Роман Сербин romanser

А когда вам в школе учитель ставит двойку, вы тоже считаете это издевательством? Похоже, да. Я же указание людям на их ошибки (и даже публичное указание, если случай почти безнадежный) считаю уроком, а не издевательством. Те, кто подставлял и продолжает подставлять своих пользователей, заслуживают большего урока.

Спасибо :]. И конечно, спасибо персоналу bestpersons. Без их активной поддержки так весело бы не получилось. Но еще я уверен, что все это принесет много добра будущим и нынешним стартапам. Следите за новостями - еще осталось на сладкое :P

1. Вопрос был о правдивости написанного в топике. Вы ответили, что написана неправда (о том, что я сообщил в подробнотях о багах) и тем самым солгали. Зачем?

2. До моего первого поста на хабре вы уже знали о баге (или будете отрицать?). И то, что вам я лично о нем не писал роли не играет и значения не имеет. И сам я ни разу не утверждал, что лично писал вам о баге до своего первого поста на хабре. Но писал, что вы о нем знали, и это правда.

3. Что вы хотите оправдать многократным повторением (в этой теме уже минимум 4 раза) "romanser нам о баге до первого поста не писал"? Или это та единственная правдивая вещь, которую вам сказать по данной ситуации не стыдно?

>Он вам написал с подробностями о дырах(как описано в данном посте)
>Нет, не писал.

Ну что за наглая ложь? Неужели придется выкладывать личную переписку с вашим программистом? Тогда, уж извините, придется и ваши угрозы выложить. Кому это надо?

Похоже, chemist просек фишку постинга клонированных сообщений.

С чего же вы тогда до публикации статьи на хабре отключили сервер? Интуиция?

Смотря что называть словом "сообщал". Вот вы осмелитесь солгать, что не знали о уязвимости до публикации статьи на хабре?

Действительно прислали. Это хорошо, что не забили на пользователей совсем. Плохо, что для того, чтобы о них задумались, нужен мощный пинок. Про несоответствие действительности оставим на совести разработчиков. Без этой фразы им было сложно обойтись.

За 2 дня. Рекорд, наверное.

Я не мог упустить такую возможность :]

Думаю, если radarix.com предложит ввести свое имя и е-мейл, вы откажетесь :]

Это очевидно

Не все так просто

Не стоит недооценивать сетевое сообщество. Пара-тройка таких публичных случаев и все запомнят, что защита информации - это хорошо. Почтой же научились пользоваться :]
И каждый может поспособствовать этому. Блоги нынче у 80% постоянных пользователей.

Со временем кто-нибудь догадается. Пока подсказок мало, но скоро будет больше.

Не уверен, что у нас на Мальте есть отдел "К".

А вы не рассматриваете такой вариант, что я из Казахстана? Или Исландии? :]

Уже не в первый раз эта тема поднимается. Если вас успокоит это, в профиле - не настоящее имя, в логах - не настоящий IP, на хостинге - не настоящие данные, куки стерты, жесткий диск висит на веревочке за окном (ножницы в руке), пластический хирург - за соседним столом. Найти можно, но сложно.

Конечно, поспособствовал. Написал, где эти дыры и что можно с помощью них сделать. Даже больше. Указав на дыры в bestpersons я поспособствовал закрытию таких дыр на многих других ресурсах в рунете. Ну а те, кто не может даже на элементарном уровне защищать данные пользователей, называя себя серьезным сайтом, не имеют права на мое сочуствие.

Им самим это устраивать было бы достаточно глупо.
Там видно будет.

Меня через неделю забудут, а вот bestpersons еще жить.

з.ы. и еще я писал, что на сайте полно дыр

Я уже писал и еще раз напишу - я полученные пароли не использовал и использовать не собираюсь. Думаю, это подтвердят те, от лица кого сейчас идут посты - у них пароли на хабре не такие как на бестперсонс.

точно

Неужели, bespersons, как и Вконтакте - творение ФСБ? Или это симметричный ответ ЦРУ?

Активность определялась эвристически. И не слишком надежно.

Правда-правда. Кто не успел утром - еще может успеть зайти на указанный тут выше профиль и подарить свои куки от сайта кому получится.

Включить сайт и оставить на нём XSS как и было - это смело.
Парни, я начинаю вами восхищаться

"немного психологии" было применено ко всем активным пользователям сайта. По случайности, ограничений на спам на сайте тоже не существует.

Вас не смущает, что оправдывают bestpersons только люди, работающие там или сидящие в соседнем офисе?

Несомненно. "Тщеславие - мой любимый из грехов" (c)

OAuth для авторизации программ. Для авторизации людей - OpenID.
Хотя если вы имели в виду хранение паролей сторонних сервисов на бестперсонс - вы правы. Я вначале про другие пароли подумал.

Шоковой терапией тут намного лучше лечится. И это урок не только bestpersons, а всем сервисам вообще. Стоит задуматься о хотя бы минимальной безопасности для данных пользователя.

Стоит уточнить. Уязвимости. Если нашли только одну - ищите еще. Я использовал самую простую.

Вы путаете. Не OAuth, а OpenID

Без скриптов на bestpersons, как и много где еще, ничего не работает. Поэтому правильный выход - использовать надежные и разные пароли, никому их не передавать, все важные данные передавать только по https, не использовать сайты, которые не относятся серьезно к безопасности данных.

Если заходили на страничку - значит затронуло.

Такое может случиться на любом сайте. Поэтому не стоит доверять кому попало.

Неважно, я пароли эти использовать не собираюсь.
Но лучше всем у кого там был "общий" пароль их сменить - я ведь не один такой умный, а своровать их можно было незаметно (если не делать этого массово)

Из своего ЖЖ тоже запись лишнюю удалите, вы были одним из тех, кого скрипт затронул :]