая пропускная способность , производитель занялся работой над новой версией сервиса . 16 февраля 2007 года [7] был запущен «Gravatar 2.0». Помимо улучшенного серверного сценария, пользователи также заметили и другие улучшения, такие как возможность обрезать и использовать изображение, уже размещенное в Интернете . Добавлена поддержка двух граватаров на аккаунт, между которыми пользователь может легко переключаться. Также был запущен «Gravatar Premium», позволяющий использовать неограниченное количество адресов электронной почты и Gravatar для каждой учетной записи.
11 июня 2007 года Том Престон-Вернер объявил, что с момента запуска Gravatar 2.0 зарегистрировалось 32 000 новых пользователей. [8]
18 октября 2007 года Automattic приобрела Gravatar. [9] После этого они предложили все ранее оплаченные услуги бесплатно, улучшили время ответа сервера, [ нужен лучший источник ] и вернули деньги тем, кто недавно заплатил за услуги. [10]
Мэтт Малленвег объявил на The Big Web Show 2 декабря 2010 года, что Gravatar обслуживает около 20 миллиардов изображений в день. [11]
Граватары загружаются с веб-сервера Gravatar с использованием URL-адреса , содержащего хеш MD5 соответствующего адреса электронной почты. Однако было показано, что этот метод уязвим для атак по словарю и подходов с радужными таблицами .
В 2009 году было продемонстрировано, что более 10% адресов электронной почты некоторых пользователей форума можно определить по URL-адресам Gravatar в сочетании с именами пользователей форума. [12]
Впоследствии, в 2013 году, исследователь безопасности Доминик Бонгар сообщил, что ему удалось определить 45% адресов электронной почты, используемых для публикации комментариев на известном французском политическом форуме, с помощью URL-адресов Gravatar и инструмента для взлома паролей Hashcat с открытым исходным кодом . [13]
Учитывая, что Hashcat использует графические процессоры для достижения высокой эффективности взлома хэшей, было высказано предположение, что по мере того, как технология и производительность графических процессоров продолжают улучшаться, в результате со временем хеши Gravatar станут легче взламывать. [14] И это в дополнение к тому факту, что сам алгоритм хеширования MD5 серьезно скомпрометирован и непригоден для криптографических приложений; Институт программной инженерии CMU рекомендовал не использовать его в любом качестве с конца 2008 года. [15]
В октябре 2020 года Карло ди Дато, исследователь безопасности, раскрыл метод очистки больших объемов данных из Gravatar, после того как Gravatar проигнорировал его, когда он выразил им свои опасения. 167 миллионов имен, имен пользователей и MD5-хэшей адресов электронной почты, используемых для ссылки на аватары пользователей, были впоследствии очищены и распространены среди хакерского сообщества. 114 миллионов хэшей MD5 были взломаны и распространены вместе с исходным хэшем, тем самым раскрывая исходный адрес электронной почты и сопутствующие данные, а владельцы учетных записей электронной почты могли проверить, не были ли утечки их адресов, с помощью Have I Been Pwned . [16] [17]