Pull to refresh

Comments 69

НУ ЗАЧЕЕЕЕМ ВЫ ЭТО СЮДА НАПИСАЛИ?)))))
Удалите статью, умоляю. 10к баксов за 2 месяца, что же вы делаете, мой совестливый друг?!
Уверен автору все равно заплатят, ибо репутация компании в лице профессионального сообщества намного дороже 10к долларов.
вроде пофиксили уже. Такое впечатление, что списалось задним числом с задержкой в пару минут. Хотя может прозевал обновление где-то
Ан нет, судя по всему показалось. Полет нормальный. Интересно, сколько все-таки времени уйдет на фикс.

P.S. 3 завистливых минусатора, которые отнесли привет в карму — спасибо за потраченное время, и полностью с вами согласен. Такое поведение аморально, у меня нет никакой совести, но кто виноват, что порой получается наступать на сочные баги, которые приносят золото?)
Я так понял, что баги приносят золото от кого-то? ;)
не, узко мыслите. Золото можно добывать и самостояльно, вполне себе.

Вообще, из ВК можно лихо качать по трем направлениям:
1. спам — долго, муторно, противно, но очень хорошо работает (но мне, увы, не интересно)
2. настройка рекламы для других бизнесов (настройка кампании от 10 тыс рублей за 3-4 часа работы, плюс ведение), или перепродажа подписчиков другим пабликам (многие региональные сети готовы покупать подписчиков от 8 до 15 рублей в зависимости от региона. Ваша задача делать рекламу так, чтобы подписчик обходился дешевле, разница ваша).

Первые два пункта для этого бага не применимы. Спам он и в Африке спам, а по поводу п.2 — рекламодатель всегда проверяют статистику, а в данном случае, клики в статистике не отображаются, так что профита ноль.

А вот если вы хотите поарбитражничать, попродавать какой-то продукт или разрекламировать свой сервис — то очень даже хороший баг.
Я так понял, что вы получаете больше показов платя меньше, но, так как внимание пользователя ограничено, кто-то получает меньше показов платя больше — не так ли?
Вы все не правильно поняли. При ставке за клик — пофик сколько показов, деньги списываются только за клик. По наблюдениям, конкуренция по разным ставкам не очень то уж и взаимосвязана.

Кстати, если вы вдруг когда-нибудь будете делать рекламу в ВК — в 95% случаев выгоднее использовать ставку за показы, а не за клики. При хорошем объявлении и грамотно отобранной целевой аудитории экономится огромное кол-во денег.

Как правило, новички лезут в оплату за клик, получают маленькую скорость открутки объявлений и крайней высокую стоимость.

От этих действий страдает только ВК, и я не испытывал никаких зазрений совести. Если ребята не могут нормально настроить основной механизм зарабатывания денег — это сугубо их проблемы
А то, что они проигнорили и никак не поблагодарили топикстартера — еще раз доказывает, что я был прав, что молчал и спокойно юзал
а по поводу репутации, после ухода Дурова, там её уже совсем не осталось. Все эти договоренности с Роскомнадзорами и деятельность, которой они занимаются на благо поддержания отечества — имхо, оставляет желать лучшего
Ну как бы нам не хотелось, чтобы ВК отстаивал наши права на свободу слова и так далее, мы не можем их винить в том что они «прогнулись», все таки это бизнес. Но то что компания игнорирует сообщения об ошибках, а тем более ошибках в сфере денег это конечно очень печально с точки зрения технического благоразумия. Ибо не все в мире хакеров измеряется в деньгах, часто дело и в репутации.
Тут дело скорее не в ВК, а в общих жизненных принципах Меил.ру. Хотя о репутации, я тоже согласен, хотя и очень огорчен (по причинам указанным в выше), что этот баг всплыл наружу. Автору жирный плюс в карму. Я так не смог.
Репутация ВК в моих глазах значительно упала когда после посещения страницы девелопера мне в течении десятка секунд прилетело личное сообщение от этого самого девелопера, мол я посещал их страницу и могут ли они мне чем либо помочь. Само собой я и раньше понимал что посещение страниц не остается бесследным, но тайно я надеялся что эта информация остается на серверах ВК без отдачи ее третьим лицам, еще больше меня обнадеживало то что в разделе Помощи ВК явно написано что не было, нет и не будет общедоступных средств позволяющих отследить посетителей страниц и тут такое, явно противоречащее их обещанию.
Кликджекинг на лайк и получение списка последних лайкнувших через API? Или речь про заход в профиль кого-либо непосредственно в ВК?
Был заход на сайт компании и, кажется заход в группу, но лайки не нажимал, никуда не вступал, по скорости реакции предполагаю что личное сообщение было отправлено роботом
Вот похоже именно на кликджекинг на сайте компании. Даже на Хабре, помнится, обсуждали подобное.
Где-то был даже сайт который продовал эту возможность — сам удивился когда увидел на Фрилансиме задачку типа сделать так же.
мы не можем их винить в том что они «прогнулись»
Можем и будем.
Больше вероятность, что его в суд потянут.
Ах, какой я молодец, что читаю комментарии прежде, чем написать свой :) :) :).

