Comments 116
а Вы, простите, в тех. поддержку ВТБ написали, перед тем как здесь запостить? ответа дождались?
если нет+нет тогда нельзя так делать, о большой белый хакер.
сперва надо предупреждать, если нету реакции или закрыли дырку — тогда постить уже.
если нет+нет тогда нельзя так делать, о большой белый хакер.
сперва надо предупреждать, если нету реакции или закрыли дырку — тогда постить уже.
-20
А я бы как автор поста поступил )
+24
вот будете автором, тогда так и поступите.
автор этого топика сделал неправильно.
автор этого топика сделал неправильно.
-36
где написано, что это неправильно?
-12
Вот найдёте подобную дырку — тогда и поступите так, как считаете нужным. А автор поступил так, как он считает нужным.
+25
Что за стереотипный подход «сперва добейся сам»?
Я был в ситуации, когда нашли дыру в моём сайте, и ей сначала воспользовались, потом сообщили «администрации проекта».
Да, было обидно — на себя, за то, что не смог защитить данные и стыдно перед пользователями сервиса.
Но такие люди, как автор поста делают хорошую работу — находят и не молчат.
Пусть учатся быстро закрывать дыры.
Тем более такие организации, как Банки, где нужно особенно тщательно блюсти репутацию.
Я был в ситуации, когда нашли дыру в моём сайте, и ей сначала воспользовались, потом сообщили «администрации проекта».
Да, было обидно — на себя, за то, что не смог защитить данные и стыдно перед пользователями сервиса.
Но такие люди, как автор поста делают хорошую работу — находят и не молчат.
Пусть учатся быстро закрывать дыры.
Тем более такие организации, как Банки, где нужно особенно тщательно блюсти репутацию.
+5
Да как же, он запостил неумехам прямой how to как закрыть, и глядя по факту разработчики уже скопипастили решение и закрыли. Да ладно… отшлепать немного прилюдно таких монстров как ВТБ и Лебедва просто необходимо. Вот стартапчики обижать совестно, а таким надо хоть раз в год но давать публичную порку чтобы не зазнавались.
+1
Когда у Вас будет свой сайт и его взломают и опубликуют инфу Вы по другому запоете :-)
+11
Я вот когда-топоступил так же — написал об одном из багов в системе Приват24. К несчастью, то был мой первый топик на хабре (может и последний) и помимо многочисленных минусов пост вообще удалили. Вот так вот пиши после этого…
+2
Люди за это деньги получают. Странно делать работу за других.
+29
я говорю предупредить, а не исправлять. и ничего страшного в этом нету.
этот комментарий заминусуют и не обоснуют, уверен.
этот комментарий заминусуют и не обоснуют, уверен.
+10
Есть еще такие люди, как тестеры. Это их работа!
+10
назло плюсанул, теперь мучайся в догадках
+11
Да и Лебедев немало берёт к тому же…
+5
Лебедев уже не тот!
Желтоват пост. Думаю, к утру выяснится, что сайт давно передан в поддержку, которой ВТБ занимается самостоятельно: www.artlebedev.ru/everything/support/.
Желтоват пост. Думаю, к утру выяснится, что сайт давно передан в поддержку, которой ВТБ занимается самостоятельно: www.artlebedev.ru/everything/support/.
+6
так часто бывает, но кто останется крайним итак понятно )
+1
Проблем стоило ожидать.
Так и есть, менагеры из банка давно передали поддержку в другую контору,
паршивую контору, буквально, студию на три буквы
Так и есть, менагеры из банка давно передали поддержку в другую контору,
паршивую контору, буквально, студию на три буквы
-2
Лебедев не палится
Артём; Сайт красивый…
Артём; Сайт красивый…
+2
хе =)
поясню немного:
обнаружил это еще в пятницу — написал в веб-форму «Задать вопрос» им
тогда же у себя на сайте разместил
сегодня от них ничего не пришло поэтому под вечер кинул сюда
а вообще с подобных дырок до чего-то, что любой скрипт-киддис сможет эксплуатировать, далеко поэтому в данном случае имхо особо вреда нету.
поясню немного:
обнаружил это еще в пятницу — написал в веб-форму «Задать вопрос» им
тогда же у себя на сайте разместил
сегодня от них ничего не пришло поэтому под вечер кинул сюда
а вообще с подобных дырок до чего-то, что любой скрипт-киддис сможет эксплуатировать, далеко поэтому в данном случае имхо особо вреда нету.
