Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 132
Скажите, а если пользователь где-нибудь напишет свой пароль в открытом виде, и этот пароль будет найден гуглом, вы тоже назовете это «уязвимостью»?
я считаю, что даже недальновидных пользователей нужно стараться защитить, например, ссылки в письмах могут быть одноразовыми, в Google светятся не только левые ящики, Badoo собирались убрать все ссылки из индекса Google — этого до сих пор не сделано, регистрация без подтверждения тоже интересна, по-моему это мало приятно, когда на ваш email зарегистрируют аккаунт и заполнят вам профиль противоречивой информацией.
регистрация без подтверждения тоже интересна, по-моему это мало приятно, когда на ваш email зарегистрируют аккаунт и заполнят вам профиль противоречивой информацией.
а этот email можно сделать видимой всем информацией? то есть, чтобы другие пользователи и/или поисковые машины могли его видеть и находить меня по нему?
Если да, то это действительно недоработка в плане личных данных пользователя.
ссылки в письмах могут быть одноразовымиНе решит проблему, если сам пользователь ни разу не воспользовался этой ссылкой, а после она попала в открытый доступ. Ограничить срок действия? А какой именно срок? День, два? А если я в отпуске был, а спустя месяц почту разгребаю?
убрать все ссылки из индекса GoogleНикто ничего не может убрать из индекса Google. Их робот сам решит убрать или нет, и если да, то когда именно это сделать. Можно лишь убрать страницы на своем сайте, на которые ведут эти ссылки, и когда-нибудь, когда Гугл решит, что они удалены достаточно давно, то может и удалит из индекса.
регистрация без подтвержденияА это вообще свинство какое-то
Дыр в безопасности, судя по всему у Баду хватает, но, с другой стороны — на кой черт пользователь публикует в открытый доступ свои ссылки? Хотя, с учетом того, что средний пользователь соц. сетей технически малограмотен, в письмах со ссылками надо крупным текстом писать что нельзя передавать их третьей стороне. Многие системы предупреждают, неужто в письмах Баду нет такого? А если есть, то извините, никто не может защитить пользователя от самого себя…
ссылку для регистрации без подтверждения не обязательно искать в Google, можно отправить приглашение на своей второй email и затем модифицировать ссылку, но это просто более сложный путь.
Badoo утверждали, что могут убрать ссылки из Google:
«Они были проиндексированы Гуглом до принятия нами мер. По мере переиндексации все такие ссылки будут деактивированы.»
Badoo утверждали, что могут убрать ссылки из Google:
«Они были проиндексированы Гуглом до принятия нами мер. По мере переиндексации все такие ссылки будут деактивированы.»
А какой именно срок? День, два? А если я в отпуске был, а спустя месяц почту разгребаю?
Представляется, что день-два, не более. Через месяц будьте любезны получить еще одну. Более того, сервер на первый переход по просроченной ссылке может сразу высылать еще одну, ибо ситуация более-менее ясная — человек протупил с переходом по ссылке, и исходную задачу, ради которой ее запрашивал, явно не решил (раз переходит), значит можно нужно ему помочь.
Представляется, что день-два, не более. Через месяц будьте любезны получить еще одну. Более того, сервер на первый переход по просроченной ссылке может сразу высылать еще одну, ибо ситуация более-менее ясная — человек протупил с переходом по ссылке, и исходную задачу, ради которой ее запрашивал, явно не решил (раз переходит), значит можно нужно ему помочь.
Представляется, что день-дваА вот и нет. Если ссылки каким-то образом уходят в публичный доступ, то почему это не может произойти за считанные минуты/часы? А Гугл индексирует многие сайты также в считанные минуты. Вуаля — через часок после отправки письма мы можем найти в Гугле нужные нам ссылки. Когда я спрашивал "А какой именно срок?", я далее пытался сказать, что нет ответа на этот вопрос. Если ссылки были в личной почте пользователя, то ответственность за их конфиденциальность лежит лично на самом пользователе, и никакие ограничения по количеству использований и срокам ничего не дадут.
> А если я в отпуске был, а спустя месяц почту разгребаю?
что мешает руками авторизоваться?
что мешает руками авторизоваться?
Ссылки, скорее всего, попадали гуглу без участия пользователя. Например, Google Analytics их запросто мог сливать.
В данном конкретном случае, вариант использования может быть такой: Я регистрируюсь с email пользователя Х, захожу под аккаунтом пользователя Y и создаю между ними компромитирующие действия. После этого можно приступать к операции «шантаж».
Я считаю, что найденные уязвимости ставят под угрозу личную жизнь и социальный статус пользователей, не говоря уже о возможности использования чужих аккаунтов терорристами для тайных переговоров.
P.S. Однако остаются не понятными легкомысленные действия администрации ресурса.
Я считаю, что найденные уязвимости ставят под угрозу личную жизнь и социальный статус пользователей, не говоря уже о возможности использования чужих аккаунтов терорристами для тайных переговоров.
P.S. Однако остаются не понятными легкомысленные действия администрации ресурса.
Да что непонятного, зажали bounty заплатить. Судя по упорстру у них и mysql-injection будет ошибкой а не уязвимостью.
P.S. Однако остаются не понятными легкомысленные действия администрации ресурса.
Им призов жалко.
Какой ужас, некоторые пользователи не успевают отвечать на сообщения. Я им помог.
Видимо маркетологи с разработчиками даже и не общаются, судя по реакции вся акция придумана маркетологами и не более.
Мне не понятно почему они правильный robots.txt для поисковиков не составят?
Вот же!
Однако, несколько недель назад мы предприняли меры по автоматической инвалидации авторизационных ссылок, найденных популярными поисковыми системами.
Это не совсем то. Скорее это значит, что они просто те ссылки сделали нерабочими.
Впрочем robots.txt они теперь отдают вроде верный, если конечно ссылки на авторизацию приходят именно через https:
eu1.badoo.com/robots.txt — HTTPS
eu1.badoo.com/robots.txt — HTTP
Впрочем robots.txt они теперь отдают вроде верный, если конечно ссылки на авторизацию приходят именно через https:
eu1.badoo.com/robots.txt — HTTPS
eu1.badoo.com/robots.txt — HTTP
не совсем так, даже при верном robots.txt — он носит исключительно рекомендуемый смысл. Но, если гуглу надо он это возьмет.
