Vadim Mescheryakov пишет:
А поменяв после успешной автоизации на стороне сервера первоначальную роль на роль полноценного клиента или поменять саму учетную запись явки и пароли полноценного поьзователя не будут скомпроментированы.
Если я правильно понял, то для того, чтобы сервер узнал, на что именно поменять роль/уч.запись, на сервер нужно переслать что-то идентифицирующее юзера с персонального внешнего носителя (флешки, карты...), которого у взломщика нет. Отлично.
Но если мы допускаем присутствие хакера на клиентском компе с отладчиком и админскими правами, то что ему помешает установить какой-нибудь Monitoring Tool, загнать этот тул в игнор-листы в AdAware/антивирусе/фаерволе - чтобы не светился. И украсть информацию, которая пойдёт с флешки в fbclient.dll?
