Pull to refresh

Comments 108

Сколько можно использовать этот убогий блогохостинг?
Когда перестанете использовать, он и умрет
в каком месте радикал блогохостинг?
Так это не они, а юзеры. Попробуй всех юзеров отучи. Только если насильно ссылки блочить.
Дело в том, что многие наоборот рекомендуют использовать именно его.
Посмотрите хотя бы на rutracker, все скриншоты, кадры, все с радикала. Не говоря уже о Факах типа
… для удобного заливания изображений используйте хостинг ***.radikal.ру
Про адекватность админов\модераторов рутрекера порой можно часами говорить.
UFO just landed and posted this here
Пользуются-то, как я понял юзеры форума, им обычно совершенно бесполезно что либо объяснять.
Надо им сообщать, что за радикал по бану получить можно =)
Не раз встречал такие форумы и проч., где нельзя именно радикал использовать.
вопрос не в том что использовать, а в том что с этим делать
Есть затратное, но надёжное решение: автоматически выкачивать на свой сервер все картинки, которые пользователи вставили в свои сообщения на форуме, а в сообщениях автоматически же поправить адреса картинок.
Это, кстати, спасает не только от таких вирусов, но и от «протухания» 1-клик-хостингов.
Увы, для такой деятельности популярному форуму понадобится дополнительное место под картинки и дополнительные мощности для их раздачи.
а есть в интернетах благонадежные картинкобомжатники? ведь можно договориться с ними и выкачивать картинки не на «свои мощности», а на них.
Чем популярнее становится ресурс, тем активнее его стараются сломать, чтобы заразить его посетителей, верно? Поэтому странно надеяться, что где-то есть известное, авторитетное и надёжное место. Мне кажется, безопаснее всего верить в свои сервера, чем в чьи-то малознакомые (пусть даже их владельца сказали «у нас всё хорошо»).
Вот за каким вам радикал, если есть

— хабрасторадж для хабрапостов
— Яндекс. Фотки
— Дропбокс.

Есть и куча всего другого, но даже наличие этих трёх сервисов должно было давно прикончить радикал.
суточная аудитория форума 30к человек, какова вероятность, что ни один из них не будет использовать радикал?
Прописать в правилах форума, что радикал = фуфуфу.

Большими такими буквами.

Или как на nnm (кажется) — грузить все картинки к себе на хостинг (не выход, понимаю).
А что делать с уже имеющимися постами?
Не отображать картинки с радикала, вставляя вместо них ссылку с указанием, что ведет на сторонний сайт и тд и тп. Кто не боится — пусть ходит. Ваше дело маленькое — снимаете ответственность с себя.
Обработать ссылки радикала, не на HTML версии с рекламами, а на прямые картинки.
Проблема в том, что эти долбанные картинкохостинги проверяют реферрер и/или куки. И на прямую ссылку на картинку отдают редирект на html.
Поставить правильный Referrer и куку при работе с cURL такая проблема, ага…
Проблема не в курл, а в браузере. Не все пользователи захотят специально ставить плагин ради того чтобы обходить говна в радикале.
Эээ, а причём тут вообще плагины?
Человек ставит ссылку в пост, при обработке поста картинка выкачивается скриптом на ваш сервер через тот-же cURL с подстановкой Referrer и Cookies и дело в шляпе.
UFO just landed and posted this here
На tapochek.net очень хорошо фильтруются ссылки на картинки с определенных хостингов. Не знаю, как у них это реализовано, но оно существует)
Ага, так и писать каждому пользователю :)
Еще
— hostingkartinok ком с прямой ссылкой на картинку (да и рекламы вроде нет, или это адблок мой всю заблочил)
Дропбокс, кстати, заблокирует если много обращений к файлу.
> — хабрасторадж для хабрапостов
Не работает (т.к. на быдлофлеше)

> — Яндекс. Фотки
Ага, ага…

> — Дропбокс.
Кончилось место, сделал rm -rf на ненужную вроде бы директорию — и прощай все фото в статьях…
ОК, по банальному запросу «хостинг картинок» выдается ещё и нормальный (кажется, представлялся на хабре) hostingkartinok.com/, как упомянули выше.

