Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 69
Я тоже уважаю Яндекс… Главное для таких больших компаний — не стать одной из тех, которые плюют на отдельных пользователей в расчете на то, что их еще много.
Если бы ваше письмо начиналось с «Здравствуйте, на Яндексе есть XSS-уязвимость, которой пытались...», я думаю среагировали гораздо быстрее.
Этим и отличается художественное письмо от делового — сразу к сути. Вы только представьте, сколько людей ежедневно шлют письма в яндекс, начинающихся с «Добрый вечер. Только что мне пришёл спам....»
Этим и отличается художественное письмо от делового — сразу к сути. Вы только представьте, сколько людей ежедневно шлют письма в яндекс, начинающихся с «Добрый вечер. Только что мне пришёл спам....»
на самом деле я прочитав все это вывел все деньги с ЯДа в WM надеюсь что проблему они оперативно решат, но что то ИМХО они бюрократию раздули. Нада было проще схемы взаимодействий создавать — дать в службу безопастности, те проверят если угроза реальная пошлют по инстанциям верстальщикам.
Самому «Яндексу», конечно, имеет смысл провести полноценное расследование и все-таки ликвидировать
эти уязвимости, если она заботится о своем имидже.
Лично я думаю, что тут имеем дело не с ранее неизвестной политикой «Яндекса» (отжимать деньги бессовестным мошенничеством), а с людьми, которые имеют какое-то (непрямое) отношение к «Яндексу».
Очень надеюсь, что не ошибаюсь.
эти уязвимости, если она заботится о своем имидже.
Лично я думаю, что тут имеем дело не с ранее неизвестной политикой «Яндекса» (отжимать деньги бессовестным мошенничеством), а с людьми, которые имеют какое-то (непрямое) отношение к «Яндексу».
Очень надеюсь, что не ошибаюсь.
самому яндексу на это насрать как вы видите =)
вы бы знали сколько там рядовые сотрудники получают — посмеялись бы ;-)
вы бы знали сколько там рядовые сотрудники получают — посмеялись бы ;-)
Озвучьте на этой площадке, если знаете :)
Очередной повод для реформы службы техподдержки. Первый ответ, как я понял, от девушки, а второй уже от более продвинутого парня
Вывод: в техподдержке нужны или более продвинутые девушки, или парни = )
Вывод: в техподдержке нужны или более продвинутые девушки, или парни = )
Почему-то у меня какая-то скрытая нелюбовь к ЯДу, WM кажутся лучше по всем параметрам…
Впрочем, тут речь о другом… Да, наверное, стоило назвать письмо как XSS-уязвимость чтобы быстрее отреагировали, впрочем, невнимательность иногда может дорогого стоить. Попозорили их немного на хабре, но за дело… Возможно, для таких вопросов стоит выделить отдельный почтовый ящик — так кажется логичнее… И тогда важные письма не будут в куче с общими письмами.
Впрочем, тут речь о другом… Да, наверное, стоило назвать письмо как XSS-уязвимость чтобы быстрее отреагировали, впрочем, невнимательность иногда может дорогого стоить. Попозорили их немного на хабре, но за дело… Возможно, для таких вопросов стоит выделить отдельный почтовый ящик — так кажется логичнее… И тогда важные письма не будут в куче с общими письмами.
Вот после таких постов сразу начинаешь понимать противников электронных денег, которые требует закрыть вебмани, яндекс.деньги и пр.
Я конечно не такой радикал, но я за то, чтобы приравнять электронные платежные системы к банкам и обязать бы их получать банковскую лицензию.
Порядка бы больше стало, особенно в плане открытости и прозрачности, ответственности системы перед пользователями, урегулирования споров. Просто так банить пользователей они бы уже не смогли и не смогли бы отделывать от пользователей простыми отмазками.
Я конечно не такой радикал, но я за то, чтобы приравнять электронные платежные системы к банкам и обязать бы их получать банковскую лицензию.
Порядка бы больше стало, особенно в плане открытости и прозрачности, ответственности системы перед пользователями, урегулирования споров. Просто так банить пользователей они бы уже не смогли и не смогли бы отделывать от пользователей простыми отмазками.
Радуйтесь, что за сетевые деньги прямо из компьютера вас убить не могут, на улице-то оно все страшней.
Почитайте криминальные сводки — станете понимать противников денег вообще. :)
Открытость и прозрачность, равно как и ответственность перед клиентами, достигаются не лицензированием, а конкуренцией.
Буржуйский paypal пускай не сразу, но через 2 месяца таки вернул мне все деньги, которые с меня выманили мошенники.
Не могу понять, как открытость, прозрачность и особенно «ответственность системы перед пользователями» относится к российским банкам.
Все банки обязаны отчитываться по стандартам МФСО, для всех остальных компаний МФСО станет обязательным в две тысячи надцатом году…
Это про прозрачность и открытость.
