Я бы не сказал, что они ведут с нами здесь конструктивный диалог и действительно отвечают на вопросы. Кроме базовых стандартных скопипастченных отписок мы тут особо ничего больше не увидели ¯\_(ツ)_/¯
Не употребляю я наркотики, короче говоря. И уж тем более ими не торгую. Возможно, для вас это будет новостью, но при достаточном применении спецсредств, вы и сами хоть в убийстве Кеннеди признаетесь, хоть в чём угодно ещё.
Если действительно интересно, то вот, где можно об этом почитать:
Какая-то шарага, которой место в Википедии в статье с заголовком "мутная контора". Чем дальше читаю комментарии, тем больше в этом убеждаюсь. Выглядит, как коррупция.
С компаниями уровня FAANG таких проблем не было. Всегда все очень четко, прозрачно и никогда не было никакой недосказанности или мошенничества. По крайней мере, в моем опыте.
Я думаю, будут старательно изображать, что ничего не произошло и тупо игнорировать. Такой вот damage control по-советски, примерно как с Чернобылем. Сбербанк ж, всё же.
Как говорится, «петух не клюнет — пастух не плюнет» (С)
Сделаю важную ремарку, это будет работать не во всех браузерах. Например, Safari по-умолчанию запрещают передачу third party cookie. А вот в Google Chrome пока ситуация обратная и для всех Chromium-браузеров уязвимость ЮМани была вполне себе эксплуатируемой без каких-либо доп. манипуляций со стороны пользователя.
Если сервер A говорит в ответе на Preflight-запрос с нашего домена example.xyz что-то вроде "дорогой example.xyz, я принимаю от тебя запросы и ты можешь сопровождать их данными для авторизации", то никакой проблемы в этом нет. Браузер по-умолчанию сопроводит такой запрос cookie, принадлежащими изначальному серверу A, потому что это было разрешено политиками CORS этого сервера.
Нам не нужен при этом прямой доступ к cookie, нам достаточно, что браузер их "положит" в отправляемый нами запрос сам.
Вообще не понял, каким боком моя политическая позиция имеет хоть какое-то отношение к обсуждаемой проблеме прозрачности платформы.
Вообще, речь не про то, о ком и что можно где-то прочитать, а о соотношении декларируемого с реальными действиями. Всё, что я когда-либо заявлял публично — полностью соответствует моим дальнейшим действиям. И взгляды мои вообще не секрет (в той же вики всё описано), и огребать я за них тоже готов, в случае необходимости. Но ни мои взгляды, ни моя личность не являются предметом дискуссии здесь — мы говорим о найденной уязвимости и конкретных действиях конкретных компаний.
И вот тут уже совсем другое дело. И оно напрямую касается площадки, которая декларирует себя как "независимый арбитр" и "прозрачная платформа". К ней большие вопросы, как минимум потому, что её действия явным образом расходятся с заявленными ранее приципами.
Прочитайте, пожалуйста, статью полностью. Потом можно задавать вопросы. Речь идет не про API, а про дырявый фронтенд, в которым некорректно настроен CORS, что позволяет использовать присвоенный ему cookie через cross-site и получать контент страницы фронтенда от имени авторизованного пользователя. А в контенте страницы содержится чувствительная информация и токены.
А в чем проблема? Из этого репутация и складывается, в общем-то. Есть конкретный кейс, есть показательное отношение площадки к этому кейсу, её действия. Есть публика, которая это всё соответствующе оценила. Или, скорее, не оценила.
А можно уточнить, в чем именно заключается репутация этой буквально никому не известной площадки? В лучшем случае, у них нет репутации никакой. В худшем — исключительно отрицательная. Да и выше уже выяснили, что связь прямая/косвенная между площадкой и компанией есть.
Что касается репутации компании и "невыгодности" — невыгодно отмалчиваться и скрываться за абстрактными неверифицируемыми формулировками. Сколько раз я репортил уже уязвимости различным компаниям уровня FAANG — ни разу ни у кого не было проблем ни с выплатами, ни с подтверждением того, что репорт действительно дублированный.
