Pull to refresh

Comments 17

Отписал им в саппорт, посмотрим реакцию.
Обозначенные вами сервера были немедленно выведены из раздачи контента и мы включим их после обновления конфигурации до актуальной и выполнения других необходимых мер. Чуть позже отпишусь о причинах, которые привели к тому, что на двух серверах оказалась неактуальная версия софта.

Поскольку в рунете, да и во всём мире, случилась глобализация рынка, приведшая к торгам в реальном времени за показы на множествах сайтах (http://habrahabr.ru/post/169267/), возникла необходимость синхронизации кук рекламных систем. Реальность такова, что не все компании вообще готовы работать по SSL и из-за этого в нашем контенте могут быть вызовы небезопасных пикселей сторонних систем.

Рекламные системы, как и многие другие адаптивные системы, наиболее эффективно работают, когда есть обратная связь. В нашем случае — о качестве проведённых рекламных кампаний. Для получения обратной связи используется вызов пикселя, который учитывает действия на сайте рекламодателя. При этом технически вызов пикселя — это запрос к frontend-у и ответ 204 No Content. Запросов на контентные сервера не происходит.

В вашем посте есть негативные эмоции. Данная ситуация повлекла за собой какие-то последствия для вашей компании? Просим вас всегда в первую очередь обращаться к нам напрямую, мы всегда готовы к диалогу и делаем все от нас зависящее, чтобы максимально быстро исправлять все возможные ошибки и развивать систему для успешного бизнеса наших клиентов.

===
Владимир Мосин
Директор департамента AdRiver, CDO
За быструю реакцию спасибо и молодцы, а вот гнать на топикастера не надо — он возмущается и раскрывает драму в самом драматичном свете. Ответную драму в этой ситуации устраивать не надо, и по хорошему, надо чуть-чуть пожурить за то, что сразу в паблик, а не в саппорт, но в остальном — сказать спасибо.
Отвечаю с задержкой, так как был на экзамене, но на вопрос из первой версии комментария отвечу, что негативная реакция к рекламным сетям в целом, а также к сайтам, где сторонние скрипты размещены в местах, где их вообще быть не должно по определению.

Был ли запрос в Thawte на аннулирование сертификата? Впрочем, сейчас свяжусь с ними.
Как и обещал, отпишусь о причинах.
Всё прозаично. К сожалению, не обошлось без человеческого фактора. На этих серверах осенью, с разницей в несколько недель, рассыпались диски. Восстанавливал систему из образа один и тот же человек, который поставил её из старой версии слепка нашего дистрибутива собственной сборки. Из-за этого на машинах оказалась старая версия софта. Она не подвержена страшной уязвимости CVE-2014-0160 (обнаруженной в апреле), но была подвержена MITM уязвимости CVE-2014-0224 (обнаруженной в июне), о которой написал в этом посте MyHabrahabr.
Все организационные выводы мы сделали, думаю больше такого не повторится.
Сертификат конечно же перевыпущен.
Сервера, отключенные из раздачи в 10:30, во второй половине дня были возвращены в раздачу.
image
У вас картинка в комментарии блокируется Эверноутом по referer'у.
Oops, we encountered an error.

Access denied.
You have accessed a location on this server that is not available.
You may need to Sign in to your account to access this page.
Наш апдейт по всем серверам
image
Зря вы так, сначала бы подождали, пока дыру закроют, а то сейчас многие могут терпеть убытки из-за утечек данных.
Не «сейчас», а уже давно.
Он подождал больше полугода(с апреля месяца всему ИТшному миру известно о hearthbleed), сколько можно-то еще ждать. В данном случае эти два сервера давным-давно скомпрометированы с вероятностью 99%, так как сколько уже «плохих» сканнеров-пауков написано за это время можно не счесть, а такие известные сервера наверняка уже попадались там.
Ну, серверы оставались уязвимыми 9 месяцев подряд. Я специально дождался утра понедельника, чтобы проблему могли быстро решить. Заметьте: не как Google, опубликовавший незакрытую уязвимость в Windows перед самым НГ.
У них конкретные правила прописаны по публикации уязвимостей, так что не сравнивайте.
Сообщать надо сначала, в любом случае.
Сравнимо с тем, что соседи вынесли телевизор из квартиры и позвонили, мол, у вас дверь не закрыта :)
UFO just landed and posted this here
Почему на странице заказа сторонний скрипт хуже, чем на любой другой странице?
Мне бы не хотелось, чтобы из-за уязвимости на стороне рекламной сети можно было смотреть, когда и с какого IP-адреса и браузера происходит заказ таких-то товаров на такую-то сумму.
Даже читал как-то, что на наличие в защищённых разделах счётчиков статистики в РКН жаловались.
пожалуй, вы правы. По скриншоту вайршарка кажется, что у Ив Роше просто пиксель-счетчик на странице заказа, который не раскрывает других данных кроме IP, Referer и куки баннерной сети, то же самое что с других страниц.
Sign up to leave a comment.

Articles