Я это всё к тому, что не радикалом единым.

ЗЫ

Когда радикал умрет с такой своей рекламной политикой? Это уже далеко не первый случай распространения вирусов через них.

К сожалению, протянет долго, пока пипл хавает. Как и всякие летитбиты и прочая.
а вы перед rm-rf хотя бы pause syncing нажмите :) Впрочем согласен, что дропбокс не очень подходит для такого использования.
Что-то картинки вообще не вставляются.

Это карма.
Imgur действительно значительно лучше.
Imageshack.us сейчас требует регистрации. Я лично предпочитаю Дропбокс — с ним у меня все выкладываемые файлы под контролем, и я уверен, что желающие посмотреть выложенную мной картинку НИКОГДА не увидят «Image has been deleted».
Зато могут увидеть что картинка генерирует слишком большой трафик.
О-о-о, это бич многих фотохостингов. В моем случае такой проблемы нет (для Хабра — habrastorage.org, разумеется), не приходится что-то выкладывать для слишком широкой публики. А если уж с регистрацией, то можно выбрать рекламировавшийся на Хабре Pix.am.
imageshack никогда на моей памяти не требовал регистрации. Сейчас залил файл — анонимусам можно.
Когда-то не требовал. Сейчас, по крайней мере, с меня — требует:
Imageshack requires registration
Средствами веб-разработки можно прибить верхний слой с регистраций и вытащить-таки оттуда ссылку на картинку, но она остается недействительной.
аа, понял. Загрузил файл в чистом хроме, после загрузки показало надпись «Вы зарегистрировались», и вверху предложение ввести логин.
На вас эта авторегистрация не сработала почему-то, и всё.
На только что созданном профиле Лисы (что полностью исключает адблоки и вообще что-либо) все равно требует регистрации с вводом почты. Возможно, Хром позволяет сайту как-либо идентифицировать вас без вашего участия? Или Imageshack ведет себя по-разному в зависимости от браузера.
вот именно что я FF обычно пользуюсь. сейчас глянул, там тоже создан аккаунт и предлагает имя ввести. что-то странное.
Да, к сожалению нужна регистрация. Я обычно гружу туда через Imageshack Uploader, так что на сайте редко бываю.

Скажу, что удобство Imageshack Uploader оставляет желать лучшего.
UFO just landed and posted this here
Это советует человек, у которого по второй ссылке всплывающее окно «на вашей странице сегодня было 19 гостей»? Не стыдно?
Если что, вторая ссылка — это скриншот Радикала. Загляните, сайт похож на гадюшник первой величины radikal.ru/
Я не о том, хотя на радикале рекламы я вообще не вижу благодаря адблоку. Я именно о всплывающем уведомлении слева внизу.
На радикале имеется всплывающее окно «на вашей странице сегодня было 19 гостей». В чем проблема?
Действительно, тогда приношу извинения, оно просто стилизовано под вконтактовское. Ни разу такого не видел, пока адблок не отключил.
Уведомление и есть рекламой на радикале, причём оно там рандомное. То пишет о гостях, то сообщения какие-то. Я ещё на сотне сайтов подобное видел.
Уже осознал свою ошибку, каюсь и посыпаю голову пеплом.
Извините, это тоже оказывается реклама с радикала. Отключил блокировщик и ужаснулся — как таким хостингом вообще можно пользоваться?
Акция от Радикал: Публикуй фотографии через Радикал! Дай своему браузеру решить квест по прохождению по 5-8 редиректам! Получай в бонус свеженькие вирусы! Срок акции НЕ ОГРАНИЧЕН!
>жаль, очень близка к утопии

