Pull to refresh

Comments 62

Боюсь, если бы вы написали это еще в мае 2009, вероятно вас бы вынесло НЛО с хабра.
А так, очень интересная история.
Спасибо, но и на данный момент пост скорее унес, чем принес :)
И НЛО было бы не право. Если разработчик не просматривает сообщения об ошибках и уязвимостях, это его вина.
Согласен с вами. Это я чисто логически мыслю, судя по политике ресурса.
Это закрытая и больная тема, поэтому ее особо здесь не «помусолишь».
а скажите, время на рассмотрение жалобы разрабам дать надо? Автор же начал гадить уже после обеда — дня не прошло! По хорошему, хотя бы несколько дней надо было дать!
Видимо, я невнимательно читал (спросонья, наверное). У меня почему-то сложилось впечатление, что история развивалась на протяжении пары недель. =)
«На рассмотрение жалобы»? Ну да, комиссию пусть соберут, посовещаются, решат что же делать и насколько это опасно, назначат ответственного, подготовят пресс-релиз… закрыть JS в профиле — это ж проблема-то какая, неожиданная и сложноустранимая, а неоднозначная какая.

Утром зарелизили новую кадабру, должны были сидеть с ушками на макушках. Днем я нашел косяк, воспользовался специальной формой, дал час-два на раскачку — по-моему всего этого более чем достаточно, реакции никакой. Я полез вглубь.
возможно, вы ведущий разработчик и знаете больше меня (я не разраб), но два часа на ликвидацию бреши — это маловато, по-моему. Вообще, неплохо было бы поинтересоваться у общественности, что они об этом думают. Сделаете голосовалку?
Я просто ссылался на информацию о закрытии брешей уязвимости в различных программных продуктах. Даже с учётом свежего перезапуска проекта меньше суток — это слишком мало. Такое впечатление, что у вас свербило.
Я бы согласился, если бы разговор шел об автообновляемом приложении, к которому нужно патч написать, да разослать всем. Или если бы разговор шел о просто сайте, который просто работает, и у людей есть свои какие-то задачи. Но после запуска нового проекта не отреагировать за пару часов на достаточно серьезную уязвимость, на которую и реагировать-то не сложно — это именно промах. Причем, очевидно, что промах именно во внимании к письмам об уязвимостях. И я скажу даже больше, ведь автокадабру писали не с нуля, а в старой кадабре или на хабре эта проблема успешно решена, т. е. по-хорошему вообще попросту недоглядели.

Опрос можете сами сделать, только ситуацию поконкретнее опишите.
Ну а свербило — да, было очень интересно.
Аналогичная уязвимость была на «Станции 2.0». Перехватил несколько сессий, потом сообщил администрации. Ситуация была воспринята с юмором, дыру закрыли.
Вообще, XSS — штука не такая уж и безобидная (например, XSS может превратиться в CSRF).
У меня была тоже похожая ситуация (sql_injection)
interplus.ua/ua/forum/login/

Писал в саппорт — ноль на массу. Обидно даже, хотел помочь а они не замечают. Дыра висит уже несколько лет. Так же как и автор ничего не трогал, просто зашел и обрадовался.

id редактора — 3
Может я подзабыл о SQL инъекциях, но доступа никакого не даёт — лишь выводит ошибку «Internal Server Error».
видимо подзабыли.
Подсказываю.
… OR id=3…
Дальше сами. пароль любой.
Я так и делал. Лень уже разбираться но помню что на любой запрос, в котором одиночные кавычки вылетает ошибка и дело не продвигается. Хотя может они там написали что-то в духе «SELECT * FROM users WHERE name=$name AND pass=$pass» и кавычки я вообще зря ставил.
Понял в чём проблемы были, пытался закомментировать остаток строки через два минуса и оно не работало.
panas, Nataliya, ага.

Надо бы свои старые проекты проверить — чем черт не шутит…
Ну, про AVP ты все-таки загнул. Он, конечно, крут, но всё-таки не настолько, чтобы написать тысячи постов.