У меня уже 81% да (860) и 29% нет (308). Проценты растут и растут :).
Нормальная такая ошибка округления:
Это не ошибка округления — просто опрос сделан с возможностью мультивыбора. У меня, признаться, тоже первый импульс был выбрать оба, когда увидел чекбоксы вместо радиобаттонов.
Гром не грянет — мужик не перекрестится. Когда ВК потеряет кругленькую сумму, тогда и спохватятся…
UFO just landed and posted this here
Решение очевидно: если администрации не нужны сообщения об уязвимостях, или она не хочет за них платить — то не стоит ломиться в закрытую дверь, а предложить информацию тем, кому она нужнее.

Мораль сей басни такова — не надо никуда обращаться, надо сразу статью на Хабре писать про уязвимость)
Сам недавно столкнулся с похожей проблемой: сообщил об уязвимости в мобильном приложении, через некоторое получил ответ, что уязвимости нет, все хорошо. Я проверил еще раз с максимальными настройками безопасности, приложил скриншоты и пояснения. После этого наступило тотальное игнорирование сообщений.
Вот у вас и почти готовая статья. Может УК, а может на хабр
На самом деле, у меня уже набралось достаточно материала статей на пять минимум. Но недовольство ситуацией пока недостаточно большое, чтобы эти статьи писать и публиковать.
Что за настройки безопасности, если не секрет? Есть где-то переключатель «Опасно/Средне/Безопасно»?
Я имел ввиду возможность включения HTTPS здесь: vk.com/settings?act=security Вообще забавно, что в 2015 году у конечного пользователя довольно серьезного сервиса спрашивают, хочет ли он использовать HTTPS.
В каком из мобильных приложений и что именно Вы нашли?
Вся информация об этой уязвимости описана в этом сообщении: hackerone.com/reports/90242 Если вы занимаетесь безопасностью VK, то сможете посмотреть все детали.
Спасибо. Я занимаюсь не безопасностью, а как раз таки приложением для Android.

Я прочитал ваш отчёт, и с полной уверенностью могу сказать, что это чуть менее, полный бред. Вы просто хотели как можно скорее отрепортить хоть что-нибудь хоть о чём-нибудь. Настолько торопились, что даже не удосужились не то что бы проверить свою «уязвимость» на работоспособность, но даже перечитать свой текст перед отправкой:
Я нашел уязвимость в приложении VK для Android.

1. Установить в настройках Wi-Fi устройства на Windows Phone прокси-сервер (я использовал Charles for IOS).
Да, действительно, приложение отправляет первый запрос по нешифрованному HTTP. Да, в запросе содержится токен. Только вот сам токен по отдельности вообще ничего не даёт. Вы упускаете тот момент, что в каждом запросе помимо токена есть ещё и подпись, которая является хэшем от секретной строки, названия метода и параметров. Секретная строка получается приложением от сервера в процессе авторизации, проходящей строго по HTTPS, и впоследствии никогда не покидает устройство в открытом виде. Таким образом, для аккаунта, у которого в настройках включен HTTPS-only, вы максимум что можете сделать — повторять этот запрос и получать ошибку «доступ без SSL запрещён». Полным доступом к аккаунту пользователя здесь даже не пахнет.
Вот это вот публичное, и на самом деле очень позорное унижение, более чем заслужено. Кто работал с рекламным кабинетом ВК, сталкивался с их саппортом, думаю разделят мое мнение. Ну и отдельно конечно хочется поздравить топа(топов), которые отвечают за разработку этого продукта. Пыжится несколько лет, в условиях когда рынок просто готов зашвырять вас баблом, и на выходе предложить парочку убогих форматов и таргетинг всего лишь по анкетным данным!? И эта тарантайка технологически по прошествии нескольких лет остается в том же виде? Ах да, научились еще приложения рекламировать, потратив на это еще пару лет. В общем, я считаю, что все заслужено. И если у (а кто сейчас кстати ими рулит? :), в общем если у СЕО есть хоть какое-то понимание того что происходит — надо всю команду увольнять и делать современный продукт. Тот тарантас, который называется у вас «Рекламный кабинет» далеко не поедет и денег много не принесет.
просто фейсбук недостаточно быстро вводит обновления, чтобы можно было быстренько копипастить. Хотя реклама в ленте — достижение. Оперативно работают.