а что в ней утопичного-то? Других имадж-хостингов и файлохостингов с возможностью шарить медиа контент — уйма, выбирать часами можно.
Тупые юзвери, которые упрямо пользуются дерьмицом, потому что «так привыкли с 2002 года»? Так запретить его насильно — и всего делов.
Возможно это поможет решить часть проблем. Есть хостинг postimage.org. У него есть моды для удобной заливки картинок с форума, вроде юзеров вполне устраивает и удобно.
Вот потому то, если вдруг почему-то я вынужден использовать радикал, я на странички никогда не вставляю ссылку вида
_http://radikal.ru/F/<адрес залитой картинки>.html
Без неё тот же вредоносный скрипт подгружаться-то не будет — открывается напрямую картинка.
PS: хз, не спец, но мне кажется тут потенциальная SQL-инъекция:
_http://radikal.ru/F/ololo.ololo.html
ХЗ как её эксплуатировать и есть ли она вообще, или это всё моё воображение, не хочу ща напрягаться)
А зачем они трейсы наружу выставляют? Слава богу в нем паролей нет
дело в том что там уже испокон веков такие урлы, вы серьезно думаете что никто не подумал о том что там может быть инъекция и попробовал заюзать?
Конечно же я не сомневаюсь в том, что основные урлы уже вдоль и поперек перелопачены на предмет уязвимостей.
Я считаю, что выплевывать наружу трейсы — это нарушение безопасности.
Трейсы в паблик — это раскрывать часть архитектуры и давать потенциальным взломщикам пищу для размышлений. Лучше не провоцировать.
я все же не про трейсы говорил, а отвечал на вопрос про урлы.
UFO just landed and posted this here
Если сделать заливку изображении и аттач их к посту удобным (я сейчас про форумы), то все возможно.
Ну юзер же не совсем глупый, написать нужно причину про вирусы, а не просто запретить.
UFO just landed and posted this here
Расскажите кто-нибудь, каким образом можно через вставку картинки нарисовать в исходнике хотя бы фрейм?
Я так понимаю, картинка в конечном счета вставлена в код как html-тег img.
Я полагаю вставлен эскиз, который ведёт на на оригинал, а на страницу с оригиналом. А там уже по навешено от и до.
Почти на всех своих сайтах заблокировали радикал и почти все внешние фотохостинги исходя из правила: все, что не контролируем, может оказаться опасным (а тем более фотохостинги с их криминальными способами монетизации). Юзеры некоторе время плевались, а потом привыкли и смирились.
Лично сам, чтобы залить фотографии юзаю дружественный фотосервис, если по каким-то причинам невозможно использовать дропбокс. Радикал пугал всегда ужасающим количеством рекламы и жутчайшим интерфейсом.
> Когда радикал умрет с такой своей рекламной политикой?

Да что там радикал! Вот AdMob, с его вечной «обновите оперу», «обновите скайп», «обновите обновление»…
Аналитик Dr. Web'а абсолютно прав с точки зрения обычного пользователя.
Да, на вашем сайте вирусов нет.
Но заходящие к вам пользователи при помощи вашего сайта получают себе вирус в подарок.

И пользователя мало будут волновать объяснения, что это всё какой-то сферический радикал, фотки разместили пользователи, а вы тут не причём.

Вообще есть 2 пути:
1. Отказаться всё-таки от радикала.
Если вы при каждом постинге фотографии с радикала будете просить поставить галочку «Да, я осознанно использую распространяющий вирусы радикал и настойчиво хочу заразить вирусами компьютеры других посетителей, я прошу администрацию сайта присвоить мне статус <распространитель вирусов>, согласен с блокировкой моего аккаунта в случае жалоб других пользователей» и подтвердить это капчей,… то народ посмеётся, но постарается ограничить использование радикала. Кроме того, ничего не мешает переделывать ссылки и не давать открыть «картинку в исходном размере» с радикала. С той же самой припиской — там вирусы, извините.

2. Если нет возможности отказаться (юзеры привыкли и будут постить туда и готовы уйти с вашего портала) — написать собственные скрипты, которые будут выкачивать фотки с радикала, сохранять их на вашей площадке и заменять URL'ы на картинки. Как вариант — переносить фотки на другой, более адекватный хостинг изображений.
я думал, что аналитик — это несколько выше по уровню чем обычный пользователь
И что это меняет?
Есть проблема, проблема связана с вашим сайтом, её нужно решать.

