Похоже на хитрый ход, чтобы сомнительный клиент увидел эту публикацию и намёки вида "мы в Российской юрисдикции, и тут легче достать клиента, а вот если бы он переехал на иностранный хостинг..."
Можно пруф на то что google прикрыл api youtube с января 2021?
YouTube Data API (v3) выглядит живее всех живых, а недавно ещё и упростили процедуру расширения бесплатной квоты по запросу.
Уже 10 лет минуло как AOL продал убыточную ICQ фонду DST.
Ох уж эти «древние пользователи» с перепроданным по 5 раз пятизнаком, которые всё никак не могут признать что ICQ мёртв.
Работать с подобными сайтами даже проще и приятнее. Не нужно возиться с парсингом html, потому что как правило там json в ответе.
А enpoint'ы находятся через DevTools максимум за минуту.
Сгенерировать локальный профиль на основе данных соц. сети.
Гугл в данном случае считаем авторитарным источником и верим что если он говорит что это пользователь с таким-то email значит это 100% он, а не кто-то другой.
Как делать каждый раз — в зависимости от архитектуры это может быть профиль + привязанные соц аккаунты либо просто берётся email и делается авто-регистрация и и создаётся случайный пароль.
В итоге пользователь сможет войти через соц сеть без ввода пароля, либо по email + пароль, и пароль пользователю можно выслать на email при авто-регистрации либо, так как он пароль не знает, ему для входа придётся использовать функцию сброса пароля.
В общем вариантов много, всё зависит от требований приложения.
Оператор может подменять ответы dns серверов в том числе 8.8.8.8 так как находится по середине и в обычном виде dns трафик не защищён от просмотра и подмены. Для борьбы с этим и существуют всякие DNScrypt или DNS over HTTPs (doh)
Да-да гос. услуги, но по всем сми подносится под соусом «сертификат для безопасности», а билайн так вообще честно написали «Целью применения сертификата безопасности является ограничение распространения по сети телекоммуникаций запрещенной законодательством информации.» archive.is/R1GOk
Уважаемые клиенты!
Настоящим уведомляем вас о том, что в соответствии с Правилами выдачи и применения сертификата безопасности операторы связи обеспечивают распространение сертификата безопасности среди своих абонентов для возможности установки сертификата безопасности на технических средствах, имеющих доступ к Интернету.
Сертификат безопасности — это набор электронных цифровых символов, применяемый для пропуска трафика, содержащего протоколы, поддерживающие шифрование.
Целью применения сертификата безопасности является ограничение распространения по сети телекоммуникаций запрещенной законодательством информации.
Инструкцию по установке сертификата безопасности на средства связи с различными типами программного обеспечения Вы можете посмотреть здесь.
Для установки сертификата безопасности перейдите по ссылке.
Я всё понимаю, но зачем ваше расширение на «поддерживаемых сайтах» включает режим анти-отладки?
Я уже было подумал сперва что это разработчики meduza.io так извращаются, вставив anti-debug код, который всё-равно отключается нажатием ctrl+F8 (disable breakpoints), а это оказывается ваше расширение занимается вредительством. habrastorage.org/webt/0w/2f/p9/0w2fp9uw8wpujs0yzdqk95kopry.png
конкретно вот этот js listenit-eur1.firebaseapp.com/u/meduza.io.js
Вероятно такая же схема есть и у других операторов
Бежать практически некуда. Причём схема у всех опсосов одна и та же.
Скриншот с сайта одной из многочисленных партнёрок по выкупу мобильного трафика. Всё что нужно вебмастеру — разместить js-код или это может сделать хакер на вашем сайте. habrastorage.org/webt/bc/lc/8t/bclc8tr1fc1lbitmg-pc0cvwb1w.png
Работаете? Платите налоги.
Имеете недвижимость, авто? Платите налог.
Покупаете продукты в магазине? НДС — налог.
Разве что вы с 1992 года не живёте в этой стране.
После того как появилась платная подписка на музыку, сделали завязку на google play, и для полноценной работы нужно проходить доп. валидацию с использованием android_id (device_id) при которой api токен меняется на такой же токен с доп. правами, в частности с правами на доступ к audio api, при том что документацию по audio api с сайта вк выпилили.
Считаю что проблема высосана из пальца. Основная задача JS аплоадера — аплоадить файлы (отправлять данные на сервер) с чем библиотека прекрасно справляется.
В комплекте с библиотекой идут скрипты для бэкенда на РНР, python, go чтобы сохранять результаты аплоада. Их основная задача принять и сохранить файл, с чем они так же прекрасно справляются.
Так в чём же уязвимость библиотеки если она делает ровно то что задуманно?
Все настройки бэкенд скрипта доступны пользователю, где можно и раньше было задать white-list по расширениям файлов, где можно задать папку для аплоада выше корня веб сервера и тд.
