Pull to refresh

Comments 241

… и может в любой момент н

Это «н» — то, что я подумал? ;)
Снайпер в тр

Спасибо, поправил :) Проклятый лимит!
Насколько я вижу сейчас, запросы при заходе на главную идут только к доменам *.gosuslugi.ru, gu-st.ru, stat.sputnik.ru и к яндекс-метрике. И то, два последних блокируются uBlock Origin.
Попробуйте любую страницу услуг:

Поправляют, не любую, но вот тогда пример: https://www.gosuslugi.ru/194564/3/info
UFO just landed and posted this here
Два месяца назад обсуждался сайт сбербанка со встроенными скриптами на длругие домены. Гуру специалисты сказали, что они всё контролируют. Вот жизнь и показала правоту. Хоть и не сбер, но дело времени. Наверное по одним книжкам программировать учились.

Если бы просто сайт. У них и в клиент-банке ссылки на js от других доменов.

Хе, сегодня мне один венгр жаловался: в приложении его банка вообще сторонняя реклама.

Реклама там тоже есть, правда вроде пока родная, сберовская.

Пока петух жареный не клюнет в одно место — никто и не чешется.
Какого же уже размера должен быть петух, чтобы хоть кто-то начал шевелиться?!!!
Размером со всю активную пользовательскую базу.
UFO just landed and posted this here

Да нормально сравнил, подгрузка кода с неконтролируемого компанией, указанной в сертификате, домена и там, и там.

придётся по старинке заполнять квитанции и нести в МФЦ, ЕИРЦ и прочие инстанции :(
Я что-то припоминаю, что в МФЦ пользуются тоже теми же ресурсами, и не факт что и в их «окне доступа» что-нибудь не присутствует подобное…
Только там вам скажут предварительно зарегистрироваться на портале и стать в электронную очередь. Буквально 2 недели назад проходил такое.
простой гуглеж выдал наличие это одной из ссылок m3oxem1nip48.ru: 1 и еще на паре интернет-магазинов, собственно все упирается в IP 5.149.255.51, странная страница с кучей css, и практически пустым боди.
Странно это ИМХО
На данном адресе хостятся как минимум следующие домены:
http://g33tm0yy.ru
http://al9l235gkc7d.ru
http://m3oxem1nip48.ru
http://n3dk3zr7.ru
http://szrdwpiwujnb.ru
http://r9xli3luwc3q6.ru
http://2okn10owniayx.ru


Если погуглить их, то можно заметить, что подобная зараза стоит много где. Скорее всего сайт был заражён в автоматическом режиме.
Скорее всего сайт был заражён в автоматическом режиме.
… и использует национальную CSM СловоПечать
Есть предположение, что у того, кто редактировал содержимое страниц, установлено вредоносное расширение для браузера, которое в каждое вводимое поле типа textarea к тексту добавляет iframe. Но учитывая то, что ссылка в iframe ведёт на https адрес, сертификат которого просрочен больше года назад, можно предположить, что автор давно забил на своё творение, и на данный момент оно никому навредить не способно.
Есть предположение, что к разработке ресурсов государственного уровня допускают идиотов государственного масштаба, неспособных посмотреть связанные файлы на php / js и уточнить для чего служит та или иная строчка в контексте поставленной задачи. А это уже косяк управленцев.
И этих идиотов все знают — это «крупнейшие интеграторы», некоторые из которых пиарятся тут же на хабре. И эти интеграторы нанимают «студентов» на все что можно и нельзя
Если проверять КАЖДУЮ строчку исходников на предмет что она делает, то можно сразу писать на ассемблере — эффект будет тот же.
UFO just landed and posted this here
Конечно нужно, так и делают в авиационной промышленности, но где для этого взять ресурсов на ВСЕХ?
Те, у кого нет на это ресурсов, собирают грабли от отсутствия code review. Пока эти грабли дешевле — всё ок.
UFO just landed and posted this here
Как можно нормально протестировать код разбросанный сквозь несколько классов и зависящий как минимум от двух контекстов? Так и живём…
UFO just landed and posted this here
Нет… такова реальность. код не наш, поделать ничего нельзя. Остаётся только поддерживать внося необходимые изменения. И каждый день волосы дыбом.

Плохо живёте. Всегда можно прочитать пару книг по тестированию и проектированию кода. Разделите код на части, каждую из которых протестировать будет легче.

Почитать то можно, реализовать нельзя. Да и вообще, если бы от обычного чтения всё сразу становилось хорошо…
Код и так разделён на части, но эти части так сильно переплетены друг с другом, зависят от глобальных переменных и СУБД что протестировать в автоматическом режиме можно будет только очень малые части.
А здесь какой эффект? Как у старухи Шапокляк: «хорошими делами прославиться нельзя»?
Ну прославились считайте. Только чем люди то виноваты, которые свои документы доверяют системе.
Да и труд это не великий, могу поспорить, чтобы найти web-ссылки на $%&^-пойми какой ресурс не имеющий отношения к органам власти. И удалить мусор, назначения которого ты не знаешь.

Нет такого предположения. есть чёткая уверенность.

Вот ведь наверное локти теперь кусает, что профукал госуслуги))
национальную CSM СловоПечать
национальную СУК (Систему Управления Контентом).
Систему Управления Содержимым, тогда уж
Слово «контент» хорошо прижилось в русском языке, как и «компьютер», например.
Именно, опечатку не исправить уже
Ручками из поисковика, похоже, их долго можно выковыривать
//nyamnyam63.ru
//ubnsyhv27fa2j.ru
//cu7nitt9.ru
//gw5wxagcvj6jqb.ru
Уже поправили, но в кэше гугла остались страницы. Похоже на инъекцию в базе, потому как упомянутые фреймы оказались вставлены внутри текстовых полей, которые вероятно из базы подтягиваются. Причем местами вставлены неудачно — знаки больше и меньше заменены на lt / gt. А кое где удачно, но тоже посреди текста, а не в верстке.
Проверил на https://www.gosuslugi.ru/194564/3/info, всё на месте
Тоже проверил — отсутствует
скрин
image
А вы не то скрините! Нужно смотреть все сетевые запросы, а вы смотрите код страницы.
Действительно. Просто то, что у гуглкэше нашлось — было прямо в коде страницы, ну я на автомате и тут так посмотрел.
Это та причина, по которой мы не заметили проблему на той неделе! Думали, что следы старой компрометации и уже все ОК.
Подтверждаю. RequestPolicy Continued — заблокировал на странице запрос к адресу m3oxem1nip48.ru.