Было бы хуже если бы об этом вообще никто ничего не написал.

p.s. А причина, как я понимаю, проста — кто-то разместил таргетированную рекламу с вирусами на радикале конкретно для посетителей вашего сайта :(
И что мы можем в этом случае предпринять? Люди в массе своей игнорируют все предупреждения, а на все ссылки, какими бы странными они не казались жмут «случайно».

Да, кто-то разместил рекламу с вирусом, но проблема-то явно не в атакуемом сайте. Это и должен был выяснить аналитик. Ну и потом, вероятно, написать в другом ключе письмо.
Аналитик высказал предположения. Не в новости, не публикации на хабре, а в письме к вам! Вы же считаете, что лучше бы все молчали!

Браво!
Браво было бы, если бы аналитик проделал то же самое, что и я, а уже после этого отправил письмо. Так понятно?
Можно еще добавить «мне вас жаль», ага.
Чего обижаться-то, я не понимаю.
Интересно, если вы вдруг где-то допустите даже не ошибку, а маааленькую помарку, о вас напишут сразу же статью на самый популярный IT ресурс и будут публично обвинять в непрофессионализме и преступной халатности, вам будет приятно?

ИМХО, наоборот вы должны сказать спасибо тому, кто обратил внимание на то, что через ваш сайт могут идти ссылки на мобильные вирусы. Статью написать стоило, но про уязвимости радикала, а не про сотрудника Dr.Web.

А так или вы идеальны и никогда не совершали ошибок, либо…
Это и должен был выяснить аналитик

Не холи вара ради, но вы считаете, что аналитик должен был бесплатно провести полный аудит сайта?

Ярославу (если я верно понимаю, о ком идет речь) написали, что на сайте происходит нечто подозрительное и поинтересовались — в курсе ли он. Вместо ответа человеку, Ярослав, в присущей ему параноидальной манере, начал подключать каких-то третьих лиц, видимо посчитав, что его собираются как-то обмануть. Проще надо быть, проще.

Вероятно, тут еще сыграло роль то, что аналитики не из ЯО и не в курсе особенностей характера владельца ресурса. Видимо, владельцы других ресурсов, как минимум, благодарили, за предоставленную информацию, а тут только гневный пост на Хабре. Ожидаемо для пользователей Yarportal, неожиданно для DrWeb.
Неправильный подход.

Я (самый обычный посетитель!) зашел на ваш сайт, мой комп был заражен.
Меня, как посетителя не волнуют техническое подробности, я просто не буду больше пользоваться «сайтом, распространяющим вирусы».
И вы, как владелец сайта, в моём лице потеряете аудиторию.

Сколько человек поступит таким образом? Не знаю. Но они будут.
Лично у меня (и уверен — у большинства посетителей хабра) с такой заразой неплохо справляется набор adblock + noscript + антивирус (или что-то с аналогичным функционалом) и лично меня наличие «таргетированных под ваш сайт вирусов» на радикале вообще никак не затронет.

Все эти технические подробности полезны только в 2х ситуациях:
1. Когда вы самостоятельно будете решать проблему (варианты я писал выше — отказ от радикала, либо — перекачка файлов к себе)
2. Если на вас подадут в суд за распространение вирусов — вы сможете доказать, что хоть вирусы и получены при посещении вашего ресурса, но к вам (и к самому ресурсу) они не имеют отношения
Так надо было ещё на левую ссылку нажать.
Я предостаточно видел порнобаннеров-винлокеров, которые на рабочих компьютерах зарабатывали 50-летние тётечки после посещения mail.ru или RBC

т.е. помимо всего прочего обязательно должен быть должен быть пользователь-идиот
Бородатый анекдот:
— Девушка, вы могли бы полюбить радикала?
— Ради чего?!!!
Мы связались с представителями портала на самом раннем этапе изучения данной ситуации в надежде как можно скорее помочь устранить потенциально очень серьезную угрозу. Вывод о том, что сайт может быть инфицирован, был предварительным, и, как все могли убедиться, не носил утвердительного характера. Любая имеющаяся информация или комментарии со стороны представителей портала могли бы поспособствовать скорейшему решению вопроса.