А полагаться на .htaccess вообще смешно, а если у меня nginx или lighthttpd то получается я всегда был в зоне риска потому что не сумел минимально настроить бэкенд скрипт для аплоада, а использовал вариант «из коробки» который разрешал аплоад любых файлов в папку по умолчанию?
Вот если бы бэкенд скрипты которые идут с библиотекой позволяли бы сохранять файл в произвольное место, или например, пропускали файл *.php когда в настройках задано пропускать только *.jpg, или бы разрешали зааплоадить файл размером больше чем задано в настройках, можно было бы говорить об уязвимостях.
А так, я лично не вижу уязвимости в том что при настройках «разрешён аплоад любых файлов» — происходит аплоад любых файлов.
Есть ли возможность пощупать этот функционал через api?
Похоже на хитрый ход, чтобы сомнительный клиент увидел эту публикацию и намёки вида "мы в Российской юрисдикции, и тут легче достать клиента, а вот если бы он переехал на иностранный хостинг..."
Всё уже давно придумано 10 лет назад https://code.flickr.net/2010/02/08/ticket-servers-distributed-unique-primary-keys-on-the-cheap/
HandBrake
И небольшая цитата из статьи habr.com/ru/post/400251
К youtube api это не имеет отношения и не является даже прикрытием какого-либо api.
YouTube Data API (v3) выглядит живее всех живых, а недавно ещё и упростили процедуру расширения бесплатной квоты по запросу.
Ох уж эти «древние пользователи» с перепроданным по 5 раз пятизнаком, которые всё никак не могут признать что ICQ мёртв.
В ответе видим красивый json, а листаем страницы меняя значение page=
Получение документа по id — www.mos.ru/api/documents/v1/json/detail.php?id=43437220
Работать с подобными сайтами даже проще и приятнее. Не нужно возиться с парсингом html, потому что как правило там json в ответе.
А enpoint'ы находятся через DevTools максимум за минуту.
Гугл в данном случае считаем авторитарным источником и верим что если он говорит что это пользователь с таким-то email значит это 100% он, а не кто-то другой.
Как делать каждый раз — в зависимости от архитектуры это может быть профиль + привязанные соц аккаунты либо просто берётся email и делается авто-регистрация и и создаётся случайный пароль.
В итоге пользователь сможет войти через соц сеть без ввода пароля, либо по email + пароль, и пароль пользователю можно выслать на email при авто-регистрации либо, так как он пароль не знает, ему для входа придётся использовать функцию сброса пароля.
В общем вариантов много, всё зависит от требований приложения.
Оператор может подменять ответы dns серверов в том числе 8.8.8.8 так как находится по середине и в обычном виде dns трафик не защищён от просмотра и подмены. Для борьбы с этим и существуют всякие DNScrypt или DNS over HTTPs (doh)
archive.is/R1GOk
Я уже было подумал сперва что это разработчики meduza.io так извращаются, вставив anti-debug код, который всё-равно отключается нажатием ctrl+F8 (disable breakpoints), а это оказывается ваше расширение занимается вредительством.
habrastorage.org/webt/0w/2f/p9/0w2fp9uw8wpujs0yzdqk95kopry.png
конкретно вот этот js
listenit-eur1.firebaseapp.com/u/meduza.io.js
Бежать практически некуда. Причём схема у всех опсосов одна и та же.
Скриншот с сайта одной из многочисленных партнёрок по выкупу мобильного трафика. Всё что нужно вебмастеру — разместить js-код или это может сделать хакер на вашем сайте.
habrastorage.org/webt/bc/lc/8t/bclc8tr1fc1lbitmg-pc0cvwb1w.png
Имеете недвижимость, авто? Платите налог.
Покупаете продукты в магазине? НДС — налог.
Разве что вы с 1992 года не живёте в этой стране.
В комплекте с библиотекой идут скрипты для бэкенда на РНР, python, go чтобы сохранять результаты аплоада. Их основная задача принять и сохранить файл, с чем они так же прекрасно справляются.
Так в чём же уязвимость библиотеки если она делает ровно то что задуманно?
Все настройки бэкенд скрипта доступны пользователю, где можно и раньше было задать white-list по расширениям файлов, где можно задать папку для аплоада выше корня веб сервера и тд.
А полагаться на .htaccess вообще смешно, а если у меня nginx или lighthttpd то получается я всегда был в зоне риска потому что не сумел минимально настроить бэкенд скрипт для аплоада, а использовал вариант «из коробки» который разрешал аплоад любых файлов в папку по умолчанию?
Вот если бы бэкенд скрипты которые идут с библиотекой позволяли бы сохранять файл в произвольное место, или например, пропускали файл *.php когда в настройках задано пропускать только *.jpg, или бы разрешали зааплоадить файл размером больше чем задано в настройках, можно было бы говорить об уязвимостях.
А так, я лично не вижу уязвимости в том что при настройках «разрешён аплоад любых файлов» — происходит аплоад любых файлов.