Поглядел в инспекторе Vivaldi, по крайней мере на это странице посторонних доменов нет. Как с включенным, так и с выключенным uBlock Origin.

Если и поправили, то не везде.
Получается БД скомпрометирована. Теперь хотелось бы знать как хранятся наши данные с БД.
нашими данными уже давно торгуют, и в этой базе ничего нового нет
Причем недорого. Совсем открытый и популярный форум — мигалки)
Разве домены в зоне RU можно приобрести анонимно?
Конечно, соответствие введенных данных действительности не проверяется.
Довольно странно: компрометировать важнейший сайт государства и под это покупать рандомные домены в зоне, которую на 146% контролирует это самое государство…
Есть версия, что компрометация получилась немного случайно ;-)
Эдакий троллинг на 146%.

Почему же странно? Что государство может сделать? Забрать домен? После закрытия дыры ценность домена равна нулю, вряд ли взломщикам будет жалко домен.

Например фирма-однодневка стала партнером регистратора и может регистрировать кучу доменов на «левые» физлица. Сообщение «необходимо загрузить скан документа» может висеть годами (на руцентре по крайней мере) без всяких последствий. Отсутствие подтверждения личности никак не мешает продлению
У основателя фирмы есть владелец, а если и подставное лицо. так есть проверяющие органы подтвердившие регистрацию такой фирмы которых тоже можно призвать к ответственности (в теории)
Как видим — никому просто не было дела до этого. Пока не обнаружится на ПГУ. «Ну уж теперь уж конечно...»

Хотя… буду ржать, если доступ к этим доменам закроют через реестр РКН, а регистрация и делегирование останутся нетронутыми
Ответственность таких органов может быть на порядки ниже ущерба.
По правилам — нет, но по факту могут бесконечно долго просить прислать им скан паспорта. Многие на это забивают.
Правила регистрации доменов в зонах .RU,.РФ и, емнип .SU, позволяют блокировать домен, если сканы паспорта не будут присланы в надлежащие сроки. Т.е. «бесконечно долго» не получится.
Это в теории. У меня был домен на котором висел запрос прикрепить паспорт 5+ лет.
Это от запроса зависит. Сотрудник регистратора может отправить запрос ради корректировки данных или синхронизации данных по домену с каким-то другим вашим доменом. Если регистратор подозревает что домен создает какие-то проблемы, а данные администратора домена левые, заблокирует через месяц, если нормальных сканов паспорта не получит.
Данные паспорта у меня были корректные, но скан я не прикреплял. Других доменов на тот момент у регистратора у меня не было и скана паспорта соответственно тоже. Так что все зависит от лени и некомпетентности людей на местах.
Не могу не согласиться :)
Я же и написал: по правилам могут. Из лично опыта: им абсолютно пофиг. Запросите whois любого домена в .RU и посмотрите его статус. Например, Хабр тоже не спешит посылать свои доки:
% By submitting a query to RIPN's Whois Service
% you agree to abide by the following terms of use:
% http://www.ripn.net/about/servpol.html#3.2 (in Russian)
% http://www.ripn.net/about/en/servpol.html#3.2 (in English).

domain: HABRAHABR.RU
nserver: ns1.habradns.net.
nserver: ns2.habradns.net.
nserver: ns3.habradns.net.
state: REGISTERED, DELEGATED, UNVERIFIED
org: Invento Holdings Limited
registrar: RD-RU
admin-contact: https://cp.mastername.ru/domain_feedback/
created: 2006-04-17T20:00:00Z
paid-till: 2018-04-17T21:00:00Z
free-date: 2018-05-19
source: TCI
Не факт, что от владельцев домена этого домена что-то требовали. Раз не требовали и блокировать тоже не будут.
Требуют у всех, там бот сидит. Даже если вы регистрировали домен в прошлом веке, все-равно пришлют что-то вроде «Сообщаем вам об изменении правил регистрации...»
UFO just landed and posted this here

Не один. Ну я хоть не свои))

Вот это кстати зря. Теперь ни продать, ни перейти к другому регистратору.

Без сканов прокатывает «Да, я сделал 6 ошибок в слове Иванов, исправьте, пожалуйста...»
UFO just landed and posted this here
5.149.255.51 это голландский хостинг, которым фактически владеет какой-то болгарин из Пловдива. :) Госуслуги опловдивают. :) До сих пор по адресу https://www.gosuslugi.ru/194564/3/info всё на месте.
Потому что, чтобы что-то поменять в коде, надо пройти бюрократический ад :)
Нужно заполнить заявку на сайте gosuslugi.ru
по форме Тянуть-Запрос № 5
UFO just landed and posted this here
Упоминание этого ифрейма в поиске уже давно. С 2015 года где-то. Вирус на компе клиента подсаживает iframe при редактировании текста в формах на сайте. Т.е. контентщик, через веб-админку подсадил iframe на каждую страницу. Забейте в поиске просто «A1996667054» и найдете кучу вопросов на форумах.
Кое-где этот iframe «вписался» прямо в вопрос о вирусе)))
Т.е. Роскомнадзор, умеет только нормальные ресурсы блокировать, а потенциально опасные продолжают годами работать? Отличный показательно нужности этой конторы.
Вообще, ресурсам .ru не нужна блокировка РКН. С ними можно решить вопрос через регистраторов.
Если кто-то «почешется» конечно.
Я нашел кучу ссылок с этим iframe. Однако ни одной ссылки, что вирус классифицирован и лечится.