Поэтому лучше использовать стандартные:
http://www.comedyclub.ru/robots.txt
Правила:
User-agent: *
Disallow: /
Большое изображение
Поэтому лучше использовать стандартные:
<meta name="robots" content="noindex, nofollow" /> или X-Robots-Tag HTTP header
если гуглу надо он это возьметНа указаном скриншоте русским по белому написано: «Описание веб-страницы недоступно из-за ограничений в файле robots.txt».
По поводу же появления этого результата в поиске официальная документация гласит:
Хотя Google не сканирует и не индексирует содержание страниц, заблокированных в файле robots.txt, URL, обнаруженные на других страницах в Интернете, по-прежнему могут добавляться в индекс. В результате URL страницы, а также другие общедоступные сведения, например текст ссылок на сайт или заголовок из каталога Open Directory Project (www.dmoz.org), могут появиться в результатах поиска Google.
Поэтому лучше использовать стандартныеЧем лучше? Они делают какую-то особую магию, а не просто рекомендательные, как robots.txt? Или лучше напрячь сервер Гуглом, впустую скачивающим все страницы ради meta-robots или X-Robots-Tag, вместо того чтобы даже не соваться на них после прочтения robots.txt?
можете почитать: alaev.info/blog/post/3013
продвинутые вебмастера, которые в теме особенностей индексации сайтов и поведения роботов, используют метатег robots.
И снова небольшая выдержка из руководства от Google:
Чтобы полностью исключить вероятность появления контента страницы в индексе Google, даже если на нее ссылаются другие сайты, используйте метатег noindex. Если робот Googlebot начнет сканировать страницу, то обнаружит метатег noindex и не станет отображать ее в индексе.
Внушает оптимизм, не правда ли? И еще:
Обратите внимание: чтобы увидеть тег noindex, мы должны просканировать вашу страницу, поэтому существует небольшая вероятность, что поисковый робот Googlebot не увидит метатег noindex и не отреагирует на него. Кроме того, если вы заблокировали эту страницу с помощью файла robots.txt, мы также не сможем увидеть этот тег.
Следовательно, все страницы, которые мы хотим запретить к индексации, а так же исключить их из индекса, если они уже проиндексированы (насколько я понял, это касается и доп. индекса Гугла), необходимо на всех таких страницах поместить метатег . Что еще более важно, эти самые страницы не должны быть закрыты через robots.txt
Короче говоря, чтобы полностью запретить индексацию ненужных страниц и появление их в поиске необходимо на всех этих страницах разместить метатег<meta name="robots" content="noindex,nofollow">.
Чтобы полностью исключить вероятность появления контента страницы в индексе Google, даже если на нее ссылаются другие сайты, используйте метатег noindex.М-да… Случаются факапы в документации :)
На самом деле, речь идет не о «контенте страницы», а скорее о (приблизительно по смыслу) «контенте о странице», т.е. об упоминании страницы в результатах поиска. Кстати,
если вы заблокировали эту страницу с помощью файла robots.txt, мы также не сможем увидеть этот тег.не кажется странным? Страницу видит, а тег в ней нет?
Хоть и не по русски, но есть и явное официальное утверждение, что гугл не нарушает robots.txt: http://youtu.be/nM2VDkXPt0I?t=3m44s, а особенно тут: http://youtu.be/nM2VDkXPt0I?t=5m25s прямым текстом об этом и о том, что именно может показывать гугл о страницах, закрытых robots.txt
все верно :) но по опыту могу сказать, что если указаны правила через robots.txt (то месяцами страницы в индексе), но как только перешел дополнительно на:
<meta name="robots" content="noindex,nofollow"> или X-Robots-Tag HTTP header, то буквально за несколько апдейтов вылетели «лишние» страницы.если указаны правила через robots.txt (то месяцами страницы в индексе)Возможно, но ведь это не то же самое, что
если гуглу надо он это возьмет
Более того, удаление уже попавших в индекс страниц — совсем не то же самое, что предотвращение их попадания в индекс. Использование robots.txt (вместо meta) для второго снижает нагрузку на сервер. А для первого вообще рекомендуется Webmaster Tool.
Но в целом, это всё пофиг, ибо никакие robots.txt и noindex Badoo всё равно не помогут — не их страницы ведь индексировались. Гугл ничего не знает про все эти
https://eu1.badoo.com/access.phtml?UID=... кроме того, что эти ссылки существуют, ибо robots.txt. Нахождение их именно таким способом — лишь мелкая неприятность, а сокрытие — лишь заметание проблем под ковёр. По незащищенным каналам (коим и является нешифрованная почта) вообще нельзя отсылать ссылки, пропускающие без аутентификации. Если хочется облегчить пользователям жизнь, то хотя бы долгоживущие куки надо вешать — всё лучше, чем пускать всех без разбору, а уж набрать пароль раз в месяц — думаю никто не развалится.
А при чем тут роботс? Находятся ведь не сами страницы badoo, а репосты писем со ссылками туда. Что в robots.txt для badoo.com ни пиши, а в тексте на других сайтах все равно будет ссылка видна (сама ссылка как текст), не будет индексироваться лишь контент по этой ссылке.
Судя по скринам ищутся именно ссылки с badoo.
А при чем тут роботс?
я тоже думаю что не при чем.
в данной ситуации ссылки — это просто проиндексированный текст.
кроме того, ссылки в robots.txt изначально закрыты — вот же написано на скрине русским языком)
habrastorage.org/storage2/32f/321/94a/32f32194a7a17356b80c5942291084c2.png
Да, там есть буду кредиты за которые можно повысить себе рейтинг, тоже самое можно сделать голосованием, рисуем простую схему — оплата 1/2 стоимости баду кредитов исполнителю (ну или сколько жадность позволит) он регит аккаунты без подтверждений, увеличивает рейтинг на данную сумму, все довольны — прямая монетизация бага.
