Comments 139
Ахаха! Молодец!
Теперь половина пользователей «Read-only» получат инвайт.
P.S. при условии что они постоянные читатели
Теперь половина пользователей «Read-only» получат инвайт.
P.S. при условии что они постоянные читатели
Я конечно дождался пока уязвимость устранят и после этого выложил статью
Всё правильно сделал!
Эгоист!
UFO just landed and posted this here
Мне кажется тот кто догадался воспользоваться уязвимостью уже заслуживает инвайт. Поэтому вначале я подумал что это может быть не баг а фича :)
А зачем выложил-то? Нет, я не спорю, что публиковать незакрытые уязвимости неэтично. Я просто не вижу смысла публиковать закрытые, кроме как строчкой вида «Надысь нашёл баг с перехватом ID инвайт-тикета, вчера отдал чинить». Зачем эта статья? Для чего?
>Спустя час уязвимость была локализована
>Теперь половина пользователей «Read-only» получат инвайт.
Хоть бы прочитал до конца, прежде чем комментировать.
>Теперь половина пользователей «Read-only» получат инвайт.
Хоть бы прочитал до конца, прежде чем комментировать.
уязвимость была локализована
Извините что не по теме, но печально смотреть как вполне адекватного и активного хабра-человека за один неудачный комментарий можно сказать казнили.
Ладно минус комментарию, но еще и карму слили. Зачем?
Поставлю человек плюс, хоть это уже по ходу ничего не меняет :/
Ладно минус комментарию, но еще и карму слили. Зачем?
Поставлю человек плюс, хоть это уже по ходу ничего не меняет :/
Он может сделать сброс. Ну а еще проблема в том, что человек настолько хотел стать первонахом, что осудил статью по 3-6 строкам
Это не ответ. Сброс можно сделать лишь раз, но не в сбросе дело.
Вопрос был почему за один — один! — комментарий адекватного и активного юзера фактически «хаброказнили» — есть ли в таком поведении смысл?
Вопрос был почему за один — один! — комментарий адекватного и активного юзера фактически «хаброказнили» — есть ли в таком поведении смысл?
Ещё раз говорю: пользователь совершил хабрасуицид, потому что читает первую и последнюю строки статьи. Даже не предпоследнюю (иначе он бы не стал писать то, что написал). А первую и последнюю. Чувствуете, что он это как бы сам этого добивался?
Ваш вывод непонятен — о «локализации» уязвимости сказано лишь в предпоследнем абзаце, да и само слово «локализация» не означает устранение уязвимости — автор топика неверно выбрал выражение.
Прочитав одну статью по диагонали, и поспешно откомментировав автор «как бы добивался» хаброказни? Сомнительно.
Прочитав одну статью по диагонали, и поспешно откомментировав автор «как бы добивался» хаброказни? Сомнительно.
Но он всё же потом извинился =/
Я бы не назвал это извинением, откровенно говоря 8)
Я не совсем логику понимаю слива кармы и рейтинга единовременно.
То что слили рейтинг, это понятно — негативная оценка к комментарию. Но вот, зачем карму понижать, честно говоря, не понимаю. Я всё же считал, что карма отражает вклад в сообщество…
То что слили рейтинг, это понятно — негативная оценка к комментарию. Но вот, зачем карму понижать, честно говоря, не понимаю. Я всё же считал, что карма отражает вклад в сообщество…
Это социальное сообщество. А значит оно не поддаётся логике
> есть ли в таком поведении смысл?
Т.е. ваш ответ: «нет, и не просите — это социальное общество» ((-:
Т.е. ваш ответ: «нет, и не просите — это социальное общество» ((-:
Жалко юзера wowkin :(
Дело в том, что топик очень популярный и резонансный.
В реальной жизни всё так же.
Написать плохой комментарий в каком-нибудь узкопрофильном хабе — как рассказать унизительную историю о себе знакомым на лавочке. Ну дадут пару кулаков в крайнем случае и забудут.
Написать плохой комментарий к такому топику — как рассказать такую же историю в мегафон на площади во время массовой демонстрации или гуляния, опозориться на всю страну.
В реальной жизни всё так же.
Написать плохой комментарий в каком-нибудь узкопрофильном хабе — как рассказать унизительную историю о себе знакомым на лавочке. Ну дадут пару кулаков в крайнем случае и забудут.