ДрВеб обнаружил его последствия только сегодня)))
Домены заблочены веб-антивирусом, так что запросы на них или с них не пойдут. А так, чего ещё мы можем сделать? :) Вот, уведомили госуслуги, когда нашли на них. Это же не вирус.
Дождаться от госуслуг выдачи вам компа того контентщика с потрохами :)
Роскомнадзор, как и Гитлер, тут не причем) Хотя его уже тоже начинают вспоминать везде, где только придется.
Ясно же, что основная функция Роскомнадзора — предоставить хоть какой-то официальный инструмент регулирования интернета. А блокировка потенциально опасных ресурсов — не более чем утопические фантазии, особенно в реалиях той технической грамотности, которая наблюдается сейчас в РКН
основная функция Роскомнадзора — предоставить хоть какой-то официальный инструмент регулирования интернет

Не регулирования, а цензуры. Не путай, пожалуйста.

Кажись, это там у них аж с конца мая
image
К слову, о
Дату начала компрометации, а также прошлую активность по этому вектору атаки, установить на данный момент не представляется возможным.
Кеш гугла выдал самые ранние датированные записи с этим iframe, попавшим прямо в код страницы, от 15 апреля. Прямо сейчас страница не открылась. Видно, что iframe подсажен в конец сопроводительного текста на странице:

...направляет имеющиеся материалы в органы прокуратуры.<br><iframe id=...

Если реально это было с компа контентщика… смотрим чуть выше:
Дата последнего обновления сведений на Едином портале государственных услуг (функций):

18.02.2016 11:20:38
Домен в этом iframe:
created: 2015.11.06
paid-till: 2016.11.06
free-date: 2016.12.07
No comments…
Странно, что фрейм. Почему не внедрили скрипт? Намного же интереснее атаки можно провернуть…
Просто удивляет тот факт, что госуслуги – не шаблонный сайт, сломать его «между делом» не получится. А если целенаправленно атаковали – то фрейм – это не лучшее, что можно придумать… С него выхлоп только трафик продавать или связки прогружать. Ни тебе приватной инфы, ни выполнения действия от имени пользователя, ничего. Странно.
Сломать «между делом» сайт можно не только через 80/443 порт, могли и через 21/22 зайти, или через какой-нибудь ещё сервис, позволяющий передавать файлы.
Нет. Это ангуляр тянет данные для шаблона и в данных заинжекчен фрейм.
image

В связи с этим еще забавно, что разработчики не используют экранирование по-умолчанию. Т.к. тег из текста отрендерился тегом на странице :/
Вы не представляете насколько автоматизированы многие механизмы заражений. Изучал я один зловред. Попадая на клиентскую машину он собирает все сохраненные пароли из всех популярных фтп клиентов и отправляет post запросом на некоторый сервер X. Через 10 минут с сервера Y на хостинг по FTP ломится уже какой-то другой скрипт, и грамотно раскладывает зловреда по папочкам и внедряет его в html. Все в автоматическом режиме. А еще через 10 минут уже ваш сайт ломится к кому-то, чтобы его заразить.
Полная автоматика, и даже пройти по цепочке, чтобы понять откуда изначально пошло заражение — невозможно.
На всякий случай напомню, что сам докторвеб тоже себя скомпрометировал своими «методами» и реакцией на вопросы касательно этой темы. Посты в «их» группе удалялись с нереальной скоростью, щедро закидывая в бан всех подряд.

Советую перечитать эту публикацию

https://geektimes.ru/post/259132/

Помню эту историю… Вам бы лучше помолчать насчет нее. Да и pr ваш должен того же советовать.
А чем история то закончилась? Вебы так и не заплатили кинутому админу?
Да, насколько мне известно. Drweb продолжили свою политику «оно мое, потому что я хочу это».
А официальную позицию вконтактика кто-нибудь видел?
получил ответ от техподдержки Вконтакте после запроса инициированного мной, о том что я действительно утратил контроль над группой в процессе верификации. Скорее всего, меня слили как «бывшего сотрудника», коим я никогда не являлся.

https://geektimes.ru/post/259132/

рейдерам не с руки признавать вину за что-то, соответственно никто даже не извинился, не говоря уже об оплате
В свое время я провел сравнимое количество работы с целью позитивного продвижения Доктора Веба, какую сейчас делаю для ReactOS.

Все, что я получил от официальных представителей компании Доктор Веб — это «спасибо» сквозь зубы и пара фирменных кепок и футболок. И это при том, что я был еще и одним из лучших бета-тестеров их некоторых коммерческих продуктов.

Отличная стратегия! Дружба дружбой, а табачок прибыль врозь.

вас теперь будут вечно говном кормить, карма эта штука такая

UFO just landed and posted this here
Так в профессиональном сообществе система работает. А это чаще всего и корпоративные заказы, которые теоретически могут быть потеряны, так как решение может принимать неподкупный хабравчанин, которого когда-то очень сильно задела такая несправедливость.
е-мое, принесите уже официальное извинение и назначьте админу группы жалование тестера, он сам с радостью об этом напишет, а фирма восстановит процентов 30% своей первоначальной репутации.
Во-первых, эта статья про другое. Но отвечу, один раз (тем более что эти тролли уже загнали карму аккаунта в минус, так что комментить часто нельзя, передайте им спасибо). Во-вторых, вы просто зря слушаете все эти рассказы. Сначала тот админ банит сотрудников «Доктор Веб» за то, что те возмущались его вредными советами пользователям, потом на годы забрасывает группу, о чём вы говорите? За такое не жалование выдают, а увольняют. А если человек хочет зарплату за то, что делал для тогда ещё своей группы, то может тогда оплатить рекламу этой самой группы у нас на ресурсах, на которых посещаемость чуть выше, чем была в той группе… порядка на три. Или четыре. Или больше.

Переписка об этом в вк:


Для сравнения, сейчас в группе около 40 тысяч.

А репутация «пострадала» только у этой кучки людей, обидевшихся непонятно на что. Где-то была аж петиция, её подписало 60 человек или около того — вы правда считаете, что это много? :)

В общем, тут как с энкодерами — не надо платить выкуп вымогателям и шантажистам, и не надо вести с ним переговоры.