Если бы у него был дисплей Pixel Qi как у Sunbook, то и работать было бы комфортно и подсветку можно было выключать, что уменьшило бы потребление.
Что касается защищённых ноутов, на которых можно работать на ярком солнце, есть Getac X500 с дисплеем QuadraClear, но он очень не дёшев и без солнечных батарей. Но при прямом солнце в дисплей он всё-же заметно уступает Pixel Qi.
Что касается защищённых ноутов, на которых можно работать на ярком солнце, есть Getac X500 с дисплеем QuadraClear, но он очень не дёшев и без солнечных батарей. Но при прямом солнце в дисплей он всё-же заметно уступает Pixel Qi.
А конкурс кто-то выйграл или он все еще проходит? И что получил победитель?
Мне кажется, они уже ответили на все возможные вопросы этим предложением:
Мы не контролируем такие действия пользователей и не можем их остановить.
И зачем люди делают такие конкурсы, а потом зажимают от нашедших уязвимости призы? Ну, считаете баг минорным — заведите номинацию для таких багов, подарите человеку футболку и скажите «спасибо», так нет — «идите нафиг, данное решение жюри является окончательным» — и потом вот такие статьи на Хабре.
Ничего себе «не уязвимость»
Можно в письме написать код из 4-х цифр. При переходе по авторизирующей ссылке, просить ввести это простое число. Немного сложнее, но безопаснее.
ps: при 3-х неудачных попытках, ссылка невалидна
ps: при 3-х неудачных попытках, ссылка невалидна
Тогда уж проще просить залогиниться… Вся эта возня с многократными авторизационными ссылками в несекьюрных письмах — для того что бы пользователю нужно было меньше телодвижений.
Всё-таки, если такого хочется, то надо делать ссылку однократной. И тщательно оценивать риски. Т.к. злоумышленник может перехватить даже отднократную ссылку в старой ethernet или DOCSIS сети даже если атакуемый пользователь настолько умён, что бы не пользоваться говномейлами, но не настолько умён, что бы пользоваться TLS для получения почты.
Всё-таки, если такого хочется, то надо делать ссылку однократной. И тщательно оценивать риски. Т.к. злоумышленник может перехватить даже отднократную ссылку в старой ethernet или DOCSIS сети даже если атакуемый пользователь настолько умён, что бы не пользоваться говномейлами, но не настолько умён, что бы пользоваться TLS для получения почты.
Какие же они в badoo дубовые, оказывается. Интересно, а если кто-то сейчас возьмёт инициативу и от всех пользователей под которыми можно залогиниться начнёт рассылать спам, они поменяют своё мнение?
Забыли только уточнить в каком году они её пофиксят?
Это не уязвимость, это ошибка и мы ее обязательно пофиксим.
Забыли только уточнить в каком году они её пофиксят?
Я, кстати, пользователь этого сайта, но что-то не замечал новостей по поводу этого конкурса. И поэтому я так эмоционально реагирую на подобные «не уязвимости»…
P.S. Большая просьба не сливать карму… её и так уже нет…
P.S. Большая просьба не сливать карму… её и так уже нет…
Судя по моей слитой карме после написания комментариев выше, кто-то так же как и специалисты по безопасности badoo не считают описанную «ошибку» за «уязвимость»?
Может выскажете своё мнение по этому поводу, измените моё восприятие мира?
Может выскажете своё мнение по этому поводу, измените моё восприятие мира?
Мне больше нравится буддистское определение кармы. Карма — это то, что создаётся осознанным действием. Плохое действие даёт нам плохое последствие, хорошее действие — хорошее последствие.
Так вот по этому определению моя карма на хабре говорит всем, что я поступаю плохо, причём субъективно плохо. Но никто не говорит открыто, что именно, по их субъективному мнению, плохого я сделал, не даёт мне пищу для размышлений, не даёт мне стать лучше.
И я не боюсь стать собакой=) Я вообще не верю в то, что Земля — это единственное место, где есть разумная жизнь. В следующей жизни я бы не хотел оказаться на Земле, лучше попробовать что-нибудь новенькое и не важно на сколько сложной будет следующая жизнь.
Так вот по этому определению моя карма на хабре говорит всем, что я поступаю плохо, причём субъективно плохо. Но никто не говорит открыто, что именно, по их субъективному мнению, плохого я сделал, не даёт мне пищу для размышлений, не даёт мне стать лучше.
И я не боюсь стать собакой=) Я вообще не верю в то, что Земля — это единственное место, где есть разумная жизнь. В следующей жизни я бы не хотел оказаться на Земле, лучше попробовать что-нибудь новенькое и не важно на сколько сложной будет следующая жизнь.
А зачем пользователей пугать :)
— Алло, мастерская, у вас железная дверь на пяти ключах открывается пинком.
— Это не уязвимость, это ошибка в замке, мы её потом пофиксим.
— Это не уязвимость, это ошибка в замке, мы её потом пофиксим.
— Это не уязвимость — нечего дверь пинать. Мы не можем защитить вас от каждого случайного пинка, купили нашу дверь — теперь она ваша.
-Алло, мастерская!? Я купил у вас железную дверь, которую ваши мастера же и установили, но вчера ко мне в дом вошли какие-то вандалы, написали на стене «Хабр ру — всем привет!». Что это за дверь вы такую ставите ужасную?
-А вы на замок дверь запирали?
-Нет, а надо?
-А вы на замок дверь запирали?
-Нет, а надо?
Спасибо за ссылку на Google Dorks, открыл много нового!
Спасибо Сергею Белову, про Google Dorks он мне рассказал.
и спросила можно ли написать статью на ХабрахабрА зачем спрашивать? Это же не уязвимость! :)
summon badoo customer support: +1000 к неуязвимости
Анна, здравствуйте. Спасибо за статью и за повторное обращение к этому вопросу.
Давайте попробуем разобраться последовательно с двумя проблемами, про которые Вы написали.
1. По поводу первой ошибки, когда чужой email оказывается подтвержденным. Мы сейчас подняли нашу переписку и обнаружили, что ответили Вам, что это не ошибка безопасности.