Написать плохой комментарий к такому топику — как рассказать такую же историю в мегафон на площади во время массовой демонстрации или гуляния, опозориться на всю страну.
А что тут печального? Это давно уже норма хабралайфа: облажался — умри! Тут не любят неугодных, имеющих свою точку зрения или просто неудачно пошутивших людей. За это их заклюют, растопчат и уничтожат. После такого люди уже не возвращаются. Во всем виновата система, которая стимулирует кармадрочерство и убивает желание писать на хабре у многих адекватных людей.
216 read-only получили инвайт с 15 кармы и заминусовали вас и ваш комментарий.
Молодцом!
заслуженно «получил» инвайт
заслуженно «получил» инвайт
Осталось найти «потерпевшего».
Сейчас тут появятся десятки «потерпевших». И потребуют вернуть инвайт.
Не появятся — у них же read-only аккаунт и они сейчас читают просто статью, без возможности написать «Верните инвайт, негодяи!»))
Хабр знает, кто отправил инвайт — ему просто его вернут. Ну или не вернут — это уж как НЛО решит.
Не появятся. Они же «Read-only».
Интересно, можно ли найти, кому предназначался тот инвайт и кем он был выдан.
Интересно, можно ли найти, кому предназначался тот инвайт и кем он был выдан.
Отправил автору инструкцию по выяснению потерпевшего в ЛС. Думаю, что уязимость схожа с найденой мной и выяснить email-потерпевшего не состивит труда.
Вызываю antonk18 в эту ветку, дабы огласил результат.
Вызываю antonk18 в эту ветку, дабы огласил результат.
А ларчик просто открывался
А почему зарегистрирован 14 мая 2012? Это потерпевший?
Точно так же получил инвайт)) но уязвимость была посерьезнее)) Тоже отписался на почту компании… давненько это было)
Четкий, программистский способ
Всё правильно сделал!
antonk18, молодец! А кто-то просто находит и молчит…
Ну все… Терь понесется неофициальная олимпиада по поиску уязвимостей на хабре!!!
Терь все будут искать нераскрытые уязвимости «в поте лица»…
Держись, Хабр!
Ну все… Терь понесется неофициальная олимпиада по поиску уязвимостей на хабре!!!
Терь все будут искать нераскрытые уязвимости «в поте лица»…
Держись, Хабр!
10 минут, это еще повезло. Можно было пол дня так сидеть, капчу набивать…
А вдруг подобные уязвимости неслучайны?
Вдруг НЛО специально таким образом отбирает хакеров и затем использует в каком-то тайном проекте? Рекрутируют для Anonymous group)
Вдруг НЛО специально таким образом отбирает хакеров и затем использует в каком-то тайном проекте? Рекрутируют для Anonymous group)
После регистрации надо было посмотреть, кто папа. У и просить прощения у него.
Папа в данном случае — НЛО. На скриншоте видно.
На скрине:
Зарегистрирован:14 мая 2012 в 21:08 по приглашению НЛО
Зарегистрирован:14 мая 2012 в 21:08 по приглашению НЛО
я это видел, но думаю, что изначально там было имя пострадавшего.
изначально там было НЛО, и смысл мне обманывать
Пострадавший — тот, кто не успел активировать инвайт, а не тот, кто его выдал.
Отчасти пострадали оба. Прежде, чем выдать инвайт, его приходится самому заработать, а это не так-то просто — сочинить блогозапись, достигающую трёхзначного положительного рейтинга.
необязательно трёхзначного. Просто статья должна понравится тому, кто имеет лишний инвайт.
ться*
Читаем внимательно.
Чтобы «иметь лишний инвайт» —
С неба инвайты не падают, если человек выдал инвайт — он должен прежде его заработать, а когда потом (или пОтом :-) заработанный инвайт уходит в никуда — обидно.
У меня как раз так: пригласил человека из песочницы. И параллельно ему дал инвайт НЛО. С одной стороны хорошо — достойный человек на хабре. С другой — у меня инвайт потратился впустую. Нехорошо, однако :-)
Думаю, про это Mithgol и написал.
Чтобы «иметь лишний инвайт» —
его приходится самому заработать, а это не так-то просто — сочинить блогозапись, достигающую трёхзначного положительного рейтинга.
