Как стать автором
Обновить

Комментарии 27

Spotify: *сделал прикольный сервис сокращения ссылок*
Аня: It's Free Real Estate

Если прочитать этот пост под трек из "Реквиема по мечте", то вам может показаться что вы взломали пентагон и вскрыли супер важный для человечества заговор

С эпичной музыкой все становится эпичным.

Я не сразу понял как сканировать код:


Открывайте поиск, жмите в поисковую строку и справа появляется камера.

Spotify тут же пожалел, что пришёл в Россию :)
Да я им шесть лет пользуюсь.

В смысле? Что вы там храните у них в БД?! =)

Это не баг, это фича(с)

Думаю уже поздно. Сейчас народ побежит делать FUSE-драйвера для хранения в спотифае своих бэкапов и коллекции порно.

Я даже не стала пытаться, потому что это явно фича. Или скорее особенность реализации.

А вы не думали сделать что-то большое, больше чем просто квест? Целую городскую легенду. Ассиметричную игру, где будет две команды: закрытая и открытая.
Закрытая команда творит дичь и делает загадочные вещи, а открытая команда не понимает, что играет в игру и пытается разобраться в загадках чисто из любопытства.


Основное правило — это не объявлять игру. Второе правило — у этой игры нет победителей и нет победы, есть лишь стратегия и тактика двух команд. Они не могут победить друг друга поскольку у них разные метрики: у закрытой команды — хайп, загадочность и резонанс, а у открытой — глубина найденых взаимосвязей в сети неявно связанных между собой загадок.


Первая команда может вербовать агентов и создавать изолированные, не знающие друг о друге и о большой Игре ячейки, а вторая команда вообще ничем не ограничена, но вынуждена жить в неопределенности, поскольку нет никакого валидатора ответов, и даже слив информации из первой команды не гарантирует распутывания всей сети из-за разветвленной структуры первой команды.

Что-то вы сложное придумали, меня ж за экстремизм закроют.
Я просто хотела маме похвастаться, что у меня теперь статья на Хабре есть, а там уже и рабочий понедельник настал: пришлось отложить деструктивные наклонности и вернуться в реальность.

Никакого деструктива.
Всё началось с телефона в лесу. На старом дереве висит старый телефонный аппарат. Совершенно обычный с дисковым номеронабирателем. Провод от него уходит в небольшое природное дупло, а там прикручен к двум оцинкованным гвоздикам, забитым прямо в трухлявую древесину.
Гвоздики можно выдернуть и вставить обратно, ничего не поломается. Также можно туда прикрутить любой обычный немодифицированный телефон и все будет работать.
Если поднять трубку, слышен гудок. Набор валидного номера ведёт к обычным длинным гудкам вызова. Если повесть трубку, то через какое-то время телефон начнёт звонить… Да, как в матрице.
А если поднять трубку во время звонка...

… то в ухо абонентся разряжается разряд в несколько киловольт, смодулированный песней «любопытство кошку сгубило»!

Теперь я понимаю, почему многие (хорошо, что не все) не просто не проявляют любопытство, но и выражают явное беспкойство при виде такой диковики в неожиданном месте.
Самое для меня удивительное, что у некоторых беспокойство растёт вплоть до какого-то мистическоого ужаса, когда становится понятно, что телефон работает, а тем паче еще и звонит!


Мне кажется кому-то надо смотреть больше научпопа вместо ужастиков. Насмотрятся всяких там "Звоноков" и телефонов боятся потом...

Можете прятать номера телефонов любовниц в кодах с Егором Летовым и обклеивать ими стены, тогда ваша законная женщина покинет вас, сочтя сумасшедшим, будете свободны.
Вечер необычных лайфхаков от Анны
Я уже собралась реверсить обфусцированный код Android-приложения, чтобы узнать, как работает парсер

А пореверсить может и стоило. Или пофаззить. В парсерах часто бывают ошибки, знаете ли. Неучтенные крайние случаи. Глядишь, и RCE где завалялось. А тут готовый канал доставки.

Ясно, теперь террористы будут общаться не в телеге, а в спотифай.
(роскомнадзор напрягся)
SpotiChat
Генератор кодов кушает только a-zA-Z0-9 и кучку простейших символов, даже кириллицу туда не впихнуть. Поэтому urlsafe base64 — лучший вариант, наверное.

Если попробовать использовать все допустимые после "?" ASCII символы в урле, а их там около 16 добавится сверх тех, что в base64, если я не ошибаюсь, то в тот же объем удастся впихнуть не более 5% (примерно) дополнительной информации. Сложность кодирования того не стоит. А ещё добавятся риски свалиться со специфическими исключениями где-то в недрах софта спотифая.

Получив число 556205622371746371156, приложение превращает его в 58992959842 с помощью таблицы Грея. Именно это делает распознаванием таким быстрым и устойчивым к ошибкам.
Вот этот момент не понял. Как он от ошибок помогает?
(И ещё первое число длинное, а второе короткое, а коды Грея имеют ту же длину, что исходные данные… Видимо, придётся идти патент читать.)
Расстроилась я.
Была уверена, что они это багом не считают и фиксить не станут, что им плевать на эту особенность.
А они взяли и пофиксили, ещё и всего спустя сутки. Добавила об этом UPD.

Получается, можно было попробоваться в Bug Bounty, а если бы приняли, дали бы $250-300.

:c
Всегда нужно пробовать влезть в баг баунти. Всегда!
Зарегистрируйтесь на Хабре, чтобы оставить комментарий

Публикации

Истории