Просим прощения, что некорректно сформулировали ответ. Это действительно не ошибка безопасности, но баг. Потому что в данной ситуации наносится ущерб нам как компании, а не пользователю. При помощи ошибки злоумышленник не может получить доступ к личным данным других пользователей. Все, что он может сделать – использовать чужой или несуществующий email в регистрации. Худшее, что может произойти — пользователь, который не регистрировался на нашем сайте, начнет получать от нас письма. Спасибо, что напомнили, что такой баг существует, мы его пофиксили.
Информацию про все найденные уязвимости, за которые мы платили премии, можно посмотреть по ссылке: http://corp.badoo.com/security-board
2. По поводу второй ошибки об индексации ссылок Гуглом и другими поисковиками.
Сожалеем, что в переписке нам не удалось объяснить нашу позицию достаточно ясно. Попробуем сделать это еще раз.
— Поисковики проиндексировали авторизационные ссылки для приблизительно 0,002% от существующих аккаунтов.
— Подавляющее большинство проиндексированных аккаунтов можно отнести к тестовым или бот аккаунтам.
— Сайт Badoo.com не отдает поисковикам никакие личные данные пользователей (даже имя и фамилию можно скрыть). Гугл проиндексировал их на сторонних ресурсах.
Теперь давайте разберем подробно.
Есть специализированные сервисы, такие как tweetmail и groups.yahoo.com, которые в автоматическом режиме открыто публикуют все получаемые сообщения на своих страницах. Некоторые пользователи в качестве email при регистрации использовали адреса в таких сервисах. С этих сервисов ссылки и попадали в Гугл. А это означает, что данная проблема затрагивает только тех пользователей, которые добровольно и осознанно опубликовали свои данные.
Мы провели внутреннюю проверку и не обнаружили ни одного реального пользователя среди аккаунтов, которые мы смогли найти в Гугле.
Кроме того, у нас в начале года, еще до Месяца безопасности, был включен механизм инвалидации авторизационных ссылок, в момент индексации их Гуглом. Но Гугл не может проиндексировать все одновременно.
Мы были неправы, когда сказали, что скоро все эти данные будут инвалидированы. Как вы сами видите, в индексе Гугла остаются ссылки и проходит много месяцев прежде чем они переиндексируются и пропадают. Извините.
Спасибо, что еще раз подняли эту тему. Мы готовы ответить на вопросы, если они еще остаются.
Давайте попробуем разобраться последовательно с двумя проблемами, про которые Вы написали.
1. По поводу первой ошибки, когда чужой email оказывается подтвержденным. Мы сейчас подняли нашу переписку и обнаружили, что ответили Вам, что это не ошибка безопасности.
Просим прощения, что некорректно сформулировали ответ. Это действительно не ошибка безопасности, но баг. Потому что в данной ситуации наносится ущерб нам как компании, а не пользователю. При помощи ошибки злоумышленник не может получить доступ к личным данным других пользователей. Все, что он может сделать – использовать чужой или несуществующий email в регистрации. Худшее, что может произойти — пользователь, который не регистрировался на нашем сайте, начнет получать от нас письма. Спасибо, что напомнили, что такой баг существует, мы его пофиксили.
Информацию про все найденные уязвимости, за которые мы платили премии, можно посмотреть по ссылке: http://corp.badoo.com/security-board
2. По поводу второй ошибки об индексации ссылок Гуглом и другими поисковиками.
Сожалеем, что в переписке нам не удалось объяснить нашу позицию достаточно ясно. Попробуем сделать это еще раз.
— Поисковики проиндексировали авторизационные ссылки для приблизительно 0,002% от существующих аккаунтов.
— Подавляющее большинство проиндексированных аккаунтов можно отнести к тестовым или бот аккаунтам.
— Сайт Badoo.com не отдает поисковикам никакие личные данные пользователей (даже имя и фамилию можно скрыть). Гугл проиндексировал их на сторонних ресурсах.
Теперь давайте разберем подробно.
Есть специализированные сервисы, такие как tweetmail и groups.yahoo.com, которые в автоматическом режиме открыто публикуют все получаемые сообщения на своих страницах. Некоторые пользователи в качестве email при регистрации использовали адреса в таких сервисах. С этих сервисов ссылки и попадали в Гугл. А это означает, что данная проблема затрагивает только тех пользователей, которые добровольно и осознанно опубликовали свои данные.
Мы провели внутреннюю проверку и не обнаружили ни одного реального пользователя среди аккаунтов, которые мы смогли найти в Гугле.
Кроме того, у нас в начале года, еще до Месяца безопасности, был включен механизм инвалидации авторизационных ссылок, в момент индексации их Гуглом. Но Гугл не может проиндексировать все одновременно.
Мы были неправы, когда сказали, что скоро все эти данные будут инвалидированы. Как вы сами видите, в индексе Гугла остаются ссылки и проходит много месяцев прежде чем они переиндексируются и пропадают. Извините.
Спасибо, что еще раз подняли эту тему. Мы готовы ответить на вопросы, если они еще остаются.
Я понимаю, что вмешиваюсь в чужой разговор, но:
Меня одного авторизовало за левого человека при переходе злосчастной ссылке из поисковой выдачи?
При помощи этого бага пользователь не только может использовать чужой или не существующий email в регистрации.
Он так же может:
1) Отсылать сообщения от имени другого пользователя.
2) Посмотреть скрытые фотографии пользователя.
3) Читать переписку «угнанного» пользователя с другими пользователями и узнать личные данные об «угнанном» пользователе и данные тех с кем он переписывался (skype, email, номер телефона и другие средства связи помимо вашего сайта).
4) Удалить профиль.
То, что среди пользователей в поисковой выдаче нет, на ваш взгляд, реальных — это не отговорка. Помимо Google есть ещё большое множество поисковых систем в которых эти ссылки так же могут присутствовать. Я не проверял, но такую возможность нельзя отрицать.
Не проще ли вам сделать ссылку активации одноразовой, как все делают?
