Это лишь в первом приближении. Тот же GitHub абсолютно адекватен и всегда быстро отвечал (у него, впрочем, и программа Bug Bounty есть). На скорость реакции Travis и npm я тоже пожаловаться не могу, с трависом просто контактный емейл был запрятан, а дальше всё хорошо.
А вот самый трешак из последнего был с некрупной компанией, которая занимается то ли разработкой/поддержкой софта, то ли чем-то близким к этому.
Хотя, к слову, я вообще не понимаю версии банка. Чем именно он их шантажировал? Я так понимаю, что детали уязвимости он сообщил им сразу.
Публикацией, что ли? Так публикация после исправления — это нормально, выплата вознаграждения её не отменяет, вообще-то, в нормальной ситуации. Она нужна в том числе для того, чтобы другие на те же грабли не наступали, а компании — чтобы уведомить клиентов и показать им, как хорошо и быстро компания реагирует на проблемы.
На коммуникацию обычно времени тратится гораздо больше, чем на поиск самой уязвимости, как бы не хотелось обратного.
Это если под коммуникацией считать попытки связаться, общение с компанией, публикацию статьи. Хотя компания могла бы и не вставлять палки в колёса и минимизировать первые два, как минимум, а на последнее я почти всегда просто забиваю, к моему стыду — если это не что-то важное, что явно может затронуть других людей даже после исправления.
Например, на Travis у меня ушло в два раза больше времени только на попытки связаться, чем на собственно поиск дыры — около часа и около двух соответственно. Это ещё без второй затронутой компании, без последующей переписки с перепроверкой исправлений и без времени на написание текста.
C npm история ещё веселее — я до сих пор трачу время на разгребание этого.
Причём это ещё относительно нормальные ситуации — Travis после того, как я нашёл нужный контакт, были довольно приятны в общении и всё было достаточно хорошо.
Были и такие случаи, когда служба поддержки активно не хотела выдавать нужный контакт и проверять, что письмо дошло, удивлялась моей почте на gmail и вообще хотела, чтобы я как-то доказал, что не верблюд. Но они мелки и неинтересны, так что тыкать пальцем не буду. Хотя, возможно, как-нибудь скомпоную эту переписку в один большой текст (она в нескольких нитях), обезличу, и выложу с пометкой «как делать не надо».
При успешных попытках коммуникации, очевидно, публикацию нормально делать сразу по исправлению или по получению заверений, что это не баг и так и надо. Желательно — синхронизировать с публикацией самой компании, которая, конечно же, тоже должна её делать, для оповещения своих клиентов (только чую я, этого никогда не будет в случае банков). Это не зависит от наличия или отсутствия программы bug bounty.
При неуспешных — в данном случае, да, я считал бы правильным попытаться потратить на это несколько часов. Ну два-три, допустим. Или по-крайней мере написать второе письмо и позвонить в поддержку, узнав, рабочий этот ящик вообще или его никто не смотрит. С освещением этого факта в публикации, если на это действительно ушло слишком много времени. Но не пять минут, не ответили, чёрт с ними.
Знаете, а вот это очень круто. Возможно даже, я был неправ и оно того стоило.
Но, даже учитывая это, я бы всё равно не стал публиковать через три дня отсутствия ответа, но ваше поведение в итоге привело к положительному результату.
Например, появился ECMAScript 2015 с const/let и стрелочными функциями. ESLint круто линтит код. IE9 и встроенный андроид браузер 4.3 (не путать с хромом на андроиде 4.3) умерли, штатные вебсокеты поддерживается всем. Использования jQuery для тривиальных операций не особо-то и нужно уже давно. =).
И да — не в обиду автору, а улучшения ситуации для.
В целом такие статьи с простыми примерами нужны, да.
Что? Это https://npmjs.com/http, зачем он вам? Это пустой пакет, с одной версией 0.0.0, опубликованной три года назад.
В Node.js есть встроенный модуль http, скорее всего, вы хотели его. Ваша ссылка, кстати, на https://npmjs.com/http-server ведёт почему-то.
