Comments 38
Ну хоть телефонными номерами не светят.
С одной стороны да, неприятно. С другой вспоминаются гостевых книги десятилетней давности, где тоже надо было вводить имя и e-mail и они выводились прямо на странице, а e-mail даже делался ссылкой.
Как-то выжили всё-таки.
Как-то выжили всё-таки.
Мне вот интересно, а автор пробовал для начала связаться с владельцами сайта перед тем как выкатывать в паблик информацию?
Я понимаю что это не совсем уязвимость, но все-же.
Я понимаю что это не совсем уязвимость, но все-же.
Мне оперативно ответили, подтвердили уязвимость и через несколько часов API второй версии был прикрыт.
Я может неправильно понял, но вот же автор подтверждает закрытие уязвимости?
текст читать пробовали?
Объясню свою мысль почему я спросил:
— Описано, что выявлена ошибка
— Описано, что ошибка исправлена (оперативно и все такое)
А потом вдруг написано что с в недрением новой версии АРI работает и старая:
После прихода третьей версии, вторая версия продолжала работать.
Как всегда, простейшая невнимательность в нашей профессии может привести к печальным последствиям…
Вот я и предположил что где-то случайно восстановили старую ошибку и автор решил пнуть через хабр.
— Описано, что выявлена ошибка
— Описано, что ошибка исправлена (оперативно и все такое)
А потом вдруг написано что с в недрением новой версии АРI работает и старая:
После прихода третьей версии, вторая версия продолжала работать.
Как всегда, простейшая невнимательность в нашей профессии может привести к печальным последствиям…
Вот я и предположил что где-то случайно восстановили старую ошибку и автор решил пнуть через хабр.
ой
Мне прийдется ответить, чтобы это не выглядело как уязвимость.
Это API действительно пытались сканировать. Мы добавили в ответы специально зарегистрированные нами email'ы, чтобы узнать кто на них начнет отправлять спам и является заказчиком. Эти email мы перемешали с тем, что были добавлены в тело комментариев и доступны в открытом доступе без API.
Это API действительно пытались сканировать. Мы добавили в ответы специально зарегистрированные нами email'ы, чтобы узнать кто на них начнет отправлять спам и является заказчиком. Эти email мы перемешали с тем, что были добавлены в тело комментариев и доступны в открытом доступе без API.
Т.е. вы считаете, что кто-то парсил комментарии без email с целью рассылки спама?
Тогда не понятно как в моём отзыве оказался мной указанный email.
Вы думаете такая база нужна только с целью рассылки спама?)
А когда узнаем всё это, то что будем делать?
Меня Розетка неприятно удивила, прислав после смены пароль в письме в открытом виде. Закралось подозрение, что они их так и хранят.
Уязвимости в любой системе возможны, какая бы она крупная/крутая/солидная не было.
А вот «оперативно ответили и устранили» — это реально плюс. Буду продолжать пользоваться розеткой.
А вот «оперативно ответили и устранили» — это реально плюс. Буду продолжать пользоваться розеткой.
Без указания email-а нельзя опубликовать отзыв;
Все отзывы проходят модерацию;
Не понятно одно. Зачем вообще e-mail нужен для того, чтобы отзыв оставить свой? Для того чтобы глупость не писали, так там же модерация есть.
Может мне кто-то объяснить причину слива моей кармы? Вроде пытался донести посыл, что нужно быть внимательней, а получил минуса прямо в карму.
Заголовок желтоват.
Sign up to leave a comment.
Персональные данные пользователей Rozetka.ua в публичном доступе