С неба инвайты не падают, если человек выдал инвайт — он должен прежде его заработать, а когда потом (или пОтом :-) заработанный инвайт уходит в никуда — обидно.
У меня как раз так: пригласил человека из песочницы. И параллельно ему дал инвайт НЛО. С одной стороны хорошо — достойный человек на хабре. С другой — у меня инвайт потратился впустую. Нехорошо, однако :-)
Думаю, про это Mithgol и написал.
Самый правильный способ получить инвайт на ИТ-ресурс.
Инвайт заслуженный.
Это был мой инвайт. Верни!
Возможно, после этого комментария мой аккаунт отправит в read-only НЛО. Но XSS уязвимость не закрыта с 6 января.
Да, ее трудно воспроизвести, но ведь крыть то нужно.
Да, ее трудно воспроизвести, но ведь крыть то нужно.
Раньше за такие посты банили
Автор дождался, пока уязвимость исправят. Не вижу причин банить, например.
Я и раньше не видел, но вот было такое негласное(а может и гласное) правило=)
Тогда человек выкинул способ обойти капчу, случайно( из черновиков в паблик вышла). Ему дали бан, хоть он и не специально.
Ну как я например, но я уведомил разработчиков 5 Января, а толку то.
Посмотрим что будет, интерес, знаете ли :)
Ну как я например, но я уведомил разработчиков 5 Января, а толку то.
Посмотрим что будет, интерес, знаете ли :)
Еще был случай с внутренним голосом)
Передал информацию про XSS разработчикам, сейчас исправим.
Видимо где-то потеряли таск. Уже занимаются этой проблемой.
Оказывается, я еще и заработать пытался…
Минус мне!
Минус мне!
Ц-ц-ц )
Помню такое письмо, но почему баг не исправили до сих пор, сейчас сложно сказать — минус мне ) Но сейчас исправим.
В любом случае, подобные вещи лучше сразу писать в суппорт.
Помню такое письмо, но почему баг не исправили до сих пор, сейчас сложно сказать — минус мне ) Но сейчас исправим.
В любом случае, подобные вещи лучше сразу писать в суппорт.
Будем знать.
Все хорошо то, что хорошо кончается :)
Все хорошо то, что хорошо кончается :)
А другие ситуации, не связанные с уязвимостью, багами не считаются? Писал как-то об этом здесь: habrahabr.ru/qa/35203/ ничего не изменилось… Или это тоже в суппорт нужно репортить? Вообще, такое впечатление, что сайт ведет один разработчик, который просто физически не успевает (не хочет?) поддерживать его в состоянии, что называется «в ногу со временем», а тем более исправлять баги, не использует тесты и тд… Возможно, я ошибаюсь.
в 1937-м?
Все, начинается неделя уязвимостей хабра
Зделка прошла успешно. Инвайт взял впирод.
гениально :)
У вас дата регистрации май 2012 года. Уязвимость получается почти год исправляли?
Дата регистрации != дата инвайта
Регистрация может быть и read-only
Регистрация может быть и read-only
Дата обнаружения уязвимости и сообщения в саппорт, думаю, примерно совпадает вот с этим вопросом в Q&A:
habrahabr.ru/qa/38281/
Т.е. уязвимость была исправлена менее чем за сутки.
habrahabr.ru/qa/38281/
Т.е. уязвимость была исправлена менее чем за сутки.
невиданный рост кармы и рейтинга у автора, уже 7-й в рейтинге хабралюдей :)
А чё, правильно. Было бы неплохо если бы регистрацию проходили исключительно методом взлома формы регистрации :)
>>даже позвонил по номеру телефона в компанию ТМ
А когда я звонил по вышеозначенному телефону, мне ответил испуганный молодой человек, который сказал, что про хабр ничего не знаем, пишите на email и вообще ходют тут всякие.
А когда я звонил по вышеозначенному телефону, мне ответил испуганный молодой человек, который сказал, что про хабр ничего не знаем, пишите на email и вообще ходют тут всякие.
Хочешь инвайт? Взломай хабр!
Автор не только попал на хабр, но ещё и получил от него хороший заряд на всю оставшуюся жизнь.
«Раньше я просил Бога, чтобы он подарил мне велосипед, но потом я понял, что Бог работает по-другому — я украл велосипед и стал просить Бога о прощении...»
Sign up to leave a comment.
Уязвимость на Habrahabr или как украсть инвайт