И да, как выше сказали — прописывайте зависимости в package.json.
node-modules
node_modules
Вы скачаете архив, и оттуда вы должны достать файл «socket.io.js» и перекинуть в папку с проектом.
Нет-нет-нет-нет. Не надо так делать. Используйте менеджеры зависимостей, например npm или bower — клиентские библиотеки тоже тяните оттуда, тогда они и у вас в репозитории валяться не будут, и обновлять проще, и сразу будет поднятно, какая версия чего.
Для изменения значения textarea? Серьёзно? И нет, не надо так тоже делать — если оно действительно нужно, поставьте зависимостью, не стоит со стороннего CDN тянуть. Помним про videojs.
И, самое главное — зачем socket.io? Почему нельзя было ограничиться штатными вебсокетами?
Ну распакуйте пакет с Vivaldi и сделайте греп на google-analytics (с вариациями). Или архив исходников.
Он там явно есть в нескольких местах, но чем занимается и для чего — не вникал, поэтому спросил.
Если бы секурбут нужен был для защиты пользователя, а не от пользователя, то у пользователя была бы возможность его отключить, всегда, на всех устройствах.
Или не включать вообще из коробки (в зависимости от типа устройства) — всё равно смысла от него без ограничения доступа к настройкам UEFI нет никакого.
Больше того, «защита пользователя» в текущем виде слепо верит всему, что подписала третья сторона в лице МС. Даже флаг за паролем в настройках UEFI, который просто блокирует любые изменения загрузчика (сверкой подписи) был бы лучше с точки зрения безопасности пользователя.
Он делает ровно то же самое, что скрипт со страницы банка.
Нет. Этот скрипт был запущен на стороннем сайте (предположительно, автора) и автор предлагал вводить туда свои номера карт, которые передавались ему на сервер, причём по незашифрованному каналу. Плохо именно это, а не сам факт написания и выкладывания кода скрипта.
Но автор уже это исправил и ссылку на сайт с формой ввода своего номера карты убрал, правда, не сразу.
Про номера — в изначальной версии статьи тут была ссылка на сайт, где был выложен и работал пхп-скрипт топикстартера.
Там предлагалось ввести полный номер (своей?) карты и проверить, работает ли определение суммы на ней.
Причём вся передача данных шла по незашифрованному http.
Но это же тоже люди =). И на ваши письма у них там люди отвечают.
Если бы речь шла про интернет-магазин «Кройки и шитья», я бы никогда не встал на сторону топикстартера.
Это очень радует, кстати. Но в вашей классификации выше вы про это ничего не указали, и я думал, что вы её ко всему относите.
Я и говорю, что их надо пинать, нагибать и чморить.
Без предыстории всё-таки не стоит заранее делать выводы, тем более что автор к этому банку, вроде, изначально хорошо относился. Стоит оценивать только потенциальную пользу/вред, причём тот факт, что это банк, для меня бы эту оценку не сдвинул так сильно, чтобы публиковать детали неисправленной уязвимости через три дня и одно письмо.
С другой стороны, например, http://adios-hola.org/ я полностью поддерживаю — вот их надо «чморить». Это ребята, у которых бизнес-модель — ботнет, плюс жутко дырявый. При этом они врут пользователям и до скандала вообще не писали нигде, что продают трафик через компьютеры пользователей. Вот эту штуку никак реально не исправить, и единственное, что можно сделать — активно предостерегать всех от её использования, вообще.
Представители банка уже: прислали дискутировать какого-то недотепу и выложили не то письмо.
Согласились, но на момент диалога выше это было неясно.
Представители банка уже: прислали дискутировать какого-то недотепу и выложили не то письмо. То, что письмо не то, было понятно сразу: автор того не стал бы писать о нем на хабр в таком тоне ни при каких обстоятельствах.
Вы, вот, тоже посылаете противоречивые сигналы — из одних сообщений кажется, что вы разочаровались в людях, из других — что нет =).
мои поверхностные знания о банках (вы можете прощелкать до моего профиля в SO и посмотреть, где я работаю) говорят об обратном.
Эх. Я, к сожалению, примерно представляю, что в банках происходит, да. Но я видел и ещё менее адекватную реакцию, но это всегда в конце концов заканчивалось более или менее нормально.
