Комментарии 70
Для сообщения о багах есть ресурсы типа hackerone.
Более того, VK представлен на hackerone
Я им туда как-то написал, что можно участвовать в опросах закрытых групп, если зайти через приложение (веб-интерфейс говорит access denied, т.е. закрыто на уровне интерфейса, а не на уровне API). Они ответили, что так и задумано (три ха-ха).
Вам они хоть ответили, у некоторых и вот так бывает (теги не работают, прошу прощения за ссылки):
habrastorage.org/files/a1a/b7d/655/a1ab7d655d59484fbb77bf1cb59c7d7c.png
habrastorage.org/files/db4/c27/fc4/db4c27fc456849e68484483ccb8b67be.jpg
habrastorage.org/files/a1a/b7d/655/a1ab7d655d59484fbb77bf1cb59c7d7c.png
habrastorage.org/files/db4/c27/fc4/db4c27fc456849e68484483ccb8b67be.jpg
Ну как бы там ни было — если есть точка входа для bug bounty, корректно пользоваться ей. Иначе можно дойти логикой и до ситуации «я багрепорт написал на пакете, навалил в него кучу, принес к дому Зингера и поджег — пусть знают, как не реагировать на hackerone».
Их кампания на Hackerone — «для технических уязвимостей». Только суппорт, ситуация с которым в статье упоминается.
Итог: мой аккаунт со всеми контактами, портфолио, коллекцией музыки, заметками и закладками канули в небытие с подписью «заблокирован навсегда». Мои группы удалили, записи потерли, дыру закрыли кардинально, в profiles теперь вообще ничего не выводится. Единственное, что у меня осталось от этого случая — нежелание сообщать о таком вообще кого-либо.
Так как материться на Хабре нельзя, то без комментариев…
У нас в городе прохожие засняли на камеру как неправильно паркуется оператор парковки и предъявили видео. В итоге прохожих оштрафовали за выход на проезжую часть, которые чуть вышли, чтобы сделать запись. Вот так вот.
А надо было ещё за то, что покинули место ДТП. Гуманность, видите?
Если оштрафовали и парковщика, то это нормально — так и должно быть в правовом государстве.
Есть отличный лайфхак, как избежать подобного штрафа, я всегда им пользуюсь: не надо выходить на проезжую часть, если там нет пешеходного перехода. Оштрафовать в подобной ситуации необходимо обоих: и горе-парковщика, и горе-оператора.
В некоторых маленьких городах вы умрёте от голода, гуляя только по своему кварталу.
Если память не врёт, то в случае, если пешеходных переходов поблизости нет, можно выходить на проезжую часть, посмотрев по сторонам и убедившись, что навстречу мне не несётся Кармагеддонщик, задача которого меня сбить. Но только в случае отсутствия пешеходных переходов.
НЛО прилетело и опубликовало эту надпись здесь
Нет такого пункта в ПДД
НЛО прилетело и опубликовало эту надпись здесь
Продолжения тротуаров не являются пешеходными переходами, как бы то ни было)) Там почти в явном виде это пишут: «при их (переходов) отсутствии». Просто место, где можно переходить. И даже более того: «должны», т.е. в обязательном порядке, шаг влево, шаг вправо — штраф-с… И главное отличие от перехода — приоритет всё-таки у водителя, если он не заруливает с параллельной вам дороги — для них отдельный пункт, они проезжают последними.
ПДД предусматривают переход проезжей части при отсутствии пешеходных переходов поблизости.
НЛО прилетело и опубликовало эту надпись здесь
Там еще вроде фигурирует: «не создавая помех транспорту».
пс: извиняюсь за некропост.
пс: извиняюсь за некропост.
НЛО прилетело и опубликовало эту надпись здесь
Зебра и обозначенный пешеходный переход дает преимущество пешеходу, еще у пешехода преимущество если ТС совершает поворот на перекрестке
на котором нет зебры, светофора или знаков обозначающих переход. в остальном надо руководствоваться:
просто рекомендуется переходить дорогу в районе перекрестка, но если перекрестка не видно то главное «не создавать помех».
8.3. При выезде на дорогу с прилегающей территории водитель должен уступить дорогу транспортным средствам и пешеходам, движущимся по ней, а при съезде с дороги — пешеходам и велосипедистам, путь движения которых он пересекает.
13.1. При повороте направо или налево водитель обязан уступить дорогу пешеходам и велосипедистам, пересекающим проезжую часть дороги, на которую он поворачивает.
на котором нет зебры, светофора или знаков обозначающих переход. в остальном надо руководствоваться:
4.5. На нерегулируемых пешеходных переходах пешеходы могут выходить на проезжую часть (трамвайные пути) после того, как оценят расстояние до приближающихся транспортных средств, их скорость и убедятся, что переход будет для них безопасен. При переходе дороги вне пешеходного перехода пешеходы, кроме того, не должны создавать помех для движения транспортных средств и выходить из-за стоящего транспортного средства или иного препятствия, ограничивающего обзорность, не убедившись в отсутствии приближающихся транспортных средств.
