В свободном доступе по-прежнему находится частная, финансовая и другая закрытая информация пользователей Fl.ru

[Dromok]

А я недавно туда вернулся. Стало приятным сюрпризом, что во-первых теперь могут оставлять отзывы заказчики с которыми работаешь не через БС, а во-вторых теперь не препятствуют обмену контактами. Хотя не пользовался ими несколько лет, как раз по озвученной вами причине.

[Unicom]

Репутацию так просто не восстановишь, а у этих ребят ее нет после таких закидонов. Я после того, как мои ЛС стали читать, подправлять или удалять, просто ушел оттуда как заказчик. Тем, кто может себе позволить такое, доверия нет.

[vedenin1980]

А я ушел, после того как их арбитраж вернул все деньги заказа откровенно кинувшему меня заказчику, несмотря на все доказательства выполненной работы и махинаций заказчика.

[Dromok]

Репутация репутацией, но есть ли у них конкуренты, которые по количеству заказов хотя бы достаточно близко к ним приблизились? Я то к ним вернулся не от хорошей жизни, а потому что на других биржах не было столько заказов.

[vedenin1980]

есть ли у них конкуренты, которые по количеству заказов хотя бы достаточно близко к ним приблизились

Конечно, oDesk, например. С иностранными заказчиками работать сложнее из-за языка, зато куда более выгоднее из-за курса. Потом, когда-то у Internet Explorer'a не было конкурентов, но «можно бесконечно долго обманывать одного человека, можно непродолжительное время обманывать большое количество людей, но нельзя постоянно обманывать всех». © Авраам Линкольн

[Dromok]

Видимо мне надо было уточнить, что интересует только Российские биржы (подразумевал это априори). Я как правило договора заключаю, поэтому с иностранцами в этом плане работать сложнее (а точнее я даже не знаю как :)) и такие биржи даже не рассматриваю. А в этом случае у fl.ru просто нет конкурентов.

[grigor7]

Еще несколько таких дыр и появятся :)

[Dromok]

Ну его хоронят уже много лет, а он что-то всё никак…

[XlebNick]

Есть ли какие-нибудь способы защитить свою информцию на этом сайте своими силами, или только не выкладывать файлы?

[maximw]

Своими силами не использовать этот сайт.

[ivan386]

Выкладывать шифрованные архивы. Пароль можно в личке передать.

[bask]

Следующая новость про fl: «В открытом доступе личная переписка пользователей»

[ProRunner]

С момента публикации уязвимости периодически проверяю их реакцию в их официальном сообществе
И тишина!

[ganjar]

После слива базы пользователей, на сколько помню, тоже не было реакции.

[ganjar]

Даже уведомлений пользователям не удосужились прислать о том, что надо бы пароли сменить. habrahabr.ru/post/251487/

[engine9]

Так у фирмы политика такая, замалчивать, разве это удивительно?

[Caravus]

Тут вопрос не столько в бизнесе (хотя есть правда в ваши словах, есть) сколько в самом сайте. У них всё так… через запасной интерфейс…

[grossws]

Он у них штатный, а не запасной.

[POS_troi]

Думал что после того как Valdik спалил тему с рефером, то это быстро пофиксят.
не тут то было, на данный момент воз и нынче там.

Файлы: 2970 шт (дублей ~20шт. или с хешированием у них проблема).
Объём: 1.3 ГБ
Средняя скорость загрузки: 500Кб/с

Уже интерес пропал, они не сопротивляются, да и база эта нафиг не нужна как таковое, так разминка :(

[maximw]

да и база эта нафиг не нужна как таковое

Возможно на этом тезисе они и строят свою защиту.

[br3t]

Эффект Неуловимого Джо в действии

[PavelMSTU]

Это не эффект, это стратегия

[vedenin1980]

Например, показывать эти документы только авторизованным пользователям.

Могу поспорить, что следующий фикс будет в том чтобы показывать документы только авторизованным пользователям, но при этом все документы всем пользователям. Какая-то заплатка на заплатке на заплатке.

[wrewolf]

По защитой административного кодекса хорошо, это неправомерный доступ, значит статья, значит все ок у них…
я такой ход мысли вижу

[vedenin1980]

Нее, если сайт сам позволяет получать данные, то какой тут неправомерный доступ?

[wrewolf]

а кто говорит, что брать можно?

[vedenin1980]

Закон, например?

Под неправомерным доступом к охраняемой законом компьютерной информации следует понимать самовольное получение информации без разрешения ее собственника или владельца. В связи с тем что речь идет об охраняемой законом информации, неправомерность доступа к ней потребителя характеризуется еще и нарушением установленного порядка доступа к этой информации.

Сайт обычными методами позволяет получать с него информацию? Позволяет, следовательно нарушение установленного порядка доступа информации тут нет. Если вы сами будите разбрасывать по улицам ксерокопии своего паспорта глупо обвинять кого-то кроме себя в нарушении ваших персональных данных.

[tagir_valeev]

Если у вас дверь в квартиру открыта, воровать из неё всё равно нельзя по закону и если воров найдут, то осудят. Другое дело, что несмотря на то что вас защищает закон, замок на двери — вещь нелишняя.