При помощи ошибки злоумышленник не может получить доступ к личным данным других пользователей. Все, что он может сделать – использовать чужой или несуществующий email в регистрации. Худшее, что может произойти — пользователь, который не регистрировался на нашем сайте, начнет получать от нас письма.
Меня одного авторизовало за левого человека при переходе злосчастной ссылке из поисковой выдачи?
При помощи этого бага пользователь не только может использовать чужой или не существующий email в регистрации.
Он так же может:
1) Отсылать сообщения от имени другого пользователя.
2) Посмотреть скрытые фотографии пользователя.
3) Читать переписку «угнанного» пользователя с другими пользователями и узнать личные данные об «угнанном» пользователе и данные тех с кем он переписывался (skype, email, номер телефона и другие средства связи помимо вашего сайта).
4) Удалить профиль.
То, что среди пользователей в поисковой выдаче нет, на ваш взгляд, реальных — это не отговорка. Помимо Google есть ещё большое множество поисковых систем в которых эти ссылки так же могут присутствовать. Я не проверял, но такую возможность нельзя отрицать.
Не проще ли вам сделать ссылку активации одноразовой, как все делают?
>Извините.
Лучше бы премировали девушку, а не отнекивались что это не баг, а фича, а это — не баг безопасности, но совести. Вы просили найти, она нашла.
Лучше бы премировали девушку, а не отнекивались что это не баг, а фича, а это — не баг безопасности, но совести. Вы просили найти, она нашла.
Здравствуйте.
«Мы провели внутреннюю проверку и не обнаружили ни одного реального пользователя среди аккаунтов, которые мы смогли найти в Гугле.», а я обнаружила только что
по запросу inurl:forgot_enter site:badoo.com, который также упоминался в нашей переписке
Парню придется восстанавливать пароль.
«Мы провели внутреннюю проверку и не обнаружили ни одного реального пользователя среди аккаунтов, которые мы смогли найти в Гугле.», а я обнаружила только что
по запросу inurl:forgot_enter site:badoo.com, который также упоминался в нашей переписке
Парню придется восстанавливать пароль.
сработала 7я ссылка по запросу inurl:forgot_enter site:badoo.com, вот видео-доказательство, открывается в любом браузере
>наносится ущерб нам как компании, а не пользователю
Если хоть одному вашему пользователю будет нанесен ущерб, ущерб вашей компании будет в 100 раз больше, ибо ни один нормальный человек не будет работать с сайтом который не защищает его аккаунт
Если хоть одному вашему пользователю будет нанесен ущерб, ущерб вашей компании будет в 100 раз больше, ибо ни один нормальный человек не будет работать с сайтом который не защищает его аккаунт
Если вашей компании наносится ущерб (вы именно так сформулировали — «ущерб», не «увеличиваются расходы») — это уязвимость. Про остальное вам итак много напишут.
P.S. Стыдно.
P.S. Стыдно.
фу такими быть.
одно скажу точно – подобным поведением и этим своим комментарием вы окончательно испортили репутацию своей и так не особо уважаемой компании.
с чем вас и поздравляю.
одно скажу точно – подобным поведением и этим своим комментарием вы окончательно испортили репутацию своей и так не особо уважаемой компании.
с чем вас и поздравляю.
Эгегей, Badoo! Вы слышите? Все происходящее как минимум говорит о том, что столь громкое заявление:
попахивает тем, что Вам все равно на личные данные пользователей.
Нужно моментально исправить этот глупый баг и дальше показывать какие Вы крутые.
Изменить чужой пароль нагуглив ссылку, это как минимум не правильно! И уж точно доказывать обратное здесь нет смысла.
Мне бы было неприятно, если бы я приехал домой с работы, поставил машину в гараж, а на утро на гараже висит новый замок и какой то чувак сидит в моей машине, слушает музыку и пьет пиво с моими друзьями на мои деньги. Только потому, что я на каком то форуме оставил координаты своего гаража.
На Badoo конфиденциальность информации имеет огромное значение. Так как мы отвечаем за ваши данные, мы разработали политику, гарантирующую их полную защиту во время использования сайта Badoo.
попахивает тем, что Вам все равно на личные данные пользователей.
Нужно моментально исправить этот глупый баг и дальше показывать какие Вы крутые.
Изменить чужой пароль нагуглив ссылку, это как минимум не правильно! И уж точно доказывать обратное здесь нет смысла.
Мне бы было неприятно, если бы я приехал домой с работы, поставил машину в гараж, а на утро на гараже висит новый замок и какой то чувак сидит в моей машине, слушает музыку и пьет пиво с моими друзьями на мои деньги. Только потому, что я на каком то форуме оставил координаты своего гаража.
Вы оставили не координаты горожа. Координаты горожа — это ссылка на профиль на Баду. Если вы оставляете просто ссылку на профиль, никто не сможет войти, и, показывая невероятный уровень интеллектуального и морального развития, начать посылать по кругу всех ваших контактов в пешее эротическое.
А когда вы оставляете на форуме координаты вашей машины и ключ-пароль от замка гаража — то есть публикуете ссылку на вход в свой профиль — стоит ли потом удивляться гостям?
А когда вы оставляете на форуме координаты вашей машины и ключ-пароль от замка гаража — то есть публикуете ссылку на вход в свой профиль — стоит ли потом удивляться гостям?
О себе: я есть
Подписан на: Badoo
Работаю: Badoo
ч.т.д.
А минусы-то за что?
Я вполне нейтралитетный человек, и если вы, товарищи минусователи, абстрагируетесь и посмотрите на ситуацию со стороны, то увидите, что неправильно в данном случае поступает человек яро защищающий компанию игнорирующую очевидные вещи, описанные deeankin выше. И если бы вы не работали в этой компании, я уверен, относились бы к этому вопросу по-другому, а значит на текущий момент это просто предвзятое отношение и инстинкт защищать. Про человечность и свою сущность-то не забывайте.