просто рекомендуется переходить дорогу в районе перекрестка, но если перекрестка не видно то главное «не создавать помех».
ПДД, пункт 4.3:
"… При отсутствии в зоне видимости перехода или перекрестка разрешается переходить дорогу под прямым углом к краю проезжей части на участках без разделительной полосы и ограждений там, где она хорошо просматривается в обе стороны. ..."
https://www.consultant.ru/document/cons_doc_LAW_2709/1736bcf22f8e05f9d3db535f6d084651bad887a4/
(не обновил комментарии в висевшей вкладке, уже упомянули этот пункт)
"… При отсутствии в зоне видимости перехода или перекрестка разрешается переходить дорогу под прямым углом к краю проезжей части на участках без разделительной полосы и ограждений там, где она хорошо просматривается в обе стороны. ..."
https://www.consultant.ru/document/cons_doc_LAW_2709/1736bcf22f8e05f9d3db535f6d084651bad887a4/
(не обновил комментарии в висевшей вкладке, уже упомянули этот пункт)
Т. е. вы не стали сообщать в ВК об этой ошибке, а выдали ее какому-то левому ресурсу? И теперь жалуетесь, что ваш профиль заблокировали? Я правильно понимаю?
Этот метод возвращает посты в которых текущий пользователь оставил комментарий или иным образом подписался на уведомления
Не совсем понятно, как этот метод срабатывал для постов, в которых отключены комментарии? Или подписаться на уведомления можно, нажав «Мне нравится»?
Очень глупо было «ломать» со своего основного аккаунта. Ну и вообще заниматься пентестом сайтов с российскими владельцами занятие весьма рискованное, вполне реально нарваться на неадекватов которые вместо спасибо или награды за баг, сообщат о вас в органы и подадут иск за взлом.
Откровенно говоря, это относится не только к РФ.
на неадекватов которые вместо спасибо или награды за баг, сообщат о вас в органы и подадут иск за взлом
— Вы обвиняетесь в намеренном взломе системы безопасности и вмешательстве в частную жизнь по средству созданию сайта Facemash. Прежде чем начать слушание Вы можете сделать заявление.
— Я… На мой взгляд я заслуживаю поощрения, ведь выявил слабые места в системе безопасности.
© Фильм «Социальная сеть»
Это ещё что — я как-то заметил, что сайт одной из местных газет не работает. Оказалось — забыли (забили?) продлить. Думал, к концу срока всё-таки заплатят за продление домена — но нет, домен удалили после окончания регистрации. Я его выкупил, поставил маленькую страничку-загрушку, и написал им письмо, что, мол, если нет возможности содержать сайт, то я за вас это сделаю, и предоставлю полный доступ к хостингу. Знаете что ответили? — Оказывается, я негодяй, и незаконно использовал их логотип в своих целях, и даже привели статью, по которой якобы меня привлекут. Однако я не ИП и никаких денег не заработал на этом сайте, и даже если бы как-то заработал, то не в той же области деятельности (я и не собирался самостоятельно размещать их статьи из газеты, только если они сами бы стали это делать) — так что ничего не вышло бы у них.
Правильно говорят — от добра добра не ищут.
P.S. и что теперь с этим доменом делать?
Правильно говорят — от добра добра не ищут.
P.S. и что теперь с этим доменом делать?
Ну ВК в этом случае повел себя очень некрасиво. Может после поста этого отреагируют…
https://hackerone.com/vkcom
http://vk.com/support?act=new
Почему нельзя было выбрать ничего из этого?
Кстати, скорость ответа очень зависит от типа вопроса. На некоторые вопросы я получаю ответ в течение часа, на другие несколько дней.
А vc.ru имеет отношение к ВК из-за бывших учредителей и сотрудников.
Впрочем, как Selectel, но это не мешало отменить субсидию на разработчиков.
http://vk.com/support?act=new
Почему нельзя было выбрать ничего из этого?
Кстати, скорость ответа очень зависит от типа вопроса. На некоторые вопросы я получаю ответ в течение часа, на другие несколько дней.
А vc.ru имеет отношение к ВК из-за бывших учредителей и сотрудников.
Впрочем, как Selectel, но это не мешало отменить субсидию на разработчиков.
Не нужно вообще что либо сообщать, последствия всегда бывают, и не зависит, сделал ты хорошо или плохо
всех багоюзеров, когда либо зарегестрированных в вк удаляли
куча страниц с безымянками, на всей странице и пр были удалены
Если только анонимно об этом сообщать
Награды не получишь, всю славу заберут сотрудники вк.