Помню еще историю с тем, как кто-то накручивал НЕ себе карму, вешая «картинки» с адресами голосования.
Возможно сотни, но я точно помню, что цифры меня тогда поразили. Хоть они и были в общем доступе.
Смотра популярный, или Драйв2 :)
Смотра:D нам такое не по карману:-)а Драйв2 да, хорош
расскажите про них
Автокадабра. Хэх. Хороший был сайт. aLexusPro я крослинк поставил на кадабре на этот пост.
Ты только там скажи, чтобы всю карму мне сыпали :-)
Карму да :))))
Ну хочешь сам опубликуй, я удалю пост.
ну почему был, и сейчас довольно неплохие материалы появляются.
Родик это же ты? Раньше было намного лучше. А сейчас мало осталось адекватных людей.
Сейчас ему запорожец салатовый и припомнят :)
Точно помню, еще год назад на кадабре уже была какая-то муть с PHPSESSID, кажется тогда решили что это параноя и трудно реализуемо. И да — всем привет ;)
Надо было развить ситуацию до состояния «доступ по ssh» и самому поправить багу.
Вот это была бы история, а то через саппорт несолидно :)
А заодно надо было зачислить себя в штат и торжественно прибыть за зарплатой :)
кто считает, что в хорошо упакованном на деньги лоха-инвестора офисе модного стартапа кому-то интересно читать обращения в саппорт, вместо того, чтобы продуктивно обсуждать гениальные идеи будущего, опустошать кофе-машину, играть в пинг-понг или плейстейшен или креативно самовыражаться — поднимите руки
значит, так и должно быть, победитель всегда прав
убила фраза: «А главное — я ж не хацкер, но даже я провернул всё это без труда!»

и кто ты после этого? балерина?
извините, если слишком жестко, но я просто обязан был вернуть вас на землю; Кевин Митник тоже, наверняка, думал, что он просто балуется
UFO just landed and posted this here
Он то мог бы и дать время, как мне кажется.
Но не факт что он один бы до этого додумался с неизвестно какими последствиями…
UFO just landed and posted this here
Большие конторы — как динозавры. Пока по шарам лопатой не заедешь, не реагируют. А уязвимость действительно критическая и кто-нибудь другой может оказаться не таким «добрым». Надо тормозить сайт, отключать уязвимый функционал и чинить.
UFO just landed and posted this here
Поэтому да — лучше сразу по шарам лопатой, все повайпать, везде напакостить. Авось в следующий раз быстрее реагировать будут.

Еще в сенятбре прошлого года на одном из проектов здесь отрекламированных нашли подобную багу с исполнением js и прочими фичами. В феврале об этой баге узнал я и еще чертова гибель человек. Вот после этого ее пофиксили за 3 дня, до этого 4 месяца лень было.
UFO just landed and posted this here
Да закрыли уже ту уязвимость, закрыли! Год уже почти прошел, успокойтесь ;-))
в плену хабрааффэкта))
Кстати еще не так давно инвайтов не было, опять же подтянулось несколько человек которые все испортили, вот теперь там инвайты есть. А по-скольку механика там почти как на хабре, логично было бы инвайты еще очень давно ввести. Хотя да, аудитория там в разы меньше.
Механика там была как на хабре, а сейчас там фактически анархия. Плюсики только выводят пост на главную или скрывают комментарий. Кармы нет, блогов нет, саморегулироваться стало нечем, вот и пришлось ввести регистрацию, как я понимаю.
почту бросьте в личку, я дам вам инвайт
Пару дней назад написал сервис, который проверяет наличие XSS уязвимостей на сайте. Сейчас тестирую на известных сайтах. О найшенных дырах сообщаю разработчикам. Чаще всего мои письма просто игнорируют, очень редко отвечают «спасибо». Чуть более часто получаю что-то вроде этого
If you can't be more specific, we can't be bothered to care. Your email sounds suspiciously like unsolicited commercial email (spam) and has been reported to google as such. Have fun peddling your scareware someplace else :)

Вот так у них (да и у нас) относятся к безопасности…
я уже почти не читал кадабру тогда. Это когда у блондинко рейтинг стал расти до небес, или я что-то путаю? :)

а вообще, старая кадабра — с Блондинко и Петровичсем — лучше была :)
Пользуясь случаем передаю привет с лфс.ру :)
а я вот как-то нашел xss на башорге. только после этого ступил и вместо написания админам написал в жж-комьюнити. закрыли таки за полчаса.
Еще сутки назад я думал, что получить +249 может разве что Бумбурум, да и тому надо постараться. После публикации долго сидел на стреме и ждал, что если карма упадет на -3 или пост до -5, то закрою всё это.

А сейчас просто поражен откликом.
Всем спасибо!
Уже 265 :), Бумбурум далеко позади.
А что самое клевое — 3х людей, нашедших, баг на хабре просто забанили и еще сказали, что при встрече набьют лицо. Вот такие создатели. Я тут понимаю Йована.
Я около тысячи лет назад писал в поддержку хабра.
Несколько дней назад косяк был, если пока читаешь топик период голосования истекает, при нажатии на стрелочки/прочерк вылазит сообщение об ошибке голосования. А чтобы узнать, чисто из любопытства, сколько за топик наголосовано, нужно страницу перезагружать. Мелочь, а не приятно.
Еще был косяк, в результатах поиска были стрелочки голосования, но они не голосовались. Тоже долго не фиксили, сказали, что их вообще не должно быть там, уберут мол. Сейчас проверил — они работают.
Only those users with full accounts are able to leave comments. Log in, please.