Я вполне нейтралитетный человек, и если вы, товарищи минусователи, абстрагируетесь и посмотрите на ситуацию со стороны, то увидите, что неправильно в данном случае поступает человек яро защищающий компанию игнорирующую очевидные вещи, описанные deeankin выше. И если бы вы не работали в этой компании, я уверен, относились бы к этому вопросу по-другому, а значит на текущий момент это просто предвзятое отношение и инстинкт защищать. Про человечность и свою сущность-то не забывайте.
Walas, может быть, и неправ, но переходить на личности не следовало в любом случае.
Второго официального ответа по итогам комментариев не будет? Разве нечего сказать? До сих пор не считаете это проблемой безопасности?
PS. Больше всего огорчила позиция русскоязычных сотрудников, которые осознавая что делают, пытались оправдать действия компании. Ответ рабов.
PS. Больше всего огорчила позиция русскоязычных сотрудников, которые осознавая что делают, пытались оправдать действия компании. Ответ рабов.
Ну что ж, значит аналитики в следующий раз, наученные опытом, пойдут продавать уязвимости на черный рынок.
За что минус? Что неверно?
corp.badoo.com/security-board — вот был выездной палаточный чёрный рынок, на котором можно было продать уязвимости, найденные на Баду, и, некоторые, очень неплохо их продавали и зарабатывали.
Однако, очень быстро тут рот затыкают :) Зря вы так, господа из Badoo.
Что-то странное творится. Это сотрудники компании, что ли, организованно минусуют комментарии с шутками?
Такая же фигня. У них весьма специфичная PR стратегия.
Очень удивился увидев 30+ у официального ответа, спустя пару минут после его публикации…
Вы знаете, как Стаханов стал рекордсменом? Под его логином в шахту входила целая бригада.
а что, плохой ответ? мне нравится — плюсанул
Конечно нравится :D
Подписан на: Badoo
Работаю: Badoo
Ну достаточно посмотреть на ник и понять кто это, если за этим ещё лезть в профайл… Ну ладно…
Да сколько же вас здесь? :D
Уж точно меньше чем всех остальных, а то что за компанию переживаем и следим за темой, которая трогает многих — так это радоваться надо что такие люди в Баду работают.
Я ничего плохого в ваш адрес не писал. Просто вы становитесь похожими на сотрудников Mail.ru, которые оправдывают действия своего детища mail.guard. Мы не понимаем, что они о нас заботятся выпуская трояноподобный софт, и они не могут понять нас, что как бы троян — это плохо и не важно какие благие намерения он несёт.
Без обид ;)
Без обид ;)
Так я не скрываю, что работаю в Badoo. И повторяю, мне очень нравится наш ответ. Я — заинтересованное и не объективное лицо. Я не имею права голосовать?
Я не сказал что он плохой, мне показалось странным наличие такого большого количества плюсов у комментария который появился несколько минут назад.
По сути ответ сводится к тому, что ваша компания (ваша, потому как вы в ней работаете), просто некорректно выразилась из-за чего ответы были поняты не правильно. И «мы не виноваты — это пользователи сами ссылки для входа в свои аккаунты в интернеты выложили».
Так же было бы интересно увидеть ответ на комментарий товарища Graphite.
По сути ответ сводится к тому, что ваша компания (ваша, потому как вы в ней работаете), просто некорректно выразилась из-за чего ответы были поняты не правильно. И «мы не виноваты — это пользователи сами ссылки для входа в свои аккаунты в интернеты выложили».
Так же было бы интересно увидеть ответ на комментарий товарища Graphite.
Сожалею, что вы читаете предвзято и невнимательно.
По сути пост — провокация изначально (так вообще не делается с секьюрити багами, но это вообще отдельный разговор).
Автор, если бы дорожил своей репутацией, так бы не делал.
Дальше, мы признали свои косяки. На-ко-ся-чи-ли и признали это. Но проиндексированная приватная инфа, взятая поисковиком на стороннем ресурсе и позволяющая зайти в пару сотен бот-акков из 170 миллионов — это в реальности проблема совершенно иного масштаба, чем написано изначально. Хабра-юзер читает поверхностно, повёлся и бьется за принцип (минусует корректные ответы, гадит в карму сотрудникам и тд), ну пусть бьётся :) Отличная иллюстрация того, как работают массовые информационные вирусы.
По сути пост — провокация изначально (так вообще не делается с секьюрити багами, но это вообще отдельный разговор).
Автор, если бы дорожил своей репутацией, так бы не делал.
Дальше, мы признали свои косяки. На-ко-ся-чи-ли и признали это. Но проиндексированная приватная инфа, взятая поисковиком на стороннем ресурсе и позволяющая зайти в пару сотен бот-акков из 170 миллионов — это в реальности проблема совершенно иного масштаба, чем написано изначально. Хабра-юзер читает поверхностно, повёлся и бьется за принцип (минусует корректные ответы, гадит в карму сотрудникам и тд), ну пусть бьётся :) Отличная иллюстрация того, как работают массовые информационные вирусы.
Проблема не в том, что поисковая система проиндексировала и даже не в том, что эти ссылки ещё не вылетели из индекса. Проблема в том, что они РАБОТАЮТ!
Хабра-юзер гадит вам в карму, потому, что ваши сторудники гадят нам в карму. Причём гадят тем, кто вам нагадить в карму не может.
Хабра-юзер гадит вам в карму, потому, что ваши сторудники гадят нам в карму. Причём гадят тем, кто вам нагадить в карму не может.
«Проблема не в том, что поисковая система проиндексировала и даже не в том, что эти ссылки ещё не вылетели из индекса»
Я нигде не писал, что проблема в этом. Прям по Чапеку — припиши оппоненту ложную идею, и побори её.
Вы не понимаете, в чем проблема, но с завидным упорством продолжаете писать в этот тредик про нашу «дубовость», например. Это, вероятно, подскажет Вам ответ на вопрос, что Вы делаете не так — это насчет Вашего комментария выше о буддисткой карме. Вообще, я не очень понимаю во всяких там буддизмах, но имею Вам кое-что сказать от чистого сердца. Мир Вам бьёт по башке и никогда не дает Вам разжеванной понятной обратной связи, почему Вы получили по башке. У вас есть шанс либо прислушаться и задуматься, либо продолжить путешествие в забвении. И последнее, во-общем, тоже неплохо — «блаженство в черепе пустом».