Про ответственность: берем классический случайpisding'а мошенничества. Вы пишите заявление, что Вы не совершали данную сделку и просите вернуть деньги на счет. У банка есть срок установленный законом(!) для расследования, в течении которого банк(именно банк, а не Вы!) должен доказать, что это Вы совершили сделку и пытаетесь их надуть, в противном случае он обязан вернуть деньги.
А как этот процесс происходит у электронных платежных систем Вы уже прочитали, в общем, разница на лицо.
Плюс не забываем банковская лицензия — дорогое удовольствие, а каждый случай нарушения закона может привести к её аннулированию. Так что банку проще вернуть условно Ваши 10 000 рублей, чем потерять десятки тысяч долларов на восстановление лицензии и работы.
Это про прозрачность и открытость.
Про ответственность: берем классический случай
А как этот процесс происходит у электронных платежных систем Вы уже прочитали, в общем, разница на лицо.
Плюс не забываем банковская лицензия — дорогое удовольствие, а каждый случай нарушения закона может привести к её аннулированию. Так что банку проще вернуть условно Ваши 10 000 рублей, чем потерять десятки тысяч долларов на восстановление лицензии и работы.
Пару лет назад я случайно нашел cvs на сайте Яндекса и написал им, мол не секурно. Ответили, что секурно. Я ответил — что нет, и могу написать на какой-то сайт по секурити. Ответа не получил, по потом они это просто убрали.
О чем это я? Яндекс — большая компания с разными сотрудниками. Среди которых есть тайные разгильдяи. Так что надо просто быть настойчивым.
О чем это я? Яндекс — большая компания с разными сотрудниками. Среди которых есть тайные разгильдяи. Так что надо просто быть настойчивым.
Яндекс вообще-то небольшая компания.
стабильность — показатель уверенности (Ц)
яндекс — очень стабильная компания. их постоянно ломают через одни и те же дыры, что пять лет назад, что три, что сейчас. дыры передаются по наследству с кодом, а яндекс стабильно не желает нанимать специалистов по качеству и безопасности.
ничего личного.
яндекс — очень стабильная компания. их постоянно ломают через одни и те же дыры, что пять лет назад, что три, что сейчас. дыры передаются по наследству с кодом, а яндекс стабильно не желает нанимать специалистов по качеству и безопасности.
ничего личного.
Осадочек остался, да… :(
Эт типа — вы храните деньги на яндексе? мы идем к вам?
Убедился в одной вещи: ни в коем случае не хранить деньги в таких вот кошельках.
Была ситуация у нас как то в городе муужика хакнули на серьезную сумму, он банку жаловаться а те ему храните такие суммы на депозите. Это я к тому что любая система подвержена взлому.
Вот только вопрос где хранить деньги ((
Правда для меня не злободневыный вопрос )) как не было денег так и не успевают отложиться. улетают сразу.
Убедился в одной вещи: ни в коем случае не хранить деньги в таких вот кошельках.
Была ситуация у нас как то в городе муужика хакнули на серьезную сумму, он банку жаловаться а те ему храните такие суммы на депозите. Это я к тому что любая система подвержена взлому.
Вот только вопрос где хранить деньги ((
Правда для меня не злободневыный вопрос )) как не было денег так и не успевают отложиться. улетают сразу.
Редкий топик где мат абсолютно в меру и к месту. Я вегда считал ЯД и WM игрушками, и не доверяю им. Лучше на пайпале пока посижу, они гораздо серьезнее выглядят. Да и денег на самом пайпале нету, а будут сняты с карточки в момент платежа. А служба безопасности моего банка сама мне звонит когда что-то странным им кажется.
«храните деньги в сберегательной кассе!» (с)
Большие компании это отдельный разговор. Ничего не поделаешь, в таких структурах несомненно присутствует косность. Наверное это потому, что действует принцип «незаменимых людей нету» + снижение издержек любой ценой.
Возможно Яндекс с этим и неплохо справляется. Я сам на прежней работе иногда получал скам на рабочий мейл, пересылал в абюз и ответ был такой же шаблонный, без имени и с содержанием: не посещайте сайт не открывайте вложение и сотрите письмо. А я думал они сейчас начнут выяснять откуда оно попало, сколько людей его получило и т. д. и потом всех предупредят рассылкой.
Возможно Яндекс с этим и неплохо справляется. Я сам на прежней работе иногда получал скам на рабочий мейл, пересылал в абюз и ответ был такой же шаблонный, без имени и с содержанием: не посещайте сайт не открывайте вложение и сотрите письмо. А я думал они сейчас начнут выяснять откуда оно попало, сколько людей его получило и т. д. и потом всех предупредят рассылкой.