Но толпы троллей всё равно прибегут и заминусят этот комментарий так же, как лезут со своими офигительными историями повсюду, например, «не используйте кьюрит, ведь докторвеб злой». При этом, заметьте, сам вконтакт никто из них не бойкотирует :) Хотя казалось бы.
Судя по всему паблик дет на 5. старше приведенной ссылки. Аргумент слабый. Если товарищ, как он утверждает автор, лукавит, то вы можете с легкостью найти независимых пользователей, которые лично помнят основание паблика. Если нет, то ваши слова — это лукавство и натягивание совы на глобус.
Против вас так же играет и факт массовых банов всех, кто поднимал тему в паблике.
Это все так же факты.
Г О П Н И К И!
О
П
Н
И
К
И
!
За такое не жалование выдают, а увольняют.

Увольнять вы можете только своих сотрудников, а не чужих админов групп.

Насколько я помню, владелец группы не обязательно будет в разделе Management. Так что вы еще и врете, когда говорите, что в 2011 году его там не было.
а основатель может полностью самоустраниться, это платформой разрешено вообще?
Вот если даже совсем отвлечься от темы кто прав, а кто виноват.

Замечу, что у «толпы троллей» есть аккаунты на хабре и, по всей видимости, какие-то статьи, раз есть карма для минусования. Если верить статистике хабра, охват публикации был 62,5 тысячи человек, ну и рейтинг +135 тоже говорит о том, что сообщество в целом на стороне Jeditobe. Сам автор не заминусован, в отличие от вашего аккаунта.

Я не так уж силен в теме связей с общественностью на уровне больших компаний, но ощущение все же такое, что некоторый урон вы репутации доктора Веба все же нанесли, сэкономив три копейки.
это вы что-то другое смотрите сейчас. Хотя может и проплатят — хабр у нас прислушивается к желаниям буржуазии
Он смотрит рейтинг компании, а не пользователя.
Вы, ребята, смешные такие. Не хотел тут демагогию про передачу прав разводить, спросил как раз в этом вашем паблике. Так меня там забанили, а вопросы удалили.

Я не имею никакого отношения к Jeditobe. Мне вообще плевать на Dr. Web. Никакого мнения на ваш счёт я не имел, просто задавал вопросы. В основном как небезразличный любопытствующий гражданин, отчасти — как журналист. Но вы моё мнение успешно сформировали суясь в публичное пространство и не умея вести диалог с публикой. Вы просто трусливы и боитесь открытого разговора. По счастью, тут вы мои комментарии удалять не можете. А значит я воспользуюсь этой возможностью, подпишусь на вас и постараюсь напоминать вам и окружающим о вашей полной некомпетентности в публичном поле в каждом вашем посте.

Ничего кроме минуса вы не заслуживаете и таким образом не заслужите. Можете сколько угодно препираться и плевать на ветер с одинаковым результатом. Скажите за это спасибо собственной безмозглой политике.
После такой смачной истории в рекомендациях от меня «А какой антивирусник поставить?» для меня DrWeb просто умер.
Хотя это мне напоминает одну историю. В Екатеринбурге, где лет 10 назад, была борьба фотолаб за клиентов, победила Сфера или Фото-Сфера (не помню уже как точно называлась эта компания), но в один прекрасный момент с нового года у нее стали такие «опции» печати, что клиенты разбегались, хотя там оборудование, бумага и лаборанты были самыми лучшими в Екатеринбурге.
Я потом спрашивал у главного менеджера зачем он сделал такие «опции» ведь продажи пойдут в низ. И этот, в принципе гениальный человек сказал, что раньше он работал на процент от печати, а когда он захватил рынок и его зарплата показалась неприлично большой хозяинам, он стал получать чуть ли не как при устройстве на работу. И я же не зря написал, что он был гением маркетинга, с моей точки зрения конечно.
Он этими «опциями» разорил в ноль подчиненную компанию.
Может быть все просто, главный пиарщик обиделся на владельци и дарит такие довольно продуманные «подарки» хозяинам которые будут аукаться проседанием продаж годами?
Ведь заплатить грубо 600 тысяч владельцу группы, это наверно даже меньше будет полу-годовой зарплаты пиарщика сидящего на зарплате.
Так что может быть ход с «вульгарным отжатием» был глубоко и грамотно продуман изначально?
Ведь такие ответы от DoctorWeb на мой далеко не эстетический взгляд хамские и пошлые.
Ведь такая история и такие комменты будут храниться годами в инете и очень-очень большой шанс, что человек заинтересовавшись продуктом DrWeb наткнется на эту мерзкую историю и пошлые ответы от DortorWeb.
Еще в славные годы Фидо господа из Др Веба отличались особым отношением к людям. Для них было нормой даже не сказать спасибо за демонстрацию очередной дыры в работе их продукта.

Класс, мне нравится эта теория заговора. Пиарщик-саботажник, который успешно делает компанию отвратительной для IT-сообщества, потому что кто-нибудь из руководства переспал с его девушкой.
Почитал, жуть какая, вроде ж клевая позитивная компания, может это только в отделе рекламы в социалках у них там дятлы сидели?
Т.е. комментарий https://habrahabr.ru/company/drweb/blog/333008/#comment_10311434 недостаточно характеризует текущую внешнюю политику компании? Всё как было, так и осталось, причём не только в социалках.
не ну там просто на офтопик указали)

В идеале хотелось бы увидеть от них не просто ответ "мы выпилили заразу", но и наличие Content-Security-Policy хедера в ответе сервера, чтобы левых iframe и скриптов в принципе не могло быть.

Там вообще замечательно:


<!--[if IE 9]>
<script src="//cdn.rawgit.com/weblinc/media-match/master/media.match.js"></script>
...
<!--[if IE 9]>
<script src="//cdn.rawgit.com/jpillora/xdomain/0.7.4/dist/xdomain.min.js"></script>   

В госсайт, работающий с важными пользовательскими данными, встраивается скрипт с левого аккаунта на GitHub (!), причём через сторонний сервис rawgit (!).
Сейчас оно обрамлено в <!--[if IE 9]>, но сильно лучше ситуацию это не делает.


Ну и сам факт того, что сайт полностью неработоспособен без JavaScript прозрачно намекает на уровень квалификации разработчиков.