+35
вот это одобряю, правильно сделал, молодец.
просто в посте ты забыл про это упомянуть.
вот у тебя есть свой сайт, и на нем есть неизвестные тебе уязвимости.
некий white-hat хакер находит их.
ты хочешь чтобы он сперва тебе сообщил про багу?
или чтобы сразу всему миру начал рассказывать и показывать?
уверен, что первое. потому что никто не хочет чтобы его сайт поимели.
просто в посте ты забыл про это упомянуть.
вот у тебя есть свой сайт, и на нем есть неизвестные тебе уязвимости.
некий white-hat хакер находит их.
ты хочешь чтобы он сперва тебе сообщил про багу?
или чтобы сразу всему миру начал рассказывать и показывать?
уверен, что первое. потому что никто не хочет чтобы его сайт поимели.
-2
просто поскольку запрос остался без ответа посчитал это несущественным моментом…
а насчет белых, серых, черных… можно долго дискутировать не тему кто есть лучше, имхо каждый останется при своем…
эра дефейсов по-моему уже прошла — сейчас из любой уязвимости постараются втихую выжать деньги — повесить свой скрипт на серве, рекламу или еще что-нить… так что имхо такое вот выкладывание общественности уже по сути проявление некой не меркантильной заботы что-ли… ;)
а насчет белых, серых, черных… можно долго дискутировать не тему кто есть лучше, имхо каждый останется при своем…
эра дефейсов по-моему уже прошла — сейчас из любой уязвимости постараются втихую выжать деньги — повесить свой скрипт на серве, рекламу или еще что-нить… так что имхо такое вот выкладывание общественности уже по сути проявление некой не меркантильной заботы что-ли… ;)
+5
ага, а еще никто не хочет, что бы его грязное белье и черные делишки показали всем, а тут викиликс, журналюги всякие дворцы фотографируют.
-4
вы так говорите, как будто это что-то плохое
0
А я считаю что подобные вещи должны освещаться.
Нет, конечно, бывают разные ситуации. Молодая контора или сервис + молодой фрилансер. Жалко ребят, можно и написать им… помочь, так сказать.
А вот когда такая пафосная «ни на чём» студия допускает за «такие деньги» такие косяки, можно и нужно отписывать. Чтоб либо губу закатали и пошли учиться, либо внимательнее работали в следующий раз.
P.S. И неговорите мне что я злой и эгоистичный завистник ;)
Нет, конечно, бывают разные ситуации. Молодая контора или сервис + молодой фрилансер. Жалко ребят, можно и написать им… помочь, так сказать.
А вот когда такая пафосная «ни на чём» студия допускает за «такие деньги» такие косяки, можно и нужно отписывать. Чтоб либо губу закатали и пошли учиться, либо внимательнее работали в следующий раз.
P.S. И неговорите мне что я злой и эгоистичный завистник ;)
+5
Можно так делать, и нужно. Чтобы знали, суки, как за качество отвечать.
0
почему Вы считаете что автор должен куда-то писать перед тем как публиковать ссылки? автор никому ничего не должен. тем более необходимость писать в техподдержку сомнительна, откуда можно знать ошибочно открыт доступ к данным или это так задумано?
0
А никто не заметил, там когда открываешь сайт визитку в саом низу видео обращение. И вот самый первый стоп-кадр превьюшка, где этот важный дяд сидит на кресле и на заднем фоне 2 моника и ноут.
Вот на левом мониторе очень похоже, что каскадом окно ошибки показано. Так что похоже в этом банке вообще с софтом не очень хорошо :-)
Вот на левом мониторе очень похоже, что каскадом окно ошибки показано. Так что похоже в этом банке вообще с софтом не очень хорошо :-)
+12
Основной сайт тоже изначально в студии был сделан.
Мне все-таки кажется, что выбор движка был продиктован условиями заказчика.
Мне все-таки кажется, что выбор движка был продиктован условиями заказчика.
+9
А сайт классный.
+4
Ну всем свойственно ошибаться, человеческий фактор. Просто тут он проявился очень сильно.
0
Вы слишком гуманны. Это даже не ошибка. Они просто забили на такую «мелочь». Нечто подобное может допустить студент-фрилансер, для которого не существует понятия «рейтинг». Уважающая себя контора таких косяков позволять не должна.
+2
а можно насчет этого подробнее? ни разу честно говоря чтобы заказчик говорил делаем на этой CMS и только на ней — это если сайты с нуля, а не доработка того что уже сделано.