всех багоюзеров, когда либо зарегестрированных в вк удаляли
куча страниц с безымянками, на всей странице и пр были удалены
Если только анонимно об этом сообщать
Награды не получишь, всю славу заберут сотрудники вк.
Репортил похожую уязвимость на hackerone, ответа ждал полгода, но в итоге её пофиксили, а мне выплатили вознаграждение, поэтому виноват здесь исключительно автор поста.
«заблокирован навсегда»
Не ты первый, не ты последний бан всегда дают «за эксплуатирование уязвимости».
Не ты первый, не ты последний бан всегда дают «за эксплуатирование уязвимости».
А зачем вы «исследовали» дыру, упоминая админов на стене своего паблика?
Ну вот как всегда, человек старался, искал разные способы рассказать администрации ресурса о проблеме, не раскрывал суть бага до его закрытие, а что в награду? «мой аккаунт со всеми контактами, портфолио, коллекцией музыки, заметками и закладками канули в небытие с подписью «заблокирован навсегда»». Обидно!
Как то пытались получить объяснения от ТП о причине блокировки страницы?
Как то пытались получить объяснения от ТП о причине блокировки страницы?
Итог: мой аккаунт со всеми контактами, портфолио, коллекцией музыки, заметками и закладками канули в небытие с подписью «заблокирован навсегда». Мои группы удалили, записи потерли, дыру закрыли кардинально, в profiles теперь вообще ничего не выводится. Единственное, что у меня осталось от этого случая — нежелание сообщать о таком вообще кого-либо.
Сами себе могилу роют.
Сами себе могилу роют.
Почему не воспользовались баг-баунти программой? (тыц).
Ваше поведение совсем не похоже на «этичный хакинг».
Эксплуатация уязвимости в отношении третьих лиц:
Разглашение сведений о выявленной уязвимости:
Меры, принятые по отношению к вам, адекватны на все 100%.
Ваше поведение совсем не похоже на «этичный хакинг».
Эксплуатация уязвимости в отношении третьих лиц:
Я просто стал заваливать их списком модераторов известных новостных сообществ: «Первый канал», «РБК», «Известия» и прочие.
Разглашение сведений о выявленной уязвимости:
Поэтому я решил написать тому, кому, как я думал, это будет интересно, тем самым привлечь внимание на ошибку.
Меры, принятые по отношению к вам, адекватны на все 100%.
Свой косяк о том, что не сообщил на hackerOne я признаю. Меня закидают тухлыми помидорами за минимальное знание английского языка, я честно пытался описать эту ошибку туда, но в первом же блоке не смог выбрать подходящий тип.
Меры пресечения были использованы верно, тоже не спорю. Но заблокировали меня не за распространение «закрытой» информации, а за то, что пользователи увидели отметку у себя в «Мои ответы» и нажимали кнопочку «спам».
Ещё момент, на моей заблокированной странице высветилось сообщение о том, что если я желаю оспорить поведение модераторов, то пишите в тех. поддержку с этой страницы, а там меня встретило оповещение, что я исчерпал лимит обращений в поддержку, когда отправлял сообщение о баге в вёрстке.
Меры пресечения были использованы верно, тоже не спорю. Но заблокировали меня не за распространение «закрытой» информации, а за то, что пользователи увидели отметку у себя в «Мои ответы» и нажимали кнопочку «спам».
Ещё момент, на моей заблокированной странице высветилось сообщение о том, что если я желаю оспорить поведение модераторов, то пишите в тех. поддержку с этой страницы, а там меня встретило оповещение, что я исчерпал лимит обращений в поддержку, когда отправлял сообщение о баге в вёрстке.
То есть вас заблокировали даже не за эксплуатацию бага и раскрытие его третьему лицу вместо официальной техподдержки, а из-за сообщений о спаме? К чему вы вообще городите все это? Пытаетесь показать, что ВК такой плохой?
Откуда информация, что именно за это заблокировали? Мне кажется, посты с глупостью и негативом получают сотню-другую нажатий кнопки «спам», не думаю, что кто-то от этого в бан улетает, это всё в итоге модерируется.
Всё же ваше поведение при обнаружении бага было крайне неверным. Публикация анонимной информации в нарушение условий пользования сервисом. Меня даже поражает количество комментариев, где считают, что администрация vk не права. Найденная уязвимость эксплуатировалась самым злостным образом (пусть и без злого умысла). Это как переводить деньги в банке на случайные счета со случайных счетов, найдя уязвимость.
Всё же ваше поведение при обнаружении бага было крайне неверным. Публикация анонимной информации в нарушение условий пользования сервисом. Меня даже поражает количество комментариев, где считают, что администрация vk не права. Найденная уязвимость эксплуатировалась самым злостным образом (пусть и без злого умысла). Это как переводить деньги в банке на случайные счета со случайных счетов, найдя уязвимость.
