Комментарии 27
Аня: It's Free Real Estate
Если прочитать этот пост под трек из "Реквиема по мечте", то вам может показаться что вы взломали пентагон и вскрыли супер важный для человечества заговор
Я не сразу понял как сканировать код:
Открывайте поиск, жмите в поисковую строку и справа появляется камера.
А вы не думали сделать что-то большое, больше чем просто квест? Целую городскую легенду. Ассиметричную игру, где будет две команды: закрытая и открытая.
Закрытая команда творит дичь и делает загадочные вещи, а открытая команда не понимает, что играет в игру и пытается разобраться в загадках чисто из любопытства.
Основное правило — это не объявлять игру. Второе правило — у этой игры нет победителей и нет победы, есть лишь стратегия и тактика двух команд. Они не могут победить друг друга поскольку у них разные метрики: у закрытой команды — хайп, загадочность и резонанс, а у открытой — глубина найденых взаимосвязей в сети неявно связанных между собой загадок.
Первая команда может вербовать агентов и создавать изолированные, не знающие друг о друге и о большой Игре ячейки, а вторая команда вообще ничем не ограничена, но вынуждена жить в неопределенности, поскольку нет никакого валидатора ответов, и даже слив информации из первой команды не гарантирует распутывания всей сети из-за разветвленной структуры первой команды.
Я просто хотела маме похвастаться, что у меня теперь статья на Хабре есть, а там уже и рабочий понедельник настал: пришлось отложить деструктивные наклонности и вернуться в реальность.
Никакого деструктива.
Всё началось с телефона в лесу. На старом дереве висит старый телефонный аппарат. Совершенно обычный с дисковым номеронабирателем. Провод от него уходит в небольшое природное дупло, а там прикручен к двум оцинкованным гвоздикам, забитым прямо в трухлявую древесину.
Гвоздики можно выдернуть и вставить обратно, ничего не поломается. Также можно туда прикрутить любой обычный немодифицированный телефон и все будет работать.
Если поднять трубку, слышен гудок. Набор валидного номера ведёт к обычным длинным гудкам вызова. Если повесть трубку, то через какое-то время телефон начнёт звонить… Да, как в матрице.
А если поднять трубку во время звонка...
Теперь я понимаю, почему многие (хорошо, что не все) не просто не проявляют любопытство, но и выражают явное беспкойство при виде такой диковики в неожиданном месте.
Самое для меня удивительное, что у некоторых беспокойство растёт вплоть до какого-то мистическоого ужаса, когда становится понятно, что телефон работает, а тем паче еще и звонит!
Мне кажется кому-то надо смотреть больше научпопа вместо ужастиков. Насмотрятся всяких там "Звоноков" и телефонов боятся потом...
Можете прятать номера телефонов любовниц в кодах с Егором Летовым и обклеивать ими стены, тогда ваша законная женщина покинет вас, сочтя сумасшедшим, будете свободны.Вечер необычных лайфхаков от Анны
Я уже собралась реверсить обфусцированный код Android-приложения, чтобы узнать, как работает парсер
А пореверсить может и стоило. Или пофаззить. В парсерах часто бывают ошибки, знаете ли. Неучтенные крайние случаи. Глядишь, и RCE где завалялось. А тут готовый канал доставки.
(роскомнадзор напрягся)
Если попробовать использовать все допустимые после "?" ASCII символы в урле, а их там около 16 добавится сверх тех, что в base64, если я не ошибаюсь, то в тот же объем удастся впихнуть не более 5% (примерно) дополнительной информации. Сложность кодирования того не стоит. А ещё добавятся риски свалиться со специфическими исключениями где-то в недрах софта спотифая.
Получив число 556205622371746371156, приложение превращает его в 58992959842 с помощью таблицы Грея. Именно это делает распознаванием таким быстрым и устойчивым к ошибкам.Вот этот момент не понял. Как он от ошибок помогает?
(И ещё первое число длинное, а второе короткое, а коды Грея имеют ту же длину, что исходные данные… Видимо, придётся идти патент читать.)
Была уверена, что они это багом не считают и фиксить не станут, что им плевать на эту особенность.
А они взяли и пофиксили, ещё и всего спустя сутки. Добавила об этом UPD.
Получается, можно было попробоваться в Bug Bounty, а если бы приняли, дали бы $250-300.
:c
Как спрятать мусор в базе Spotify и превратить это в квест