Мне правда интересно, вы часто открываете сайты без JavaScript?
Посмотрел у себя статистику за год, из 464570 посетителей без JavaScript зашло 751, т.е. 0.16%.
и я не уверен, что это реальные люди, а не боты :)
2017 век, JS хистеры изо всех щелей накидывают JS в веб, а вы говорите о вебе без JS.
Есть подозрение, что Яндекс.Метрика в этой статистике роботов не учитывает.
UFO just landed and posted this here
Сайт никому ничем не обязан. Это альтернативный (альтернативный МФЦ) способ предоставления услуги, которым вы можете и не пользоваться. Когда же речь идёт о полутора человек из тысячи, ну тут вообще смешно. Всегда найдётся фрик, сидящий на Win 3.11.

> Вполне возможно сделать сайт доступным и рабочим без js
Вполне возможно — не значит, что нужно.
Буквально вчера ставил «лайк» одному issue на Github. Только когда страница начала перезагружаться заметил, что забыл включить JS. Но ничего, страница загрузилась — лайк стоит. А теперь попробуйте тоже самое на Хабре — с включенным NoScript у вас даже стрелочек не будет (но это, правда, скорее всего из-за шрифтов).

Как оно с NoScript — не знаю, но при простом запрете javascript стрелочки остаются.

Плохо когда вообще белое окно без JS.

У меня как минимум 1 рабочий браузер вообще без JS, от слова совсем. Ну и в других иногда выключаю.
Сложно увидеть в статистике людей, которые заблокировали отправку данных в статистику.
Разве что анализом HTTP логов сервера, и сравнением их с данными метрики…
Ну если их нельзя причислить к какой-то группе, значит остаётся просто игнорировать.

Я даже в мобильном хроме нашёл как отключить JS и включать его индивидуально. Очень удобно когда роешся по интернету и не заваливает рекламой и кучей активной фигни. В некоторых местах даже HTML5 плеер работает без JS.


Ну и сам сайты делаю чтоб работали и без JS.

… кстати о птичках. Является ли плохой практикой подгрузка с солидных CDN-ов вроде ajax.googleapis.com?
Да. Загонит их роскомпозорник в бан (по ошибке, естественно) — будет вам CDN.
Ну, вроде как google как раз им запрещено банить.
Только поэтому?
Ну, из очевидных причин — да. Ещё есть риски ошибок администрирования и/или локальной подмены cdn-ок какой-нибудь кривой проксёй, например. Или локальной потерей связности с google (маловероятно, но исключать-то нельзя).

На другой чаше весов — скорость загрузки сайта, ясное дело — какой-нибудь jquery c google-овского CDN наверняка уже лежит у пользователя в кеше.
UFO just landed and posted this here
Ну так то «google», а не «googleapis». Кто ж знал, что доменов великое множество!

нет. но нужно тестить, иногда это наоборот замедляет скорость работы

Давайте собирать петицию в роскомнадзор)
Вы удивитесь, но сайт вообще не открывается без интернета.
Еще компромат:
Мне потребовалось на gosuslugi.ru подписать документ эл. подписью.
Плагин для ЭЦП (IFCPlugin) работает только в IE 11 (так мне сказали в службе поддержки, тел 115).
Слова Президента и премьера о переходе на отечественное и CПО для них не указ?
Из их же рекомендаций пользователям:

Обратите внимание, что в браузерах:
-Google Chrome 45.0.2454.85 m и выше
-Opera 37.0.2178 и выше
-Firefox 52.0 и выше
-Спутник
отключена поддержка NPAPI-плагинов, в том числе плагина пользователя Госуслуг.

Для работы на Портале госуслуг с использованием квалифицированной электронной подписи пользователям рекомендуется использовать браузер Internet Explorer (IE).
Ставте ESR версию Firefox https://www.mozilla.org/en-US/firefox/organizations/all/
Она работает с плагинами торговых площадок и госуслуг
По вашей ссылке прочитал:
Version 52.2.1, first offered to ESR channel users on June 29, 2017
Боюсь, что не прокатит
Всё катит, проверено самолично.
Остаётся вопрос: как воспользоваться гос.услугами без сайта? )
А по теме: добавил в подписку |https://*.ru^$subdocument,domain=gosuslugi.ru и все, все, все
Местами это действительно проблема. Как раз сейчас пытаюсь добраться до одной конторы, куда талоны можно только через гу получить. А вот хрен. Для рандомных юзеров список доступных организаций либо пуст, либо не полон :(
UFO just landed and posted this here
den_golub
простой гуглеж выдал наличие это одной из ссылок m3oxem1nip48.ru: 1 и еще на паре интернет-магазинов, собственно все упирается в IP 5.149.255.51, странная страница с кучей css, и практически пустым боди.
Странно это ИМХО

image
Да, там как-то всё странно, подозрительно.
Не подскажете чем пользуетесь? а то я гуглежом такое не построю, заранее благодарю.
Одна команда разрабатывает, дали для тестов, пре-альфа версия, бету в доступ представить планируют к середине осени этого года. Поэтому, к сожалению, чего-то больше сказать не могу.
Граф строился на основании данных получаемых от API www.virustotal.com и www.hybrid-analysis.com.
Хоть в личку скиньте ссылку на ребят, чтобы осенью обратиться?
уверен на Хабре будет публикация, я с удовольствием бы и сам написал обзор и возможности, но скован соглашением.
Аналогичный сервис http://threatcrowd.org/
это пре-альфа разрабатываемого фреймворка, по планам осенью можно будет в открытом доступе получить.

Ждать ли что-то вроде истории с персональными данными турецких граждан?