Были раньше проблемы с этим, когда узнал, что публикации в группах позволяют отметить любого человека, а ссылку скрыть символом пробела нулевой длины. Если отметить в одном посте 5-6 человек и 2-3 человека нажмут на «спам», то прилетит бан. Отсюда и информация,
Уязвимость напрямую я не эксплуатировал. Найденную информацию знал только я, один человек из vc.ru, которому я показывал суть проблемы и два человека из моего пустого паблика. Единственный человек, кого я реально «разоблачил» — на своей стене написал «Привет модератору MDK», там какой-то фейковый аккаунт был.
Уязвимость напрямую я не эксплуатировал. Найденную информацию знал только я, один человек из vc.ru, которому я показывал суть проблемы и два человека из моего пустого паблика. Единственный человек, кого я реально «разоблачил» — на своей стене написал «Привет модератору MDK», там какой-то фейковый аккаунт был.
К сожалению, вы тут лукавите, когда говорите, что только одного человека «разоблачили». Я насчитал 18 человек.
Ну всё же разместить на публичной странице (как и на своём сайте, например) есть опубликовать. И то что «зуб даю, никто не заходил туда» и «только эти два человека которые никому не расскажут» не является оправданием этому нарушению.
В общем, удачи вам с техподдержкой, может и правда было ложное срабатывание. Но если не выгорит, их действия вполне закономерны, увы.
Правильным решением было бы создать (попросить друга) тестовую группу со скрытым админом, показать краткую выжимку из логов запроса/ответа API, раскрывающего личности админа и предложившего новость (тоже друга), демонстрировать всё именно на этом примере. Если вы не хотели раскрывать подробности уязвимости заранее (почему, кстати?), попросить собеседника создать группу с неизвестного вам аккаунта. А ваши маленькие шалости про то, что вы знаете кто админ МДК, оставить глубоко при себе. Тот же FB тоже покарал бы за эксплуатацию уязвимости на реальных аккаунтах, а тем более за публикацию результатов.
В общем, удачи вам с техподдержкой, может и правда было ложное срабатывание. Но если не выгорит, их действия вполне закономерны, увы.
Правильным решением было бы создать (попросить друга) тестовую группу со скрытым админом, показать краткую выжимку из логов запроса/ответа API, раскрывающего личности админа и предложившего новость (тоже друга), демонстрировать всё именно на этом примере. Если вы не хотели раскрывать подробности уязвимости заранее (почему, кстати?), попросить собеседника создать группу с неизвестного вам аккаунта. А ваши маленькие шалости про то, что вы знаете кто админ МДК, оставить глубоко при себе. Тот же FB тоже покарал бы за эксплуатацию уязвимости на реальных аккаунтах, а тем более за публикацию результатов.
VK уже давно тот, что раньше… Например, если раньше нарушение пп. 6.3-6.4 (не помню какие там подпункты) пользовательского соглашения (фейковые имя и фамилия) привдили к однозначной блокировке аккаунта, то сейчас на сообщение администраторам о спаммере под именем Rus -fuckyourass- Gay, например, приводит к встречному вопросу — «ой, а что он такого сделал-то? ну Рус, ну гей, ну фак май эсс и что?»
это говно меня вообще бесит. сижу вк под именем demon 666 (зарегался лет в 14). Хотел сменить на какое нибудь другое подобное говно — админы не разрешают. там если я пишу не типичное фио по шаблону, то процедура автоматически отправляется на рассмотрение модераторами и они там уже требуют фотку с паспортом чтоб совпадало имя. но если вводить просто Вася Пупкин — без проблем всё поменяется. если регать новый акк — тоже любое говно написать можно.
То есть автор сам выставил себя идиотом а тут в завуалированной форме пожаловался? Скажите спасибо, что вк не стал привлекать к уголовщине а всего лишь заблокировал аккаунт с группами. То что они долго реагируют на сообщения о багах это отдельная тема. если Вам это не нравится — тоже отдельная. а то, что Вы воспользовались дырой для разоблачения админов и модераторов, и публиковали эти данные в открытом доступе, и тем более обсуждали с третьими лицами, это уже конкретный взлом, и за это полагаются ответные действия. На мой взгляд всё ещё как то мягко разрешилось.
Сообщать третей стороне об уязвимости не этично и блокировка вполне оправдана. Согласен у VK есть проблемы с быстрым реагированием на подобные проблемы, даже на hackerone (что уже говорить про «баг-трекер ресурса»). Но тем не менее, ребята молодцы, почти все отправленные мной баги они пофиксили и из них около пяти касались приватности закрытых сообществ.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Администраторы групп в vk всегда были в открытом доступе