0
упс, промахнулся… это ответ на этот коммент
0
По первой ссылке куча куча поздравлений, но иногда и встречается что-то вида: «вкладчик; сосите хуй»… Интересно, это обращение ко вкладчику от ВТБ… или обращение вкладчика к ВТБ? :)
+6
А что за циферки после 127.0.0.1?
0
у меня только последняя ссылка открывается, закрыли уже?
+1
Закрыли, отклик через хабр оказался быстрее прямых обращений =)
+13
Очень знакомый .htaccess вы привели — Drupal?
+1
И конечно же, никто не додумался сделать копии, да?
+2
webcache.googleusercontent.com/search?q=cache:7V_u4ZjzP6AJ:20.vtb.ru/bitrix/templates/als_vtb20/data.txt+20.vtb.ru/bitrix/templates/als_vtb20/data.txt&cd=1&hl=ru&ct=clnk&gl=ru&source=www.google.ru
Например
Например
+5
webcache.googleusercontent.com/search?q=cache:bRfD_oDfy3sJ:20.vtb.ru/bitrix/templates/als_vtb20/header.php_bk20101223_1837.txt+20.vtb.ru/bitrix/templates/als_vtb20/header.php_bk20101223_1837.txt&cd=1&hl=ru&ct=clnk&gl=ru&source=www.google.ru
ппц код…
ппц код…
0
Кого-то завтра премии лишат, а то и уволят.
+4
требую угарных комментов
+10
Должен сказать, сайт производит весьма сильное впечатление. Лебедев и Ко оторвались на славу.
-1
пришел ответ от ВТБ:
Дмитрий, добрый день!
Благодарим за информацию о «дырке» на сайте 20.vtb.ru
Не ожидали мы такого низкого уровня безопасности
от такой много получающей за работу компании.
— с наилучшими пожеланиями, Василий Коцюба
Дмитрий, добрый день!
Благодарим за информацию о «дырке» на сайте 20.vtb.ru
Не ожидали мы такого низкого уровня безопасности
от такой много получающей за работу компании.
— с наилучшими пожеланиями, Василий Коцюба
+12
Интересно кого они имеют ввиду, т.к. на сайте Лебедева написано, что сайт снят с поддержки в 2011.
+4
Конечно, куда проще подставить вполне адекватного исполнителя, чем сознаться в полной некомпетентности.
+3
Наверное, таких правдивых отзывов мы бы никогда не услышали, если бы не автор поста.
«Саша.; Уважаемое ВТБ24. У вас самый ебанутый и хуёвый сервис после Сбербанка. Одно прекращение платежей после 16:00 стоит того, чтобы с вами никогда больше не работать. Не говоря о платном всего насвете и херовым обслуживанием с очередями в ваших отделениях. Но всего краше — платное снятие денег в кассе отделения. Вы ебанаты. Это однозначно».
«Саша.; Уважаемое ВТБ24. У вас самый ебанутый и хуёвый сервис после Сбербанка. Одно прекращение платежей после 16:00 стоит того, чтобы с вами никогда больше не работать. Не говоря о платном всего насвете и херовым обслуживанием с очередями в ваших отделениях. Но всего краше — платное снятие денег в кассе отделения. Вы ебанаты. Это однозначно».
+18
надо вывесить этот файлик в паблик, в виде доски + комменты и рейтинг))))
+3
Справделивости ради — почти во всех банках нал через кассу платный — заградительный тариф, направляют людей в банкоматы. Хотя конечно странностей у ВТБ24 хватает, в частности единственный известный мне платный инет-банк.
0
Этот отзыв не единственный.
«shlang; поменьше бы таких банков, как втб, которые кидают своих вкладчиков.
Банк втб — кидала, наперсточник!;
Вкладчик украинского ВТБ; Будьте внимательны!
Банк ВТБ в Украине кинул вкладчиков, введя 27.10.10 г. задним числом 12% комиссию за пополнение депозита «Целевой» Обходите ВТБ десятой дорогой!
ВТБ — напёрсточник-кидала!;»
«shlang; поменьше бы таких банков, как втб, которые кидают своих вкладчиков.
Банк втб — кидала, наперсточник!;
Вкладчик украинского ВТБ; Будьте внимательны!
Банк ВТБ в Украине кинул вкладчиков, введя 27.10.10 г. задним числом 12% комиссию за пополнение депозита «Целевой» Обходите ВТБ десятой дорогой!
