Факты и доводы — пост выше — 8 из 10 компаний отреагировало неадекватно. Плюс мой личный опыт (я работаю только с иностранными сайтами) где 10 из 10 реагируют адекватно. Делаем вывод — рунет в топку
>Как было сказано чуть выше, для пользователя есть способы защиты и от этих ошибок, но с определенными сайд-эффектами которые надо понимать. В частности, привязка сессии к IP адресу (есть в настройках безопасности) помогает во многих случаях защититься от воровства кук. Установка плагинов типа NotScript/NoJS во многих случах (в частности в Вашем примере) спасает от XSS.
Они что, правда сказали что пользователи должны ставить NoScript чтобы защищиться от мейловых XSS? Платиновый ответ. Забыли посоветовать компьютер перезагрузить. три раза
Отличить просто. Без всяких проверок я знаю что mailru/yandex/rambler будут фиксить уязвимость не один месяц а скорее всего проигнорят, в то время как facebook/google/yahoo закроют в тот же день.
Как же забавно наблюдать «ответы» русских говносайтов/говнокомпаний. Я с самого начала зарекся искать/помогать рунет компаниям потому что отношение просто отвратительное.
Как видите одил лишь parallels дал хоть что то вместо «спасибо». Итог — русские сайты надо либо нещадно ломать и сливать данные, либо игнорировать. Вайтхэтством лучше заниматься на других прекрасных адекватных сайтах, будь то facebook или google.
Полезно. Я тоже начинаю консультировать и пока сделал пару выводов:
1) клиент с маленьким бюджетом но большим именем лучше чем большой бюджет под NDA
2) от проектов надо отказываться если понимаешь что он тебе не интересен, например мне не интересно аудировать PHP сайт
Они что, правда сказали что пользователи должны ставить NoScript чтобы защищиться от мейловых XSS? Платиновый ответ. Забыли посоветовать компьютер перезагрузить. три раза
Неужели все исправили, invented? А баунти когда появится?
Ну, может не стоило ложить все сайты для проверки
Сам бог велел еще и друзьям накинуть! Проитерировали бы id_client :)
WAT?!
Такой подход практикуется сугубо в рашко-компаниях. Любой буржуйский сайт скажет какой вы молодец и подарит футболочку и оперативно все исправит.
Если это для вас «достойно» то завидую вашему самообладанию!
Как видите одил лишь parallels дал хоть что то вместо «спасибо». Итог — русские сайты надо либо нещадно ломать и сливать данные, либо игнорировать. Вайтхэтством лучше заниматься на других прекрасных адекватных сайтах, будь то facebook или google.
Добавьте еще городов если не жалко, Нью Йорк, Сингапур, Шанхай. Вам легко, а мне удобней держать все в одном аппе )
1) клиент с маленьким бюджетом но большим именем лучше чем большой бюджет под NDA
2) от проектов надо отказываться если понимаешь что он тебе не интересен, например мне не интересно аудировать PHP сайт
Нас, людей с мак про, это не смущает