А в плане саппорта — больше всего бесят неадекватные модераторы, которые одинаковые эпизоды трактуют совершенно по разному. Один разрешает желтую рамочку, другой отклоняет, а ты из-за их неопределенности должен ждать по 12+ часов. Как по мне очень просто создать свод правил, общий для всех, и тогда не у рекламодателей, ни у модераторов не будет проблем. Но им это все по боку. Как и баги.

Но с точки зрения денег — вы не правы. Есть то же Церебро, которое позволяет собирать базы ретаргетинга по разным активным участникам сообществ, комментатором, посетителям конкретных обсуждений. Так что в правильных руках, он все-таки может приносить ОЧЕНЬ много денег. Честное слово.

image
Чтобы не быть голословным. Это таргет на Москву.
Насчет того, что Вк — «копипаста» Fb — это клише середины 2000-х, распространенное среди не сильно разбирающихся в вопросе продакшна народо-масс, так что завязывайте уже с этим :) Вк — вполне успешный самостоятельный продукт.
Далее, скопировать алгоритм открутки Fb, который очень сложно вплетен в граф пользователей, со всей сопутствующей аналитикой и годами их опыта тонкой настройки, просто нельзя. Нужно было о своем думать 5 лет назад. Но, никогда не поздно начать (уверен, что не начинали, ибо веруют, что таргетинг по анкете — предел мечтаний российского предпринимателя будущего).
Про саппорт рекламного кабинета ходят легенды. Думаю если капнуть глубже, то ответственных лиц можно будет привлекать за незаконное эксплуотирование детского труда, ибо у меня частенько была уверенность, что я с детьми общаюсь. По поводу общего свода правил — согласен полностью. А то, на вопрос — сколько вам надо отзывов в App Store или Google Play, чтобы вы поняли что приложение не шлак и мне можно вам денег отдать и порекламиться, мне отвечают — у нас это на прописано, так что на глазок… Хотя WTF? почему они вообще должны отзывы смотреть, чтобы разрешить мне рекламировать приложение? Ребята-школьники-модераторы, поверьте мне, экспертиза ревьюров из Apple мальца ценнее вашего «на глазок». В общем модерация конечно заслуживает отдельной статьи, но видимо все желающие излить душу, как и я, настолько обессилены этой непроходимой и обезоруживающей тупостью, что просто не хочется.
Про деньги. Я имел ввиду доходы самого Вконтакте. Ситуация такова, что выжимать с этого тарантаса положительный roi могут лишь немногие виды бизнеса. Свести между собой бизнес и клиента, таргетируясь по анкетным данным, даже при довольно низком CPM — дело накладное, все равно что из пушки по воробьям. Ну или наоборот, аудитория будет слишком мала и нечего откручивать. В общем, по моим представлениям и опыту, пользоваться этим продуктом могут «не только лишь все, а мало кто» даже при наличии головы на плечах. Пользуются счастливчики типа вас (и в свое время нас), умеющие на низком cpm делать положительный roi и рекламные агенства, сливающие бабло клиентов, потому что это модно и современно. Справедливости ради, у некоторых агенств тоже хорошо получается порой. А вот если бы условному владельцу вело-магазина в Норильске дали бы инструмент, который бы использовал мощнейшую аналитику графа пользователей, который бы анализировал их связи и предпочтения на основе их действий, и этот инструмент автоматически помогал бы ему как можно быстрее и точнее найти ему клиентов, беря за это разумную, справедливо и сложно считаемую ставку. Вот тогда это было бы выгодно многим. И денег Вк зарабатывал бы в разы больше. Хотя, конечно я понимаю что, это дико сложно. Ведь надо будет все менять, людей увольнять, нанимать, напрягаться :) А возможно они там думают, что мелкому и среднему бизнесу это и нафиг не надо — пусть в газеты по старинке объявления дают :)
По поводу клона — я конкретно описал их процесс принятия рекламы в ленту. Просто очередной мини-штрих.

Что касается графов — вы правы, Фейсбук ушел вперед на года. Порой и рекламу не нужно делать, чтобы выйти на целевых клиентов.

Что касается приложений, сталкивался пару раз, это бред полнейший. Но меня гораздо больше выбивает из колеи требования к непосредственно тизерам (а они играют огромное значение). Вот, например, наверняка вы знаете о меме ничоси, прошлогодний первоапрельский мем. Изначально все его юзали активно (я до сих пор, кстати). Потом модераторы разделились и одни начали пропускать, а другие резко банить.

И вот тут — проблема у всех. У модеров, которые выслушивают массу критики, должны лишний раз с кем-то консультироваться, обрабатовать жалобы в саппорт, у рекламодателя — потому что я знаю, что ничоси дает высокую конверсию и я знаю, что его часть модеров пропускает. Поэтому я буду тратить час, два, двадцать, тридцать для того, чтобы найти норм модератора, который пропустит. Если бы я знал, что это нельзя, и ВСЕ модеры будут отклонять, то я бы не страдал фигней, а нашел другой тизер. Но нет — я бьюсь до последнего.