ВТБ — напёрсточник-кидала!;»
0
выложите копию, кто успел сохранить
0
Надо принт такой себе заказать в офис
?><?
?> <?
?>Все права защищены © 2010 ВТБ
<?
?>
<?
?><?
?>
<?
?>Сделано в Студии Артемия Лебедева<?
?><?
+8
Шутки шутками, а в инет утекли айпишники клиентов банка.
+3
Парни, у Битрикса в корневом .htaccess есть директива:
Options -Indexes
А в файле /bitrix/modules/.htaccess находится директива:
Deny from all
Очевидно, основной проблемой сайта является проблема некорректной настройки веб-сервера. Из-за чего и был получен листинг директории.
Options -Indexes
А в файле /bitrix/modules/.htaccess находится директива:
Deny from all
Очевидно, основной проблемой сайта является проблема некорректной настройки веб-сервера. Из-за чего и был получен листинг директории.
+2
Nginx поставили, а то, что это не apache — забыли видимо :)
+3
Очевидно за nginx там все-таки Apache:
20.vtb.ru/bitrix/modules/
Вот только у Apache для vhosts по умолчанию стоит AllowOverride none :) Скорее всего эта установка и была оставлена без внимания.
Но вообще за включенную Options Indexes, наверное, надо яица отрывать на production-сервере — мало ли для чего оно может быть использовано.
20.vtb.ru/bitrix/modules/
Вот только у Apache для vhosts по умолчанию стоит AllowOverride none :) Скорее всего эта установка и была оставлена без внимания.
Но вообще за включенную Options Indexes, наверное, надо яица отрывать на production-сервере — мало ли для чего оно может быть использовано.
0
Ну а что вы хотели от студии, у которой автоответчик на телефоне центрального офиса матерится? Если любите Лебедева, то не минусуйте, а позвоните и дослушайте до конца список прилагательных, которые зачитывает робот.
+2
Сказал же — позвоните… Или объясните, почему такого уровня компании позволяют себе такое.
0
хаха позвонил +7 495 926-18-00, там Лебедев жжот на автоответчике
только почему-то без мата
только почему-то без мата
+1
Это если в нерабочее время звонить.
Если в рабочее, то будет так: video.yandex.ru/users/o08/view/6
Если в рабочее, то будет так: video.yandex.ru/users/o08/view/6
+1
поздравления и проклятия от клиентов ВТБ родному банку — встречаются смешные (например вариантов пешего эротического путешествия вследствии неадекватных процентов набралось аж 27 штук ;) )Причем многие писали, видимо, не про ВТБ, а про ВТБ24, не понимая, что это два разных банка.
+1
Лебедева уволят
+10
За те деньги, которые он берёт, можно идеально всё сделать, ВТБ в своём репертуаре, деньги на ветер. К 20 летию делать сайт поздравительный и однозначно не за маленькие деньги, лучше бы людям ставки по ипотеке и софинансированию снизил, тьфу!
-2
>Даша; Ура, молодцы;127.0.0.1;;1287165363;;;
Ммм… сами себе положительный отзыв написали :)
Ммм… сами себе положительный отзыв написали :)
+4
Я представляю себе комментарии на аналогичном сайте ПриватБанка… украинцы поймут.
> ХУЙ; С днюхой ёбаные пидарасы!;127.0.0.1;;1291453668;2010-12-4 12-12-48;77.243.118.136;77.243.118.136
Это были бы поздравления от самих работников банка. А о клиентах я вообще молчу.
> ХУЙ; С днюхой ёбаные пидарасы!;127.0.0.1;;1291453668;2010-12-4 12-12-48;77.243.118.136;77.243.118.136
Это были бы поздравления от самих работников банка. А о клиентах я вообще молчу.
+6
В «ВТБ24» произошел масштабный Хабраэффект.
+1
Я бы сказал, что это «Опять сбой»
У них был сбой еще в конце февраля неслабый — деньги за кредит не списались в свое время. Пришлось ехать, писать заявление. Отзвонились о решении проблемы только через пару недель.
Осталось смешанное впечатление
У них был сбой еще в конце февраля неслабый — деньги за кредит не списались в свое время. Пришлось ехать, писать заявление. Отзвонились о решении проблемы только через пару недель.
Осталось смешанное впечатление
0
шо, опять?!!!
0
это точно уже не я
^_^
^_^
+2
Sign up to leave a comment.
Файлы сайта-открытки ВТБ в открытом доступе