Проблема в том, что идеального решения, которое не затронуло бы массового пользователя и не сделало бы его жизнь неудобной — нет. Ну сделаем мы проверку на подозрительные заходы: она будет либо пост-фактум, что позволит все равно входить в акк, либо будет блокировка входа, которая потребует дополнительных действий и забатхертит обычных юзеров. Всегда ищется компромисс между удобством большинства и перфекционизмом/паранойей меньшинства. Культурный феномен — меньшинство (обычно — более активное, продвинутое, интеллектуальное — по крайней мере, отчаянно считающее себя таковым) навязывает свои нормы большинству. Что мы и наблюдаем в этом тредике.
Я нигде не писал, что проблема в этом. Прям по Чапеку — припиши оппоненту ложную идею, и побори её.
Вы не понимаете, в чем проблема, но с завидным упорством продолжаете писать в этот тредик про нашу «дубовость», например. Это, вероятно, подскажет Вам ответ на вопрос, что Вы делаете не так — это насчет Вашего комментария выше о буддисткой карме. Вообще, я не очень понимаю во всяких там буддизмах, но имею Вам кое-что сказать от чистого сердца. Мир Вам бьёт по башке и никогда не дает Вам разжеванной понятной обратной связи, почему Вы получили по башке. У вас есть шанс либо прислушаться и задуматься, либо продолжить путешествие в забвении. И последнее, во-общем, тоже неплохо — «блаженство в черепе пустом».
Проблема в том, что идеального решения, которое не затронуло бы массового пользователя и не сделало бы его жизнь неудобной — нет. Ну сделаем мы проверку на подозрительные заходы: она будет либо пост-фактум, что позволит все равно входить в акк, либо будет блокировка входа, которая потребует дополнительных действий и забатхертит обычных юзеров. Всегда ищется компромисс между удобством большинства и перфекционизмом/паранойей меньшинства. Культурный феномен — меньшинство (обычно — более активное, продвинутое, интеллектуальное — по крайней мере, отчаянно считающее себя таковым) навязывает свои нормы большинству. Что мы и наблюдаем в этом тредике.
так вообще не делается с секьюрити багами
Ни в переписке ни в «корректном ответе» ни что не названо «ошибкой безопасности» (или секьюрити багом, одно — буквальный перевод другого). Более того, по обоим пунктам неоднократно подчеркивается, что ошибкой безопасности это не является.
Дальше, мы признали свои косяки.
Не похоже.
Ситуация тут вполне бинарная: признали вы это ошибкой безопасности или нет. Изначально — нет.
Если бы сейчас вы «признали косяки» это выглядело бы по другому:
- Просим прощения, что не правильно классифицировали присланную уязвимость (и не выплатили премию).
- Благодарим, что нашли способ пробиться сквозь не компетентных сотрудников с тем, чтобы мы правильно классифицировали эту уязвимость.
- Куда высылать премию?
Либо крестик снимите, либо трусы наденьте — либо это секьюрети баг, либо нет. А то Badoo относится к этому не как к ошибке безопасности, а вы требуете от автора, чтобы она относилась как к ошибке безопасности, на репутацию намекаете…
PS Скажите, пожалуйста, а как лично вы узнали о появлении «корректного ответа»? 30 плюсов за 2 минуты вызывают очень неприятные подозрения. Особенно вместе с появлением минусов у комментария выше в то же самое время. Особенно с учетом последующей динамики.
(минусует корректные ответы, гадит в карму сотрудникам и тд)
Что и требовалось доказать. Мне минус в карму прилетел меньше, чем за 10 минут.
Чем же я кого-то оскорбил?
Не вам одному. Видимо, за то, что я предвзятый, невнимательный, проставил всем сотрудникам минусы и мое восприятие отличается от единственно верного корпоративного восприятия badoo.
> прилетел меньше, чем за 10 минут.
Вам хоть один, а мне три.
И я не думаю, что это власти Тайланда.
Господа из Badoo, как вам не стыдно?
Минус в карму — это не «мне не понравилось», а «я никогда не хочу видеть этого человека на Хабре».
Вам хоть один, а мне три.
И я не думаю, что это власти Тайланда.
Господа из Badoo, как вам не стыдно?
Минус в карму — это не «мне не понравилось», а «я никогда не хочу видеть этого человека на Хабре».
На счёт минуса в карму верно подмечено.
Моя карма уже сутки скочет в диапазоне от -5 до +8.
Карме Badoo не повезло больше, вчера было +50 или около того.
Я бы на их месте по-тихому связался с автором статьи, попробовал бы найти с ней общий язык, внимательно бы выслушал её точку зрения, в общем попробовал бы быть наиболее объективным. Но мнение большинства сходится к тому, что Badoo не правильно классифицировал «не уязвимость» и не хочет принять/признать это.
Я думаю (ИМХО), что тут наиболее правильный выход был не противоречить мнению большинства хабра-людей, а согласиться, принять меры и выплатить автору статьи положенный гонорар. В таком случае репутация компании пострадала бы меньше всего, а может даже и выросла бы из-за проявленной объективности и адекватности.
P.S.: Моё мнение не претендует ни на что.
Моя карма уже сутки скочет в диапазоне от -5 до +8.
Карме Badoo не повезло больше, вчера было +50 или около того.
Я бы на их месте по-тихому связался с автором статьи, попробовал бы найти с ней общий язык, внимательно бы выслушал её точку зрения, в общем попробовал бы быть наиболее объективным. Но мнение большинства сходится к тому, что Badoo не правильно классифицировал «не уязвимость» и не хочет принять/признать это.
Я думаю (ИМХО), что тут наиболее правильный выход был не противоречить мнению большинства хабра-людей, а согласиться, принять меры и выплатить автору статьи положенный гонорар. В таком случае репутация компании пострадала бы меньше всего, а может даже и выросла бы из-за проявленной объективности и адекватности.
P.S.: Моё мнение не претендует ни на что.