[mgremlin]

Осудят. Но — по другой статье, совсем по другой… Даже запросто условно будет.
кража со взломом — совсем другое дело.

[vedenin1980]

Если ты сам оставил ноут на лавочке в парке, то глупо говорить «украли», правильно говорить «прое%%%ал». Закон чаще всего не защищает в случаях «сам дурак», даже если ты найдешь того кто взял твой ноут ему ничего не будет.

[grossws]

Это смотря с какой стороны и сколько получат следователь и прочие участники цепочки, нужны ли им в текущий момент палки и т. п.

[vedenin1980]

Ну, это из другой оперы, если так рассуждать то посадить можно вообще любого, даже если он ничего не сделал.

[dinikin]

также доступны для поиска акты о выполнении работы

[echo0x00]

Простите, что не в тему, мне это немного напоминает Сбербанк ОАО «Банк длинных очередей», который установил камеры прямо на клавиатуру ввода Пин-Кода (не скиминг). Вроде бы тоже конфиденциальная информация, однако банк не реагирует на это.

[lexore]

Например, показывать эти документы только авторизованным пользователям.

Проблема в том, что файлы доступны по прямому адресу.
Достаточно закрыть доступ к файлам по прямой ссылке.
А файлы отдавать по сгенерированной ссылке вида: fl.ru/dl.php?key=<строка на 32-64 символа>
Или, для удобства программистов: fl.ru/dl.php?id=<id файла>&key=<md5 файла>
И все.

[vedenin1980]

Какая разница, если файлы доступны всем подряд? Тут не в прямой ссылке дело, а в том что она доступна тем кому не должна.

[lexore]

Да, точно.

[BlinOFF]

Если паспортные данные попадают в общий доступ, разве это не нарушает закон о защите персональных данных? Может быть просто написать заявление в прокуратуру, раз не хотят по-хорошему закрывать дыры?

[Myosotis]

Вот именно, что нарушает. Хотя Юля будет доказывать, что ссылки на паспорта уже выкладывали в другом месте =)

[BlinOFF]

После того как будет подано заявление, Юля будет уже следователю доказывать… а это уже совсем другая история )

[shr]

По идее нарушает, но тут надо почитать их ToS. Вдруг они, как РЖД пишут что-то типа «все предоставленные вами данные являются общедоступными» и т.д. и т.п. Тем не менее было бы любопытно посмотреть, как поведут себя РКН и FL в этой ситуации.

[SilverFire]

А во многих ТЗ есть и логины-пароли: filetype:pdf site:fl.ru техническое задание (логин && пароль) (ssh | ftp).

Уверен, что приличная часть паролей все еще жива.

[arkandos]

Более того, первый попавшийся — живой.

[lexore]

А вот в этом ключе новость достойна упоминания на всех газетах рунета.
«Поисковики проиндексировали логины/пароли от сайтов, которые заказывались на fl.ru».
Желтизна, конечно, но уж так до администрации fl.ru точно дойдет.

[berezuev]

Закрыли доступ, кажись.

[echo0x00]

Закрыли к /users/, однако поиск в другой директории (profects) работает

[grigor7]

Кажется, только публикации на хабре заставляют администрацию вспоминать о бирже.

[echo0x00]

Несмотря на то, что закрыли доступ, в индексе все еще есть копии вот тут

[echo0x00]

сори, видимо проблемы с браузером. вот ссылка: go.mail.ru/search?d=0&g=0&site=st.fl.ru&q=%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D1%8C&rch=l&file=pdf&advs=1&sf=10

[PavelMSTU]

Почему fl.ru не может найти фрилансера-«ибешника»?
А лучше взять в штат хотя бы одного спеца по информационной безопасности.

[Error_403_Forbidden]

А зачем? Сайт приносит очень неплохой доход, количество пользователей и заказов растёт.
А все эти дыры никакой роли не играют: шум затихает через 2-3 дня. Через неделю уже никто об этом и не вспомнит

[VokaMut]

Меня лень защищает от любопытства, что же на серверах лежит к которым пароли в открытом доступе.
Хоть в чем то я рад ей.

[eselevsky]

Доступ то прикрыли, так теперь я с лички pdf от заказчиков скачать не могу.

[POS_troi]

*Сарказм*
Скажите имя файла, может у меня есть, пришлю :D

[eselevsky]

Боюсь вам ссылку дать, они неугодных блокируют сразу.

[nitso]

Хотя fl отдает то 403, то 404, кэш поисковиков помнит все!
Включая логины и пароли из сообщений выше :(

[dewil]

похоже fl писали фрилансеры

[Veterinar]

Вы не поверите, но на одном из первых семинаров-сборов free-lance.ru, Антон Мажирин об этом говорил, так и есть. Может быть его с того времени переписали, не владею информацией.

[vlivyur]

habrahabr.ru/post/263703

[IgorOleynick]

С Google Docs та же история: всё, к чему открыт доступ по ссылке (по крайней мере, если ссылка была отправлена в скайпе — то точно), будет проиндексировано и может быть открыто через обычный поисковой запрос…