Vkontakte, ускоренный просмотр фотографий — дыру с доступом закрыли не до конца

    Как многие, наверное, знают, сравнительно недавно vkontakte.ru запустили «Ускоренный просмотр фотографий», достаточно удобную фишку с ajax переключением фоток. Этот режим стал пользоваться особенно большой популярностью, когда выяснилось, что права доступа текущего пользователя до просматриваемых фоток не проверяются (т.е. вместо сообщения «Фотография защищена настройками приватности» вы получали желаемый контент).

    Через некоторое время программисты vkontakte.ru закрыли эту дыру. Но… сегодня я случайно наткнулся на такое: если вы заходите на страничку фотографий пользователя, включаете ускоренный режим, и на этой страничке есть хотя бы одна фотка, вам доступная — попав на нее, вы можете нажать стрелочку «назад» (переход на предыдущую фотку) — и вуаля! проверка доступа отключается опять. Кликая повторно «назад» можно смотреть все фотки, только в обратном порядке.
    Поделиться публикацией

    Похожие публикации

    Комментарии 23
      +4
      мне кажется это не баг а фича.
      так как теперь можно смотреть фотографии на которых отмечены твои друзья даже если они закрыты.
        +1
        наверное вы правы, это логично. Но вообще суть в топика больше в качестве кода :) Если кликаешь «вперед» — то права проверяются. Если кликаешь «назад» — уже нет!
          0
          хм… вчера проверял — пользователь -> фотографии c пользователем -> находишь хотя бы одну фотку разрешенную к просмотру и теперь нажимая вперед можно просмотреть все фотки даже те которые защищены настройками приватности…
        +5
        Вообще-то всё так изначально и было. И это не дыра, это наоборот приведение технической составляющей в соответствие с настройками: если пользователь ставит настройку, что можно смотреть фотографии с ним, то логично, что у «смотрящих» должна быть возможность и просмотреть фотографии с ним, даже если они в альбоме других пользователей и скрыты. К сожалению такое «доведение» сделали только в ускоренном режиме просмотра.
        Если бы это была «дыра», то явно не появлялись бы сообщения вроде: «эта фотография находится в скрытом альбоме такого-то пользователя, вы не можете её комментировать».
          0
          с одной стороны логично. С другой — неделю-две назад, пользуясь ускоренным просмотром можно было смотреть все фотки. Сейчас на тех, которые расположены в приватном альбоме, вылетает «Фотография защищена настройками приватности». Т.е. это выглядело больше как «фикс». А может наоборот что-то сломали :)
            –1
            Нет, ничего не менялось. Просто если нажимая на «фотографии с пользователем» вы затем нажимаете на фотку, которую сразу скрыта, то да, у вас выскочит такое сообщение. Если же вы начнёте просматривать с открытой фотографии и будете листать, то всё нормально. Так и было изначально.
          –3
          Подозрительно халатно относятся программисты сети «Вконтакте» к своему делу — частенько всплывают баги.
            0
            Тестера бы им хорошего.
              +2
              26 миллионов их.
                0
                а так вот о чем счетчик на главной говорит.
            0
            пофиксили:
            ph[id — 1] is undefined

            vkontakte.ru/js/photo_comments.js?5
            photo = ph[id — 1][0];

              0
              Честно говоря, я для просмотра закрытых фотографий, если есть такая необходимость, смотрю через durov.ru
                0
                а какая может быть в этом необходимость?
                  0
                  Обычно это необходимость удовлетворить собственное любопытство :)
                    –3
                    + неспособность соблазнить девушку? :)
                      –2
                      Не только
                        0
                        Перед тем как кидаться в бой и соблазнять девушку, хочется удостовериться, что это не чудовище какое-нибудь. А то на аватару ставят как правило самую удачно получившуюся фотку. А потом приходишь на свидание и думаешь как тебе отмазаться теперь.
                      0
                      Когда что-то запрещено, то интерес возрастает многократно :)
                        0
                        ну, этот феномен давно известен.
                        тут человек про необходимость говорит.
                    +1
                    блин, чуваки! харэ палить дырки!!! пофапать толком не даёте!!!
                      0
                      да ладно, карма на хабре важнее!
                      0
                      Только что проверял — не работает. Видать прикрыли уже( Среди нас утечка информации?)))
                        0
                        Тема не нова, в том числе и на хабре уже поднималась.
                        В блоге социальные сети это уже обсуждалось 1 января, вот здесь (см. UPD2).
                        Автор этого топика, впредь будьте внимательнее ;)

                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                        Самое читаемое