Это лишь в первом приближении. Тот же GitHub абсолютно адекватен и всегда быстро отвечал (у него, впрочем, и программа Bug Bounty есть). На скорость реакции Travis и npm я тоже пожаловаться не могу, с трависом просто контактный емейл был запрятан, а дальше всё хорошо.
А вот самый трешак из последнего был с некрупной компанией, которая занимается то ли разработкой/поддержкой софта, то ли чем-то близким к этому.
Но банки это отдельная песня, да.
Хотя, к слову, я вообще не понимаю версии банка. Чем именно он их шантажировал? Я так понимаю, что детали уязвимости он сообщил им сразу.
Публикацией, что ли? Так публикация после исправления — это нормально, выплата вознаграждения её не отменяет, вообще-то, в нормальной ситуации. Она нужна в том числе для того, чтобы другие на те же грабли не наступали, а компании — чтобы уведомить клиентов и показать им, как хорошо и быстро компания реагирует на проблемы.
На коммуникацию обычно времени тратится гораздо больше, чем на поиск самой уязвимости, как бы не хотелось обратного.
Это если под коммуникацией считать попытки связаться, общение с компанией, публикацию статьи. Хотя компания могла бы и не вставлять палки в колёса и минимизировать первые два, как минимум, а на последнее я почти всегда просто забиваю, к моему стыду — если это не что-то важное, что явно может затронуть других людей даже после исправления.
Например, на Travis у меня ушло в два раза больше времени только на попытки связаться, чем на собственно поиск дыры — около часа и около двух соответственно. Это ещё без второй затронутой компании, без последующей переписки с перепроверкой исправлений и без времени на написание текста.
C npm история ещё веселее — я до сих пор трачу время на разгребание этого.
Причём это ещё относительно нормальные ситуации — Travis после того, как я нашёл нужный контакт, были довольно приятны в общении и всё было достаточно хорошо.
Были и такие случаи, когда служба поддержки активно не хотела выдавать нужный контакт и проверять, что письмо дошло, удивлялась моей почте на gmail и вообще хотела, чтобы я как-то доказал, что не верблюд. Но они мелки и неинтересны, так что тыкать пальцем не буду. Хотя, возможно, как-нибудь скомпоную эту переписку в один большой текст (она в нескольких нитях), обезличу, и выложу с пометкой «как делать не надо».
Ну, кто-то из них должен выложить переписку, раз такое дело.
@mrEisenberg, это правда?
Трешак какой-то вся эта ситуация, касательно ответов и поведения банка.
Смотрите.
При успешных попытках коммуникации, очевидно, публикацию нормально делать сразу по исправлению или по получению заверений, что это не баг и так и надо. Желательно — синхронизировать с публикацией самой компании, которая, конечно же, тоже должна её делать, для оповещения своих клиентов (только чую я, этого никогда не будет в случае банков). Это не зависит от наличия или отсутствия программы bug bounty.
При неуспешных — в данном случае, да, я считал бы правильным попытаться потратить на это несколько часов. Ну два-три, допустим. Или по-крайней мере написать второе письмо и позвонить в поддержку, узнав, рабочий этот ящик вообще или его никто не смотрит. С освещением этого факта в публикации, если на это действительно ушло слишком много времени. Но не пять минут, не ответили, чёрт с ними.
А они заплатили? Можно ссылку, я не нашёл.
А где скриншоты с
glitter? В оригинале были.В моём мире будущего нет ДВС, а в вашем?
Знаете, а вот это очень круто. Возможно даже, я был неправ и оно того стоило.
Но, даже учитывая это, я бы всё равно не стал публиковать через три дня отсутствия ответа, но ваше поведение в итоге привело к положительному результату.
Добавите в новость, кстати?
Совсем забыл:
Например, появился ECMAScript 2015 с const/let и стрелочными функциями. ESLint круто линтит код. IE9 и встроенный андроид браузер 4.3 (не путать с хромом на андроиде 4.3) умерли, штатные вебсокеты поддерживается всем. Использования jQuery для тривиальных операций не особо-то и нужно уже давно. =).
