Имя бакета — «tabiq». Просто имя сервиса. Ни рандомного суффикса, ни IAM-политик, ни даже Block Public Access — ничего. И это 2026 год, после всех историй с утечками S3. Больше всего убивает фраза «не знают, как хранилище стало общедоступным». AWS буквально показывает оранжевое предупреждение когда делаешь бакет публичным, надо специально отключить защиту. То есть кто-то сознательно снял все предохранители и залил туда миллион паспортов. Проблема в том что таких «tabiq» — тысячи. Просто большинство ещё не нашли
Фрилансеры годами подтягивают шрифты из открытых источников, тут ещё и вайбкодинг появился) Ох, сколько же сейчас открытых .env, нулевых headers, поддомены... А главное — мало кто делает приёмку перед сдачей клиенту: ни по юридической части (как автор показал), ни по безопасности. Детектор шрифтов — отличный инструмент, жаль нет инструмента для всего подряд... Да ещё бы заказчику объяснить ёмко надо — весёлое времячко то у нас.
Это вам стоит выделить благодарство, ведь вы абсолютно правы, я был на 100 процентов уверен в инструменте, надо было перепроверить, (моя не осмотрительность) вручную посмотрев, try_files отдаёт index.html на любой несуществующий путь, реальных .map файлов в сборке нет. Мой инструмент ориентировался только на HTTP 200, не проверяя Content-Type и тело ответа — классический false positive на SPA fallback.
Уже пофиксил логику: теперь валидирует Content-Type ≠ text/html, JSON-структуру и наличие "version":3 перед тем как флагнуть. Так что спасибо!
Крутой проект, 10 нод и 60 МБ RAM — звучит чисто. Из любопытства глянул vantagedns.com — заголовки безопасности все на месте, HSTS, X-Frame-Options, CSP — приятно видеть. Единственное — source map открыт (_nuxt/*.js.map), раскрывает исходники Nuxt-приложения. Для landing page не критично, но закрыть в nginx одной строчкой можно. В остальном — видно что человек не просто DNS пишет, а и вокруг тоже всё закрыто.
Имя бакета — «tabiq». Просто имя сервиса. Ни рандомного суффикса, ни IAM-политик, ни даже Block Public Access — ничего. И это 2026 год, после всех историй с утечками S3. Больше всего убивает фраза «не знают, как хранилище стало общедоступным». AWS буквально показывает оранжевое предупреждение когда делаешь бакет публичным, надо специально отключить защиту. То есть кто-то сознательно снял все предохранители и залил туда миллион паспортов. Проблема в том что таких «tabiq» — тысячи. Просто большинство ещё не нашли
Фрилансеры годами подтягивают шрифты из открытых источников, тут ещё и вайбкодинг появился) Ох, сколько же сейчас открытых .env, нулевых headers, поддомены... А главное — мало кто делает приёмку перед сдачей клиенту: ни по юридической части (как автор показал), ни по безопасности. Детектор шрифтов — отличный инструмент, жаль нет инструмента для всего подряд... Да ещё бы заказчику объяснить ёмко надо — весёлое времячко то у нас.
Это вам стоит выделить благодарство, ведь вы абсолютно правы, я был на 100 процентов уверен в инструменте, надо было перепроверить, (моя не осмотрительность) вручную посмотрев,
try_filesотдаётindex.htmlна любой несуществующий путь, реальных.mapфайлов в сборке нет. Мой инструмент ориентировался только на HTTP 200, не проверяя Content-Type и тело ответа — классический false positive на SPA fallback.Уже пофиксил логику: теперь валидирует Content-Type ≠
text/html, JSON-структуру и наличие"version":3перед тем как флагнуть. Так что спасибо!P.S. Пересканировал vantagedns.com — 100/100, чисто.
Крутой проект, 10 нод и 60 МБ RAM — звучит чисто. Из любопытства глянул vantagedns.com — заголовки безопасности все на месте, HSTS, X-Frame-Options, CSP — приятно видеть. Единственное — source map открыт (
_nuxt/*.js.map), раскрывает исходники Nuxt-приложения. Для landing page не критично, но закрыть в nginx одной строчкой можно. В остальном — видно что человек не просто DNS пишет, а и вокруг тоже всё закрыто.