ewgRa Oct 31 2011 at 15:26

Deface изображений или Вас могут подставить

1 min

3.4K

Information Security*

+27

Comments 28

easyman Oct 31 2011 at 15:32

Этому «дефейсу» уже сто лет в обед. На форумах такое проходили.

UFO just landed and posted this here

WebSecure Nov 3 2011 at 01:41

Была похожая задача. Фотографии были доступны только для зарегистрированных пользователей. Некоторые пользователи смотрели в свойствах прямой путь к изображению и размещали их у себя в блогах. После обновления, система определяла такие действия и на удалённых картинках вешала изображение «Для просмотра изображения, зарегистрируйтесь на сайте таком-то».

avedun Oct 31 2011 at 16:06

Я думаю и через еще сто лет тема будет актуальна.

Maugly Nov 1 2011 at 03:50

Этот «дефейс» древнейшее оружие в проно войнах! благо ему родился проно-рунет.

difiso Oct 31 2011 at 15:34

Мораль сей басни такова — не копипасть.

WebSpider Oct 31 2011 at 16:15

Тогда уж — не хотлинкуй

frig Oct 31 2011 at 15:34

С одной стороны использовать источники которые не можешь контролировать опасно, а с другой стороны 200 копий одной и той же картинки это тоже не очень хорошо.

Я чаще сталкиваюсь с ситуацией, когда изображение было размещено на каком-то фотохостинге или еще где и за давностью просто было удалено. В итоге самое интересное оказывается недоступно. :(

MzMz Oct 31 2011 at 16:05

Мне кажется это больше проблема ЖЖ (совсем не единственная). Картинки должны быть immutable, т.е. после того как кто-то залил картинку, получил ее идентификатор и, как следствие, ссылку — не должно быть возможности ее изменения и даже ее полного удаления (ради сохранения целостности кросс-постинга)

frig Oct 31 2011 at 16:14

Ну не ЖЖ единым. Есть куча мест, где это может быть использовано. У меня у самого на сервере есть картинки, которые используются на других серверах. Я без проблем могу их подменить или удалить.

impass Nov 1 2011 at 04:52

не должно быть возможности ее изменения и даже ее полного удаления

слишком большая жертва, вам не кажется?

MzMz Nov 1 2011 at 08:54

Как раз нет — очень много фото-хостингов и соц. сетей картинки физически не удаляют, ибо нечего лишний раз файловую систему на запись дергать. Удалять можно только собственную индексную запись о картинке.

RubyFOX Oct 31 2011 at 15:49

Хочешь сделать хорошо, сделай это сам.

vitalikk Oct 31 2011 at 16:11

Я прям знаю о чем будет ~~очередной~~следующий хостинг-стартап.

cat_crash Oct 31 2011 at 16:13

Это более-менее безобидный пример. Стоит ли говорить как рискуют организации, которые исходя из общепринятых советов делают:

cat_crash Oct 31 2011 at 16:14

Хабрапарсер съел
[script lang=«javascript» src=«ajax.googleapis.com/ajax/libs/jquery/1.6.4/jquery.min.js»][/script]

AusTiN Oct 31 2011 at 18:48

имеете ввиду возможность DNS-spoofing?

cat_crash Oct 31 2011 at 19:08

как один из вариантов использования уязвимости

TIgorA Oct 31 2011 at 16:45

Стоит ли напоминать о падении яндекса?

edogs Oct 31 2011 at 16:18

По этой же причине еще лет 5 назад пришлось на форуме реализовывать «автоскачку» картинок, при вставлении их с левых ресурсов. «Доброжелателей» подсовывающих левые картинки было навалом.
Правда исходным посылом для «автоскачки» было совсем другое. Один «очень хитрый пользователь » разместил картинку у себя и плюхнул традиционно хотлинкингом на форум… и через пару дней когда тема стала популярна — банально ее запаролил http authorization с надписью «Вас вынесло из форума введите свой логин/пароль», очень много народу попалось — ну а чё — окно-то всплывает на рРодном" форуме.

UFO just landed and posted this here

timukas Oct 31 2011 at 18:19

Много раз видел, когда из-за превышения лимитов на скачку картинки, сам картинка с imageshack не грузятся.

UFO just landed and posted this here

abrwalk Oct 31 2011 at 20:41

Детский сад.

nemckoff Oct 31 2011 at 22:04

Всю жизнь такой дефейс назывался «попал на хотлинкинге».

shanker Oct 31 2011 at 23:58

Ещё в детстве учили: не бери чужого. Вот оно: наказание 21 века за кражу интеллектуальной собственности.

P.S. «Deface изображений» — это явно новый термин. Доселе не доводилось такого слышать.

impass Nov 1 2011 at 05:00

Вот что из этого получилось: krispotupchik.livejournal.com/279776.html — после полуночи, чудесным образом,
безобидная картинка превратилась в плакат против ПЖиВ.

UPD: В 7:40 Криску разбудил разъярённый пожиратель устриц «Белон», которого нежно разбудил «разоблачатор»-пиарщик от ПЖиВ Рыков — и Потупчик стала судорожно исправлять пост.

Я считаю поделом им! :)

Если кто вдруг не в курсе, сейчас всякими «нашистами» и прочими «молодными гвардиями», аффилированными с прокремлёвкой Росмолодёжью, капитально засраны все более-менее политически значимые площадки: они массово лепят пропагандистские посты (часто это банальная копипаста тонко написанных различными руководителями молодёжных объединений и лояльных Кремлю писак) и комментарии в LiveJournal, пропагандистские видео и комментарии на YouTube, многочисленные троллинговые комментарии в независимых СМИ, стараются дискредитировать и замять любую точку зрения, не совпадающую с государственной формулой пропаганды «Путин+ЕдРо=стабильность» и т.д.

Так что мочить их!

amarao Nov 1 2011 at 11:53

Хабраэффекта не существует. Несколько десятков тысяч хитов выдержит любой вменяемый сервер в режиме штатной работы.