То же самое касательно величины и площади текста, пунктирных рамок, размещениях курсорах на изображениях. Половина модеров банит, половина пускает. Ну что за детский сад? Разьве сложно сделать отдельную памятку рекламодателю и модератору, где прописать эти несчастные 10 ситуаций?
Смешно конечно. И грустно.
а по поводу малого и среднего бизнеса, мне кажется, что они начали задумываться. И я думаю, что они косвенно помогают развитию Церебро, потому что тот привлекает новых рекламодателей именно из мало-среднего бизнеса. Хотя на самом деле, мне кажется, что написать нормальный парсер под вк — не такая уж и сложная задача. У нас вообще люди почему-то очень мало прогают под СММ, Сео, и прочие сервисы. Хотя, по-моему мнению, там крутятся огромные деньги и пользователи не слишком требовательны к интерфейсам
Нет спроса, вот и «не прогают».
интересно даже, будет ли ста рублевый хабра эффект в кошелёк vk?))
ста рублевый — не катит. Для нормальной работы нужно хотя бы 10 объявлений. И нанять 2 филлипинца, чтобы за тебя клацали 24 часа в сутки. Тогда смысл будет, честное слово ;)

А на 1м — больше возни, чем реально полученной прибыли
я про то что сейчас вся хабра побежит 100 рублевые компании создавать. Интересно, сколько это будет в сумме?
Помню, можно было использовать photos.search для просмотра приватных фотографий у которых есть информация о геолокации. Писал в суппорт, говорили что не баг :D
Прикольно, бага работает до сих пор, но нужно скриптовать периодический перезапуск кампании, что без знаний в веб-разработке достаточно нетривиально.
Да ладно вам, selenium осилить — дело пары дней. А там уже любая web- автоматизация в одном флаконе. Не оптимально, но работать будет.
Подтверждаю, что ВК не особо шевелится по программе BugBounty, мягко говоря, мой тайминг:
9 июня — создан баг
9 июля — status to Triaged
29 Декабря — ответа так и нету.

Баг позволяет получить закрытые фото, видео, аудио пользователя или группы, после такого руки опустились для поиска новых багов, после НГ тоже статью опубликую на хабре, если ВК не ответит.
после такого руки опустились для поиска новых багов


Вот они и добились своего
Аналогичная ситуация, только сроки другие:
Первый мой баг был закрыт на HackerOne, особе не церемонясь (17-го октября создан, 29-го закрыт, однако, на мой взгляд, закрыт некорректно), поэтому:
1 ноября — создаю копию
17-го ноября переспрашиваю
16 декабря снова переспрашиваю.
Этот баг до сих пор открыт.

Второй мой репорт закрыт аналогично, его уже не стал переоткрывать.

Но даже если баги кажутся некритическими, срок реагирования на сообщения о них следует уменьшить. Или хотя бы отвечать в стиле «Сейчас заняты более критическими ошибками, просим прощения за ожидание». Тогда я думал, что специалисты ВК были заняты CSRF-уязвимостью другого пользователя, однако сейчас, глядя на эту ситуацию и комментарии к обеим статьям, думаю про работу ВК с сообщениями про уязвимости, что Первый раз — случайность, второй — совпадение, третий — закономерность.
Здравствуйте ethoz,

По поводу всех проблем с репортами на h1 можно писать на почту security@vk.com, там должны отвечать оперативно.
Здравствуйте Terminal,
Вашему обращению присвоен статус «Triaged»
Здравствуйте. Спасибо за совет! Но с меня достаточно, есть более привлекательный программы, в пекло ВК :/
Баг закрыли со статусом «Duplicate».
Дайте, пожалуйста, знать, получили ли вы какой-то фидбек от ВК?
Нет. Никаких фидбеков и объяснений не последовало. По всей видимости, не царское это дело на репорты отвечать.
Это просто жесть. Ну вот правда…
UFO just landed and posted this here
UFO just landed and posted this here
Для того чтобы понять почему так произошло — нужно понимать то как работают большие компании. А работают они обычно очень плохо.

Мы чаще сталкиваемся с другой стороной: вы хотели показать как они могут потерять деньги, а мы обычно стараемся донести как они могут больше заработать, но суть одна.

Буквально недавно я пытался связаться с партнерским отделом kupivip (уже после того как менеджеры пытались это сделать), чтобы подключить контракт на установку их мобильного приложения напрямую (к этому моменту мы делали более 1000 установок в день). По почте на сайте никто не ответил, по телефону мне дали другой телефон, где уже молодой человек сказал что он этим не занимается и не знает кто этим занимается, а чем он занимается тоже не стал отвечать. Я сам управляю крупной компанией и понимаю, что менеджмент на низких уровнях может халявить, но не дай бог я такое замечу.
Sign up to leave a comment.

Articles