Это издержки любой компании, которая постепенно обрастает бюрократией. В большой компании необходимы правила-регламенты и их соблюдение, но они же являются тормозом при необходимости принятии быстрых решений; и сами по себе эти «правила-процедуры» с огромное инертностью поддаются изменениям.
По своей работе я периодически общаюсь с действующими сотрудниками Яндекса (которые ищут новую работу, или бывшими) — многие из них одной из причин ухода из Яндекса называют как раз разрастание бюрократических процедур, мешающих эффективной работе.
По своей работе я периодически общаюсь с действующими сотрудниками Яндекса (которые ищут новую работу, или бывшими) — многие из них одной из причин ухода из Яндекса называют как раз разрастание бюрократических процедур, мешающих эффективной работе.
Интересен ответ от представителей компании.
Яндекс просто наплевательски относится к своим клиентам. Пример — мой случай, когда «служба безопасности» заблокировала перевод на мой кошелёк на месяц. Это при том, что я прописан в Москве, не сидел и не привлекался, со счётом в банке, доступен по телефону, припёрся в офис… Было это в разгар нестабильного доллара — вот и причина, я думаю, хотели на курсах поиграть.
Насчёт зарплат — по их дамам в офисе я бы не сказал что у них копеечные зарплаты.
Сейчас думаю — не разорвать ли привязку кошелька к банковской карточке, что-то стрёмно.
Насчёт зарплат — по их дамам в офисе я бы не сказал что у них копеечные зарплаты.
Сейчас думаю — не разорвать ли привязку кошелька к банковской карточке, что-то стрёмно.
Привязка к карте не создает никаких дополнительных рисков.
А если Яндекс вместе с блокировкой кошелька заблокирует мою карту? Что-то не хочется в этом разбираться, учитывая негативный опыт.
ну да, как на хабре пиарить спи… нные фичи с гугла тут они шустрые, а как дыры закрывать — так все ушли на фронт. Сколько они тот же ssl прикручивали? Зажрались они.
Дело не в зажратости. Знаете как они отбирают сотрудников?
yandex: Нужен программист на Erlang, чтобы дописать форк ejabberd (который до этого искорёжил Горячев и срулил в другую компанию, где ему пообещали больше денег, но только чтобы он ничего не кодил.)
user1: Я немножко кодил на C++
yandex: Готов переехать в Москву?
user1:…
user2: Я немного видел код C++ и устал работать в технической поддержке, хочу чего-то творить-создавать и работать по 25 часов в сутки!
yandex: Берём!
yandex: Нужен программист на Erlang, чтобы дописать форк ejabberd (который до этого искорёжил Горячев и срулил в другую компанию, где ему пообещали больше денег, но только чтобы он ничего не кодил.)
user1: Я немножко кодил на C++
yandex: Готов переехать в Москву?
user1:…
user2: Я немного видел код C++ и устал работать в технической поддержке, хочу чего-то творить-создавать и работать по 25 часов в сутки!
yandex: Берём!
По опыту знаю, что в некоторых случаях надо просто быть настойчивым.
У меня не раз были сбои во время оплаты, но деньги никуда не уходят в никуда, они всегда имеют адресатов. и их всегда можно проследить.
Просто надо настоять. В случае с магазином Болеро, они вовсе стали игнорировать меня, тогда я стал просто информировать, что добавлю их в черный список, только тогда они отвечали. Мне даже было как-то неудобно всегда пугать черным списком, но без этого они просто не отвечали.
У меня не раз были сбои во время оплаты, но деньги никуда не уходят в никуда, они всегда имеют адресатов. и их всегда можно проследить.
Просто надо настоять. В случае с магазином Болеро, они вовсе стали игнорировать меня, тогда я стал просто информировать, что добавлю их в черный список, только тогда они отвечали. Мне даже было как-то неудобно всегда пугать черным списком, но без этого они просто не отвечали.
Неделя рекламы Нокии закончилась и началась неделя рекламы Яндекса? :)
Описанная уязвимость и подобные ей были исправлены
Компания Яндекс непосредственно несет ответственность за все XSS-атаки с последующим уводом денег начиная как минимум с 25 ноября.
Я думаю пострадавшему должны возместить потерянные средства.
Я думаю пострадавшему должны возместить потерянные средства.
О чём сериал? =)
p.s.: прям как санта барбора
p.s.: прям как санта барбора
Извините, но XSS пассивная.
В предыдущей теме я нашел владельца домена httpz, имя, телефоны и так далее, кому интересно — загляните.
Школьники балуются с сайта hacker-pro.net =)
Сервис 1stat.ru, который хранит историю изменения WHOIS очень полезная штука порой:)
Школьники балуются с сайта hacker-pro.net =)
Сервис 1stat.ru, который хранит историю изменения WHOIS очень полезная штука порой:)
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как наш любимый Яндекс реагирует на сообщения о XSS