Коллеги, 21:07 и я вижу фикс на том URLе, что я мониторю!
У меня вот нескромный вопрос: а почему мне техподдержка Госуслуг отвечает? Я не далее, чем 2 дня назад, связывался с ними как раз по поводу этих вкраплений через вконтакт, ответили буквально в течение получаса, выдали номер тикета, на следующий день отрепортились, что по моим находкам всё почищено. Проверил — действительно почистили.
И ещё: пятиминутный гуглёж предлагает передавать привет антивирусам контент-менеджеров, эти вставки добавлялись при заливке контента. Что, несомненно, создаёт дополнительные вопросы к используемой CMS на предмет экранирования всяких странных символов.
Кстати, а что ныне можно украсть с помощью iframe? Просто в целях повышения образованности спрашиваю.
Ничего. Кроссдоменный доступ запрещен браузерами, если обратное явно не разрешить через заголовки ответа сервера. В этом и странность (глупость?) атаки.
Можно максимум попробовать прокинуть пользователю эксплоит ну или продать трафик для накрутки чего-нибудь…
У меня вот нескромный вопрос: а почему мне техподдержка Госуслуг отвечает?

Почему то мне кажется, что данная статья просто пиар дрвеба, чтобы не забывали о старичке. Проблема сильна раздута и реальную угрозу пользователям предоставляет лишь в теории. Потому что на данный момент указанный iframe не загружается в принципе, и не важно, есть ли антивирус или адблок.

Кстати, а что ныне можно украсть с помощью iframe?

Можно сделать редирект на фейковый сайт, или там всплывающее окно попробовать открыть, запросить пароль у пользователя с использованием basic авторизации ещё можно.
Из iframe можно сделать редирект всей страницы целиком? О, как, не знал. А где можно почитать про это чудо?
А про basic-аутентификацию не подумал, да. Хорошая идея. Спасибо.
Не сработает. Тот же CORS не даст. Сработает только если домен один и тот же у родителя и у фрейма.
CORS не позволит прочитать содержимое «window.top.location.href», записать туда он не помешает.
Проверил – и правда работает, неприятно :)
Ещё подобный неприятный прикол есть с window.opener.location. Например открыл сайт из поисковой выдачи в новом окне, не нашёл ничего интересного, закрыл, а вместо гугла уже фейк или просто реклама.
Такое знаю, да. Tabnabbing-ом еще называют.
Даже если конкретно эта атака (ну или как это назвать?) бесполезна и безобидна — общий уровень госрукожопия и госбардака она демонстрирует вполне наглядно.
Не боги горшки обжигают. Программеры наверно где-то забыли за экранировать символы или как-то верифицировать входящие данные.
Ну да, «всего лишь». Это было бы простительно мелкому сайту за тысячу зеленых (да и то с натяжкой, потому как экранирование это азы). Но никак не госпорталу, работающему с критичными данными половины страны. И который наверное стоил многие миллионы. Миллионы распилить, а кодить по факту будет студент Вася.
А кодить в любом случае по факту будет студент джун Вася. По моим наблюдениям мидов и сеньоров приглашают, когда разрабатывается портал для высокого начальства. Когда реализуется портал для низших звеньев пищевой цепочки — увы, но селяви. За результат не накажут.
UFO just landed and posted this here
На некоторых сайтах электронного документооборота с ЭЦП дела обстоят отвратительно хотя бы потому, что установка софта, обеспечивающего шифрование, сделана как будто студентами на коленке между парами, и в инструкциях по установке этого софта указано снять в браузере всю защиту.
DR EWB лучше бы о клиентах думал!
Баг нашли в антивирусе уже года как 4 -5, а они говорят что им *** мол не приоритетно!
Вот и пользуюсь другим антивирусом, половина подписки потерял.
Зато орать! Все горазды!
А кто-то им еще пользуется? Как корпоративный антивирус он давно умер. Как пользовательский тоже умер с приходом бесплатных антивирусов, тот же 360 Total в среднем понадежнее будет.
Возможн бюджетка на него перейдет, каспер тяжел, а нод32 не наш.
На «Антивирус Куранина» пусть переходят.
Не слышал. Это что-то вроде «антивируса Бабушкина»?
А они смогли выйти на рынок???
Выиграл как то на дне админа пол года DrWeb. Поставил полный комплект. Не помню уже по каким причинам, но перестал мне нравится их модуль отвечающий за web. Толи он что то блочил, толи что то еще и кнопки отключить не было, Написал в ТП: «как мол его отключить». Мне ответили удалить, а при новой установке не ставить галку. DrWeb удалил. Навсегда. Нафиг мне то что нельзя просто отключить в интерфейсе?
Какой-нибудь Вася, проходя мимо, снимет эту галку и всё. Так, как вариант. Минута — и система без контроля

Откуда у Васи админский пароль?

Под клавиатурой нашёл бумажку Вася. Быват ведь.
У меня дома Васи не ходят.
Не в тему ГосУслуг, но…

Вчера обнаружил в Личном Кабинете ЕГАИС проверку Капчи от Гугла. Либо лыжи не едут либо я… Как могла Капча Гугла («вражеского государства») оказаться в святая-святых — ВОДКЕ РФ?

P.S. Я на полном серьезе если что… Капча с выбором знаков-автобусов-витрин со ссылкой и условиями конфиденциальности присутствует!
Вы такой интересный, коллега…
Пройдите квест, например.
Сотни их.
С левыми корневыми сертификатами и всё такое (не могу писать сквозь слёзы).
Я как то сделал заявку в ТП госуслуг, моя заявка сыграла 2 тайма футбола, 1 тайм хоккея — итог 3 месяца решалась проблема
Да, гуру-безопасники есть везде )))
У меня подобная ситуация с хостингом spaceweb была, в техподдержку писал несколько раз. Сообщили, что у них стоят средства защиты и они защищены от атак ))) Им-то может быть атаки не страшны, а вот пользователям аккаунтов, чьи сайты там крутятся…
Не в первый раз проходит похожая информация, что на гос-сайтах не всегда «чисто».
Учитывая популярную практику госструктур заказывать себе сайты через откаты не стоит этому удивляться.
Только в мыслях планировал обновить загранник. Затем читал на ночь про нейроинтерфейс DARPA. Наутро 12.07 неожиданно смс от UFMS_KO «Ваш заграничный паспорт готов». Думал вот она Матрица. Ну, регион УФМС совсем не совпал, что ж, Матрица бета-версия. А тут вон оно чё…
Техподдержка с моим случаем разбирается уже больше суток.
Ответ техподдержки: «Портал не является государственным органом власти и не входит в их структуру. Портал госуслуг является федеральной государственной информационной системой, которая обеспечивает доступ к сведениям и предоставляет возможность заказа в электронной форме государственных и муниципальных услуг. Все статусы и комментарии к заявлениям, которые отображаются в Личном кабинете, предоставляются непосредственно из базы данных ведомства, оказывающего услугу. Способ оповещения получателя услуги также определяется сотрудником ведомства. За разъяснением необходимо обратиться в Главное управление по вопросам миграции (бывшее ФМС). Контактную информацию Вы можете уточнить, перейдя по ссылке https://gosuslugi.ru/structure/10000001022, выбрать раздел „Территориальные органы и подведомственные организации“, выбрать регион и открыть вкладку „Контактная информация“, или на официальном сайте ведомства https://гувм.мвд.рф. Благодарим за обращение на Портал госуслуг. Анализ поступающих вопросов и предложений помогает нам улучшать работу Портала.»
Вопрос 12.07.2017 9:36, ответ 14.07.2017 13:03.
информация передана в техническую поддержку сайта, но подтверждения принятия необходимых мер по предотвращению инцидентов в будущем и расследования в прошлом не получено