Что касается публикации — вы, по всей видимости, не прочитали статью полностью. Там неоднократно упомянуто, что ничего и нигде не публиковалось, пока уязвимость не была закрыта.
Так направлены против, что аж репорт им направил и подождал, пока исправят. Всё сходится, так и было.
Уточните, на всякий случай, какое отношение бизнес и документы имеют к описанным в статье действиям ЮМани и найденной уязвимости? На кого это рассчитано? Вы действительно думаете, что вы сейчас зайдете в комментарии, скажете "да у него бизнес в Канаде и паспорт Германии" и всё, это каким-то образом магически отменит уже состоявшиеся и описанные в статье факты? Да и с каких пор наличие паспортов/бизнеса/уголовных дел/домашних животных/иностранных гражданств хоть как-то характеризует автора статьи об уязвимости?
Для любопытствующих — паспорта Украины у меня никогда не было, хотя я, может, и не отказался бы. Обвинений у меня достаточно еще с времен борьбы с блокировками РКН, суммарно 4 или 5 уголовных дел, я уже не считаю, к тому же, ни по одному из них я так и не был осужден, не говоря уже о том, что сами уголовные дела были признаны политически-мотивированными чуть ли не десятком правозащитных организаций. Но даже это не имеет никакого значения, потому что это никак не относится к обсуждаемой здесь теме — наличию уязвимости и отсутствию прозрачности.
Я бы не сказал, что они ведут с нами здесь конструктивный диалог и действительно отвечают на вопросы. Кроме базовых стандартных скопипастченных отписок мы тут особо ничего больше не увидели ¯\_(ツ)_/¯
Карма в действии, видимо :D
Не знаю, насколько это действительно полезно, но последовал вашему совету, спасибо, опубликовал:
https://dtf.ru/u/1930427-aleksandr-litreev/3016847-kak-ya-obnaruzhil-problemy-u-yumani-sberbank-s-bezopasnostyu-i-ne-poluchil-deneg-za-naidennuyu-uyazvimost
Эта песня будет вечно, чёрт возьми :D
Не употребляю я наркотики, короче говоря. И уж тем более ими не торгую. Возможно, для вас это будет новостью, но при достаточном применении спецсредств, вы и сами хоть в убийстве Кеннеди признаетесь, хоть в чём угодно ещё.
Если действительно интересно, то вот, где можно об этом почитать:
Раз: https://www.cnet.com/culture/features/how-russia-has-spent-a-decade-crumbling-online-freedoms/
Два: https://www.svoboda.org/a/30815307.html
Да необязательно. В следующий раз её просто продадут кому-нибудь, кто более порядочный в вопросах оплаты, вот и всё.
Как говорится, I am always two steps ahead (C) :D
Какая-то шарага, которой место в Википедии в статье с заголовком "мутная контора". Чем дальше читаю комментарии, тем больше в этом убеждаюсь. Выглядит, как коррупция.
Ну да, просто имеется ввиду, что у пути к API такой проблемы нет. Только у пути к фронтенду.
С компаниями уровня FAANG таких проблем не было. Всегда все очень четко, прозрачно и никогда не было никакой недосказанности или мошенничества. По крайней мере, в моем опыте.
Я думаю, будут старательно изображать, что ничего не произошло и тупо игнорировать. Такой вот damage control по-советски, примерно как с Чернобылем. Сбербанк ж, всё же.
Как говорится, «петух не клюнет — пастух не плюнет» (С)
Сделаю важную ремарку, это будет работать не во всех браузерах. Например, Safari по-умолчанию запрещают передачу third party cookie. А вот в Google Chrome пока ситуация обратная и для всех Chromium-браузеров уязвимость ЮМани была вполне себе эксплуатируемой без каких-либо доп. манипуляций со стороны пользователя.
Если сервер A говорит в ответе на Preflight-запрос с нашего домена example.xyz что-то вроде "дорогой example.xyz, я принимаю от тебя запросы и ты можешь сопровождать их данными для авторизации", то никакой проблемы в этом нет. Браузер по-умолчанию сопроводит такой запрос cookie, принадлежащими изначальному серверу A, потому что это было разрешено политиками CORS этого сервера.