И да — не в обиду автору, а улучшения ситуации для.
В целом такие статьи с простыми примерами нужны, да.
Что? Это https://npmjs.com/http, зачем он вам? Это пустой пакет, с одной версией
0.0.0, опубликованной три года назад.В Node.js есть встроенный модуль
http, скорее всего, вы хотели его. Ваша ссылка, кстати, на https://npmjs.com/http-server ведёт почему-то.И да, как выше сказали — прописывайте зависимости в
package.json.node_modulesНет-нет-нет-нет. Не надо так делать. Используйте менеджеры зависимостей, например
npmилиbower— клиентские библиотеки тоже тяните оттуда, тогда они и у вас в репозитории валяться не будут, и обновлять проще, и сразу будет поднятно, какая версия чего.Для изменения значения
textarea? Серьёзно? И нет, не надо так тоже делать — если оно действительно нужно, поставьте зависимостью, не стоит со стороннего CDN тянуть. Помним про videojs.И, самое главное — зачем
socket.io? Почему нельзя было ограничиться штатными вебсокетами?Ну распакуйте пакет с Vivaldi и сделайте греп на
google-analytics(с вариациями). Или архив исходников.Он там явно есть в нескольких местах, но чем занимается и для чего — не вникал, поэтому спросил.
Если бы секурбут нужен был для защиты пользователя, а не от пользователя, то у пользователя была бы возможность его отключить, всегда, на всех устройствах.
Или не включать вообще из коробки (в зависимости от типа устройства) — всё равно смысла от него без ограничения доступа к настройкам UEFI нет никакого.
Больше того, «защита пользователя» в текущем виде слепо верит всему, что подписала третья сторона в лице МС. Даже флаг за паролем в настройках UEFI, который просто блокирует любые изменения загрузчика (сверкой подписи) был бы лучше с точки зрения безопасности пользователя.
Нет. Этот скрипт был запущен на стороннем сайте (предположительно, автора) и автор предлагал вводить туда свои номера карт, которые передавались ему на сервер, причём по незашифрованному каналу. Плохо именно это, а не сам факт написания и выкладывания кода скрипта.
Но автор уже это исправил и ссылку на сайт с формой ввода своего номера карты убрал, правда, не сразу.
Про номера — в изначальной версии статьи тут была ссылка на сайт, где был выложен и работал пхп-скрипт топикстартера.
Там предлагалось ввести полный номер (своей?) карты и проверить, работает ли определение суммы на ней.
Причём вся передача данных шла по незашифрованному http.
Я лично в шоке.
Но это же тоже люди =). И на ваши письма у них там люди отвечают.
Это очень радует, кстати. Но в вашей классификации выше вы про это ничего не указали, и я думал, что вы её ко всему относите.
Без предыстории всё-таки не стоит заранее делать выводы, тем более что автор к этому банку, вроде, изначально хорошо относился. Стоит оценивать только потенциальную пользу/вред, причём тот факт, что это банк, для меня бы эту оценку не сдвинул так сильно, чтобы публиковать детали неисправленной уязвимости через три дня и одно письмо.
С другой стороны, например, http://adios-hola.org/ я полностью поддерживаю — вот их надо «чморить». Это ребята, у которых бизнес-модель — ботнет, плюс жутко дырявый. При этом они врут пользователям и до скандала вообще не писали нигде, что продают трафик через компьютеры пользователей. Вот эту штуку никак реально не исправить, и единственное, что можно сделать — активно предостерегать всех от её использования, вообще.
Согласились, но на момент диалога выше это было неясно.
Вы, вот, тоже посылаете противоречивые сигналы — из одних сообщений кажется, что вы разочаровались в людях, из других — что нет =).
Эх. Я, к сожалению, примерно представляю, что в банках происходит, да. Но я видел и ещё менее адекватную реакцию, но это всегда в конце концов заканчивалось более или менее нормально.
Там, кстати, детали опубликованы — и это открытый редирект куда угодно, который там уже почти шесть месяцев висит.
@KovVlad, прокомментируете?