уточните пожалуйста, сколько прошло времени с момента передачи информации (прошу дать точное время отправки сообщения) до публикации статьи?
то есть, в UTC 23:59:00 отправили, а так как в 00:01:00 календарные сутки пересчолкнулись — можно писать?
просил же время

для меня остается загадкой, почему Вы позволяете себе как минимум отходить от общепринятых норм по раскрытию информации, а по факту, спекулировать на уязвимости государственного сайта
письмо написать в тормозной хелпдеск и считать свою миссию выполненной? давно пентестами фрилансите?
раскрытие такого рода информации вполне можно подвести под хакерскую атаку, знаете ли

дозвониться до живого и вменяемого человека в любой организации уже много лет не является проблемой
сутки пересчолкнулись
перещелкнулись
квантовая запутанность, простите. «щ» конечно.
>>>сколько прошло времени
>>Сутки.
>календарные сутки пересчолкнулись

Прошло времени — сутки. Сутки — это 24 часа
канал отправки сообщения?
сообщение было одно или несколько?
для меня остается загадкой, почему Вы позволяете себе как минимум отходить от общепринятых норм по раскрытию информации

Вы путаете уязвимость, которой могут воспользоваться злоумышленники и факт уже совершённого взлома.


спекулировать на уязвимости государственного сайта

Нет, предупредить сообщество о том, что их банные могут быть скомпроментированы.


написать в тормозной хелпдеск и считать свою миссию выполненной?

Тормоза хелпдеска — это проблема госуслуг. А миссия, да — огромное количество народа НЕ подверглось за это время атаке.


раскрытие такого рода информации вполне можно подвести под хакерскую атаку, знаете ли

Да, мы знаем, что мрази из госорганов очень часто так и поступают — списывают собственные косяки на посторонних людей. Поэтому, нет, уродов не жаль. А вот то, что предупредили не пользоваться атакованной системой обычных, ни в чём не повинных людей — за это спасибо.


дозвониться до живого и вменяемого человека в любой организации уже много лет не является проблемой

Муахаха!

факт уже совершённого взлома

НО не эксплуатировавшегося на тот момент
и в теории — при оперативном реагировании злоумышленников — этот взлом после публичного раскрытия информации мог быть использован

предупредить сообщество о том, что их банные могут быть скомпроментированы

сообщество — 40к прочитавших статью на хабре?
да уж, глобальное оповещение, куда там МЧС с их СМСками.

огромное количество народа НЕ подверглось за это время атаке.

вы сейчас несете бред, совершенно оторванный от реальности
есть статистика посещений госуслуг?
откуда уверенность, что объемы посещений наоборот не выросли?

Поэтому, нет, уродов не жаль

как я и писал выше — уязвимость могли оперативно запустить и исключать это никак нельзя
поэтому пока тишина и взлом/уязвимость не эксплуатируется — не трубить об этом — прямая обязанность компании называющей себя антивирусной
и прямая обязанность приложить все усилия к закрытию уязвимости ДО её публичного раскрытия

Муахаха!

очень информативно
мне по роду деятельности довольно часто приходится дозваниваться голосом до самых разных ведомств-министерств-госструктур любого уровня, в том числе и с ит-шниками госуслуг пересекался.
как правило, в полчаса поиска контактов/звонков я укладываюсь — добираюсь до реального человека и нужный вопрос решаю с требуемой оперативностью
а уж ДрВеб я думаю не страдает от недостатка контактов в любом ведомстве
было бы желание/мотивация
НО не эксплуатировавшегося на тот момент
и в теории — при оперативном реагировании злоумышленников — этот взлом после публичного раскрытия информации мог быть использован

Достоверно это неизвестно. Всё, что мы знали на тот момент — сайты не отвечали на запросы с апишников др веба.


сообщество — 40к прочитавших статью на хабре?

Это больше, чем ноль. Стало бы лично вам легче если были бы скомпроментированы лично ваши данные только потому, что 40к — фигня какая-то, что их предупреждать-то?


вы сейчас несете бред, совершенно оторванный от реальности
есть статистика посещений госуслуг?
откуда уверенность, что объемы посещений наоборот не выросли?

По-моему, это у вас бред. По-вашему, узнав об уязвимости, все ринулись срочно сливать свои данные? Я даже представить не могу как такое в голову может прийти…


по роду деятельности довольно часто приходится дозваниваться голосом до самых разных ведомств-министерств-госструктур любого уровня, в том числе и с ит-шниками госуслуг пересекался.
как правило, в полчаса поиска контактов/звонков я укладываюсь — добираюсь до реального человека и нужный вопрос решаю с требуемой оперативностью

Ну, вот вы узнали об уязвимости. Узнали, что госуслуги не отреагировали. Отчего же взяли, да и не позвонили им, раз для вас это так просто?

Всё, что мы знали на тот момент

внезапно ощущение что пишет сотрудник ДрВеба
это (не)знание их(вас) не оправдывает в любом случае

Это больше, чем ноль.