Ответа от представителей портала до сих пор не последовало. Вместо этого мы видим этот пост, содержащий поддекст обвинительного характера.

Вы все должны понимать, что всестороннее изучение проблемы и рассмотрение максимального числа возможных вариантов требует времени. Изучив все аспекты, мы можем подтвердить, что проблема присутствует не на yarportal.ru, а на radikal.ru.
Помочь устранить? «Аналитики» даже не удосужились поискать проблему, как они могут помочь в ее устранении?
Извините, что обратились к вам. Больше такой ошибки мы не допустим!
Ошибка была не в «обратились», а в строчке
> Возможно, yarportal.ru был взломан или на нем используется недобросовестная рекламная модель, о которой владельцы портала могут и не знать.

прежде чем делать выводы, надо изучать проблему, а не выдвигать беспочвенные подозрения. Аналитик должен был изучить трафик, который получается при данном редиректе. Почему этого не было сделано? Дел на 10 минут от силы.
«Должен был»?

Вам попытались вам помочь, вы же повели себя как абориген… Удачи в дальнейшем!
Если взялся за проблему, то почему не должен-то? На работе, вроде бы, нет? Писал он не с какого-нибудь личного ящика на mail.ru, а с официального на drweb.com
Как мы уже говорили, рассмотрение вопроса было на самом начальном этапе! Любая информация со стороны представителей портала могла бы помочь. Прежде чем заявлять что-то официально, необходимо рассмотреть все возможные варианты, которые могли стать причиной подобной ситуации. Что и было сделано.

Ну так письмо и было отправлено. Ровно с тем же сообщением. И вопросом, почему аналитик не воспользовался возможностью посмотреть на трафик.
Безумно ненавижу уродливый радикал. Однако регулярно сталкиваюсь с любовью юзеров залить фотоотчет фотографий эдак на 20-30 на радикал. На радикал у меня правил в адблоке десяток, без блокировщика рекламы боюсь туда заходить. Сам туда никогда фотографии не загружаю из принципа, и стараюсь отучить знакомых. Но увы, они по прежнему лезут на радикал без даже блокировщика рекламы и заливают туда фотографии пачками. К сожалению, тут поможет лишь принудительная блокировка радикала.
UPD2: не надо предлагать альтернативы радикалу, я их и так знаю, спасибо.

«Мыши кололись и плакали, но продолжали есть кактусы.»
Первое, что приходит на ум. Вы не хотите отказываться от радикала, ибо это утопия, не хотите переходить на другие сервисы, ибо просто не хотите. Вывод прост, мучайтесь дальше.
я и не пользуюсь, откуда такой вывод? )
Вроде как ваши слова:
UPD: не использовать радикал — это, конечно, отличная мысль, жаль, очень близка к утопии.
Не вы, но ваш клиент. Если вы помогаете ему с его сайтами, то логично было-бы в добровольно-принудительном порядке сменить хостинг изображений.
любое принуждение вызывает отторжение просто само по себе, неважно какое это благо для всех и каждого. это ведет к оттоку пользователей, снижается посещалка, потом доходы. поэтому хозяин не хочет подобных радикальных мер. соответственно и действовать надо по-другому.

форум, где все картинки заливались на свой хостинг, у меня тоже был, ни к чему хорошему в итоге не привело, увы.

а вот идея про страницу с предупреждением при переходе по внешней ссылке хороша, постараюсь протолкнуть
Поверьте мне, страница с предупреждением вызовет больше негатива, чем запрет постить на радикале.
Запрет постить ничего не даст, т.к. тысячи картинок уже там выложены и ссылки на них на форуме.
Sign up to leave a comment.

Articles