Ситуация, которую разыгрывает гражданин Литреев очень похожа на вымогательство: публикация на популярных площадках, написывание в личку сотрудникам компании, попытки призвать коммюнити и т.д.
Принимая участие в программе багхантер принимает и правила программы:
Мы выплачиваем вознаграждение только за первый полученный отчет, содержащий все необходимые данные для воспроизведения уязвимости. Все последующие отчеты, содержащие информацию об этой же уязвимости считаются дубликатами и вознаграждение за них не выплачивается. Отчет может дублировать как отчет другого исследователя, так и внутренней команды безопасности. Также дубликатом может считаться отчет, содержащий информацию о векторах атаки, которые исправляются в результате работ по другому отчету.
Теперь о самой уязвимости: автор любитель находить "гром баги" и хайповать, ок. Может это личные качества, может вещества, мне это неизвестно, но поскандалить автор явно любит.
«Окей» подумал я. Уязвимость критическая, исправить её легко, в любой нормальной организации её исправят за считанные часы — не нужно иметь пять высших образований и IQ выше 300 чтобы поправить header'ы CORS или просто их убрать (при их отсутствии будут применяться стандартные политики безопасности, которые были бы достаточными и при этом никак не сломали бы работу сервиса).
Зачастую в крупных компаниях исправление бага зависит не от скиллов прогеров, а от заафекченных в фиксе систем и процессов. Ну и про саму багу автору написали в комментариях в его же канале: https://t.me/litreevsays/4815
Ну и вишенкой на торте:
В феврале 2022 года, с началом вооруженного вторжения России на территорию Украины осудил действия российских властей, а также начал оказывать поддержку Вооруженным Силам Украины жертвуя снаряжение, дизельные генераторы, автомобили и снаряды. В январе 2023 года Литреев опубликовал фотографию снаряда калибра 155 мм. с надписью «Привет от Литреева» на корпусе.
То есть он приходит, и просит/берет деньги у Российской компании чтобы купить потом снаряды для убийства россиян?
Что для вас будет являться показателем защищенности, в таком случае? А показатель ложных запросов каким образом может отразить успешную работу функционала и качество отражения угрозы?
Что за категоричность? Разве автор утверждает, что это решение единственное на рынке и предлагает 100% гаранатию от взломов? Да и не одно «средство защиты» по нашей обывательской жизни 100% гарантироватий не дает.
На мой взгляд, здесь важен процент такой защищенности, а автор позиционирует свой результат как близкий к 100%, то бишь более 90%.
Дальше, про целевую аудиторию. Интересно Вы один за всех решили кому она интересна, а кому нет. Начало зацепило, значит и Вам было интересно. Читаете дальше — банальная для Вас инфа, так не насилуйте себя. А про сравнительную статью, ребята корректно себя ведут по отношению к конкурентам, чтож в этом плохого? Скорее похвально, чем лить «всякое» в открытом эфире. А вот про уникальность стоило бы раскрыть тему ИМХО, и каждый сделает выводы. Ну чтож, будем надеяться, что автор статьи предложит нам развернуый ответ.
Первым делом хочу сказать спасибо за то что вы делаете — за тест лабы, за defcon.ru.
Конечно я не одобряю рекламу на хабре, но ваши курсы — огонь! Я не знаю сколько бы у меня ушло времени, на то чтобы изучить самостоятельно такой материал.
Еще раз больше спасибо, продолжайте в том же духе!
По крайней мере автор пишет сам, а не ищет людей для написания — https://www.fl.ru/projects/2522337/trebuetsya--chelovek--dlya-napisaniya-stati-na-habrahabr.html
Ситуация, которую разыгрывает гражданин Литреев очень похожа на вымогательство: публикация на популярных площадках, написывание в личку сотрудникам компании, попытки призвать коммюнити и т.д.
Принимая участие в программе багхантер принимает и правила программы:
Теперь о самой уязвимости: автор любитель находить "гром баги" и хайповать, ок. Может это личные качества, может вещества, мне это неизвестно, но поскандалить автор явно любит.
Зачастую в крупных компаниях исправление бага зависит не от скиллов прогеров, а от заафекченных в фиксе систем и процессов. Ну и про саму багу автору написали в комментариях в его же канале: https://t.me/litreevsays/4815
Ну и вишенкой на торте:
То есть он приходит, и просит/берет деньги у Российской компании чтобы купить потом снаряды для убийства россиян?
WAF это защита сайта, а не мониторинг (если он не стоит в пассивном/span режиме).
На мой взгляд, здесь важен процент такой защищенности, а автор позиционирует свой результат как близкий к 100%, то бишь более 90%.
Дальше, про целевую аудиторию. Интересно Вы один за всех решили кому она интересна, а кому нет. Начало зацепило, значит и Вам было интересно. Читаете дальше — банальная для Вас инфа, так не насилуйте себя. А про сравнительную статью, ребята корректно себя ведут по отношению к конкурентам, чтож в этом плохого? Скорее похвально, чем лить «всякое» в открытом эфире. А вот про уникальность стоило бы раскрыть тему ИМХО, и каждый сделает выводы. Ну чтож, будем надеяться, что автор статьи предложит нам развернуый ответ.
Конечно я не одобряю рекламу на хабре, но ваши курсы — огонь! Я не знаю сколько бы у меня ушло времени, на то чтобы изучить самостоятельно такой материал.
Еще раз больше спасибо, продолжайте в том же духе!