>Сожалею, что вы читаете предвзято и невнимательно.
Напротив.
>По сути пост — провокация изначально (так вообще не делается с секьюрити багами, но это вообще отдельный разговор).
>>Мы еще раз очень внимательно посмотрели на вашу заявку и решили, что данная проблема не является уязвимостью Badoo.
От того что вы постоянно переименовываете «ошибку безопасности» в «секьюрити баг» (буллшит бинго!) суть дела не меняется, это как переименовывать «мэра» в «градоначальники».
Расскажите, как «делается с секьюрити багами»? Но мне кажется, мы все прекрасно видим как это делается у вас.
>Автор, если бы дорожил своей репутацией, так бы не делал.
Компания, дорожащая своей репутацией, так бы не делала:
>Данное решение жюри по вашей заявке является окончательным.
Кстати, какое решение-то?
>пару сотен бот-акков
Это бот?
Напротив.
>По сути пост — провокация изначально (так вообще не делается с секьюрити багами, но это вообще отдельный разговор).
>>Мы еще раз очень внимательно посмотрели на вашу заявку и решили, что данная проблема не является уязвимостью Badoo.
От того что вы постоянно переименовываете «ошибку безопасности» в «секьюрити баг» (буллшит бинго!) суть дела не меняется, это как переименовывать «мэра» в «градоначальники».
Расскажите, как «делается с секьюрити багами»? Но мне кажется, мы все прекрасно видим как это делается у вас.
>Автор, если бы дорожил своей репутацией, так бы не делал.
Компания, дорожащая своей репутацией, так бы не делала:
>Данное решение жюри по вашей заявке является окончательным.
Кстати, какое решение-то?
>пару сотен бот-акков
Это бот?
Автор долго переписывалась с вашим саппортом. Ждала несколько месяцев. И не видя никаких подвижек написала пост на хабр. На провокацию не тянет. Ваш саппорт показал себя с худшей стороны. Дубовость, маразм, синдром вахтера типа «это наше окончательное решение» — вы обидели человека, старался, искал, нашел а вы такие «так це не баг — це фича, пшел вон». Ну раз не баг, то почему бы статейку об этом не написать? Тем более что автор таки предупредил саппорт, что статейку на хабр напишет, а саппорт что ответил? Ну вот и получите свою «минуту славы».
Ну а за репутацию автора беспокоиться не стоит. Ссылку на этот пост она с гордостью может вставить в резюме.
Ну а за репутацию автора беспокоиться не стоит. Ссылку на этот пост она с гордостью может вставить в резюме.
Хабр чатиться сам с собой в аккаунтах баду:
habrastorage.org/storage2/3d5/d18/77c/3d5d1877ceae2cd5da2f591dca0fb26d.png
habrastorage.org/storage2/3d5/d18/77c/3d5d1877ceae2cd5da2f591dca0fb26d.png
Несколько лет назад в CommuniGate (4.0.6) была бага — sessid хранился в URL, при переходе по ссылке браузер в реферере передавал адрес той страницы с которой был переход (с sessid). По нему можно было войти в ящик пользователя.
Переписка со Сталкером была аналогичной — Это не уязвимость. Если по ссылке перешел, а браузер передает рефереры — ССЗБ, «пользователи сами это делают, мы не можем их остановить», к тому же вообще содержимое адреса не может быть секретно, его ведь и через плечо подглядеть можно. (это вольный пересказ, давно было дело, дословно не помню).
За полчаса был небольшой proof of concept скриптик написан — ставится как CGI'шка, желаемой жертве отправляется письмо со ссылкой на него, при переходе он схватывает sessid из реферера и по нему выкачивает первые 10 писем из ящика.
После публикации эксплойта этой «не уязвимости» в BugTraq им, похоже, пришлось таки признать, что и они иногда совершают ошибки, а кто-то «уж больно умный» со стороны может это заметить, и бага была исправлена.
Так что, думаю, миллионы пользователей бады могут сказать вам спасибо за этот пост — без вас бы плохие парни, которые вероятно пользовали эту дырку уже много времени, теперь перестанут вскоре.
Переписка со Сталкером была аналогичной — Это не уязвимость. Если по ссылке перешел, а браузер передает рефереры — ССЗБ, «пользователи сами это делают, мы не можем их остановить», к тому же вообще содержимое адреса не может быть секретно, его ведь и через плечо подглядеть можно. (это вольный пересказ, давно было дело, дословно не помню).
За полчаса был небольшой proof of concept скриптик написан — ставится как CGI'шка, желаемой жертве отправляется письмо со ссылкой на него, при переходе он схватывает sessid из реферера и по нему выкачивает первые 10 писем из ящика.
После публикации эксплойта этой «не уязвимости» в BugTraq им, похоже, пришлось таки признать, что и они иногда совершают ошибки, а кто-то «уж больно умный» со стороны может это заметить, и бага была исправлена.
Так что, думаю, миллионы пользователей бады могут сказать вам спасибо за этот пост — без вас бы плохие парни, которые вероятно пользовали эту дырку уже много времени, теперь перестанут вскоре.
Как я понимаю, раз создание любого аккаунта без подтверждения — это не уязвимость, то и умышленное использование этой «фичи» не будет противозаконным? Спамим, парни? :)
Похоже, что на eu1.badoo.com прикрыли лавочку. Не пускает больше.
Но на us1.badoo.com все по прежнему работает! :)
Но на us1.badoo.com все по прежнему работает! :)
Лет 8 назад мы нашли смешную уязвимость на спайлоге, тогде ещё популярном. Мы сообщили о этом в спайлог, они репортовали, что мол спасибо, но ничего серьезного с багой сделать нельзя. Однако мы не лыком шиты. Напомню, что баду делали те же ребята, что спайлог, бегун и мамбу. Тогда не было хабра и мы выложили админский пароль от спайлога на ннм.ру, потехи было много.
Столько лет прошло, а ничего не изменилось.
Столько лет прошло, а ничего не изменилось.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Ищите ошибки с помощью Google или «взлом» аккаунтов на badoo.com