хабраэффект не слышали?
да каждый третий прочитавший тут — пошел проверить (вот я поднял виртуалку и пошел), а кто-то решил что носкрипта достаточно и тоже пошел

все ринулись срочно сливать свои данные

пока данных о посещаемости нет, судить о «спасении», оперируя субъективными фантазиями как минимум странно
вы изначально с неверной стороны рассматриваете вопрос публичного раскрытия уязвимости.
если НЕ раскрывать = всё работает по-прежнему (до фикса), т.е. данные не сливаются
если раскрыть = есть ненулевой риск привлечь внимание злоумышленников = спровоцировать активацию «закладки»

Отчего же взяли, да и не позвонили им

ну во-первых, время уже было упущено, с момента публикации статьи до моего комментария в ней прошло 20 часов, я не отслеживаю хабр настолько уж плотно, а ДрВеб разрешения на публикацию статьи у меня не спрашивал
во-вторых, давайте не будем сваливать с больной головы на здоровую
и в третьих, зачем лично мне подставляться под чужой фейл? — репутация белки-истерички ещё никому пользы не принесла, а статья именно в таком духе и выдержана
внезапно ощущение что пишет сотрудник ДрВеба

Это у вас ложное ощущение. Имеется в виду на момент публикации дрвебом.


хабраэффект не слышали?

Ээээ? При чём здесь хабраэффект? А, понял, вы считаете читателей хабра полными дебилами. По-моему, вы ошибаетесь.


да каждый третий прочитавший тут — пошел проверить

Вы правда считаете, что они все пошли и залогинились??


вот я поднял виртуалку и пошел

И залогинились?!? Вы знаете, в этом случае у меня для вас плохие новости — похоже, вы — идиот ;)


пока данных о посещаемости нет, судить о «спасении», оперируя субъективными фантазиями как минимум странно

При чём здесь посещаемость? Люди не идиоты. Я как раз хотел посетить госуслуги, но благодаря предупреждению отложил это мероприятие и предохранился от возможной компроментации своих данных. Если бы дрвебы скрыли опасность для пользователя, поступили по вашему гнусному сценарию, я попал бы под атаку. Очевидно, что вы ни чем не лучше злоумышленников — зная об опасности для пользователя не предупредили их.


если НЕ раскрывать = всё работает по-прежнему (до фикса), т.е. данные не сливаются

Откуда известно, что данные не сливаются? Повторяю, известно лишь, что скрипты не откликались на запросы с апишников антивирусников. Я бы строил систему именно так.


во-первых, время уже было упущено

Размеется. Ни каких сомнений в этом и не было. Вопрос был риторическим. Вы прекрасно всё подтвердили.


в третьих, зачем лично мне подставляться под чужой фейл? — репутация белки-истерички ещё никому пользы не принесла

:) истеричкой показали себя тут только вы. И ещё пиарщиком-балаболом. То, что для вас вопрос "репутации", для окружающих — защита достаточно важных персональных данных.

вы считаете читателей хабра полными дебилами

похоже, вы — идиот

Очевидно, что вы ни чем не лучше злоумышленников

истеричкой показали себя тут только вы. И ещё пиарщиком-балаболом

какой-то информации для обсуждения в ответе я не увидел, только оскорбления
считаю дискуссию бессмысленной, опускаться до вашего уровня мне воспитание не позволяет
пожалуй, можно было закончить уже на комментарии «Муахаха!»
собственно, за что минус?
или минусует ДрВеб потому, что ответить нечего?

один вопрос к ДрВеб все еще открыт (и заминусован):
imm 14 июля 2017 в 15:35 –1
канал отправки сообщения?
сообщение было одно или несколько?
дополню, что интерес не праздный — не только у госуслуг есть внешние критичные сервисы
ух, как оперативно всем моим комментариям налепили минусов добрые молчаливые анонимусы
прямо удивительно, что комментарии с критикой ДрВеба минусуются, чудеса!

Вот чорт, а я так хотел узнать залогинился ли специалист по безопасности на госуслугах, войдя туда с "чистой" виртуалки :)
Что касается минусов (нет, это не я, я в эти игры не играю) могу предположить, что люди не считают страусинную позицию сколько-нибудь хорошим решением какой бы то ни было проблемы.

Полностью поддерживаю, проломить защиту тех. поддержки от поступления информации о проблеме лично мне удалось выйдя на уровень двух министров РФ =)
Кстати страницы на которых присутствует описанная проблема все на одну тему, имея инфу о том кто заказал услугу можно смело заниматься отжимом денег
Сутки это маловато как-то.

Статья опубликована:
вчера в 18:12

То есть вы вчера вечером, когда все ответственные работники уже ушли, отправили письмо. Даже в оптимистичном сценарии, пока его с утра прочитают, пока доложат куда надо, пока назначат и проведут совещание, пока оформят все что надо, пока сделают изменения, скорее всего пройдет несколько дней. Поэтому прибегать к публичному информированию об угрозе «в связи с отсутствием реакции со стороны администрации сайта», да еще и в виде «мы вынуждены», как-то сильно притянуто за уши.
Вообще еще вчера вечером стали появляться новости, об этом эпике, в интернет сми с пометкой, что уже как сказал источник меры принимаются и так далее в подобном ключе.
Пошли сегодня вирусы оттуда. 13 часов 41 проверил
Шпионаж за пользователями, примерно так.
Вот с другого ресурса, будто бы статистика но не так.
Если бы так было было бы то антивирусы бы не кричали.

location.protocol=='https:'…
gt.setAttribute('defer','defer'); gt.src=l+'://gaee.hit.gemius.pl/xgemius.js';
Спасибо за информацию. Очень неприятная новость
Зависание на слабых компах при входе в личный кабинет это оно, признак заражения?
Сейчас точно нет, т.к. пофикшено. Но вообще, именно этот айфрейм особо не подвешивал на тот момент, что мы его смотрели.
UFO just landed and posted this here
А там разве не всегда так?
Это уже к аудиту вопрос, пускай выясняют, как это туда попало — взлом, не взлом…
Sign up to leave a comment.