Нам не нужен при этом прямой доступ к cookie, нам достаточно, что браузер их "положит" в отправляемый нами запрос сам.
Вообще не понял, каким боком моя политическая позиция имеет хоть какое-то отношение к обсуждаемой проблеме прозрачности платформы.
Вообще, речь не про то, о ком и что можно где-то прочитать, а о соотношении декларируемого с реальными действиями. Всё, что я когда-либо заявлял публично — полностью соответствует моим дальнейшим действиям. И взгляды мои вообще не секрет (в той же вики всё описано), и огребать я за них тоже готов, в случае необходимости. Но ни мои взгляды, ни моя личность не являются предметом дискуссии здесь — мы говорим о найденной уязвимости и конкретных действиях конкретных компаний.
И вот тут уже совсем другое дело. И оно напрямую касается площадки, которая декларирует себя как "независимый арбитр" и "прозрачная платформа". К ней большие вопросы, как минимум потому, что её действия явным образом расходятся с заявленными ранее приципами.
Прочитайте, пожалуйста, статью полностью. Потом можно задавать вопросы. Речь идет не про API, а про дырявый фронтенд, в которым некорректно настроен CORS, что позволяет использовать присвоенный ему cookie через cross-site и получать контент страницы фронтенда от имени авторизованного пользователя. А в контенте страницы содержится чувствительная информация и токены.
В статье это все детально описано.
А в чем проблема? Из этого репутация и складывается, в общем-то. Есть конкретный кейс, есть показательное отношение площадки к этому кейсу, её действия. Есть публика, которая это всё соответствующе оценила. Или, скорее, не оценила.
А можно уточнить, в чем именно заключается репутация этой буквально никому не известной площадки? В лучшем случае, у них нет репутации никакой. В худшем — исключительно отрицательная. Да и выше уже выяснили, что связь прямая/косвенная между площадкой и компанией есть.
Что касается репутации компании и "невыгодности" — невыгодно отмалчиваться и скрываться за абстрактными неверифицируемыми формулировками. Сколько раз я репортил уже уязвимости различным компаниям уровня FAANG — ни разу ни у кого не было проблем ни с выплатами, ни с подтверждением того, что репорт действительно дублированный.
Что касается публикации — вы, по всей видимости, не прочитали статью полностью. Там неоднократно упомянуто, что ничего и нигде не публиковалось, пока уязвимость не была закрыта.
Я думаю, автор комментария выше предполагал, что вознаграждение должно быть чисто символическое. Ну, шоколадка там, например.
Так направлены против, что аж репорт им направил и подождал, пока исправят. Всё сходится, так и было.
Уточните, на всякий случай, какое отношение бизнес и документы имеют к описанным в статье действиям ЮМани и найденной уязвимости? На кого это рассчитано? Вы действительно думаете, что вы сейчас зайдете в комментарии, скажете "да у него бизнес в Канаде и паспорт Германии" и всё, это каким-то образом магически отменит уже состоявшиеся и описанные в статье факты? Да и с каких пор наличие паспортов/бизнеса/уголовных дел/домашних животных/иностранных гражданств хоть как-то характеризует автора статьи об уязвимости?
Для любопытствующих — паспорта Украины у меня никогда не было, хотя я, может, и не отказался бы. Обвинений у меня достаточно еще с времен борьбы с блокировками РКН, суммарно 4 или 5 уголовных дел, я уже не считаю, к тому же, ни по одному из них я так и не был осужден, не говоря уже о том, что сами уголовные дела были признаны политически-мотивированными чуть ли не десятком правозащитных организаций. Но даже это не имеет никакого значения, потому что это никак не относится к обсуждаемой здесь теме — наличию уязвимости и отсутствию прозрачности.
А у меня есть разрешение. Просто это моя внутренняя документация, показать не могу вам, ссори.
Парам-пам-пам.
А вот и "Независимый" арбитр потёр мой аккаунт с репортом со своей "площадки".
Обновил публикацию.