Я пробежался по-диагонали по исходникам и скажу вам, что там хватает кеков.
Кстати, у меня есть рабочая теория отчего же так все окологосударственные разработчики любят открытый HTTP.
Дело в том, что HTTPS у сервисов которые их окружают, зачастую работает на базе ГОСТового шифрования, к которому, естественно, никакой обычный софт без танцев с бубном не цепляется.
Проброс туннеля через stunnel, который терминирует ГОСТовый TLS/SSL и отдаёт обычный, ребята не могут осилить и поэтому везде поголовно торчит HTTP.
Существенные выплаты от Яндекса — от Яндекса и существенные.
Не десятки тысяч долларов, но более чем выше средней рыночной стоимости моего затраченного времени, удовлетворение присутствует в полной мере.
Те 10к рублей — те, что суммарно собрались с результатов волонтёрской работы. Эта сумма не связана с Яндексом.
Но вы учитывайте, что на инфраструктуре у команд имеющих багбаунти программы, все низковисящие фрукты сбиты другими макаками так же принимающими участие в погоне за бананами, поэтому количество усилий требуемое для обнаружения серьёзной уязвимости ни в какое сравнение не идёт с «обычным» вебом, где за полчаса ты можешь найти сколько угодно лютой дичи, которая, по-сути, никому не интересна.
Да и подавляющее большинство обнаруженных уязвимостей, вне зависимости от того закрыты в итоге они или нет, вряд ли будут когда-либо публично разглашены. В резюме указаны не будут, точно.
В инфобезе хорошо работает история с адресными благодарочками, например. Или по старинке пишите интересный (1)контент (2) в медиа, это универсальный рецепт усиления своей ценности в глазах внешнего наблюдателя.
Помимо этого в течении года я рассылал уведомления об обнаруженных мной уязвимостях на различных сервисах их владельцам. И я могу лишь сказать, что тот опыт который вы получили при общении — типичен.
Из нескольких сотен уведомлений, я могу по пальцам пересчитать тех кто поблагодарил, хотя бы. И наизусть назвать пофамильно тех, кто ответил материальным вознаграждением. К слову, суммарный объём вознаграждений здесь составил менее 10.000₽.
Вайтхат, это — чистой воды для волонтёров развлечение.
Господа Night_Snakealexsemenyakamitradir, спасибо вам за столь содержательный диалог и за текстовую версию на Хабре — это было квинтессенцией систематизации накопленных собственных ощущений и умозаключений.
Тем не менее, прошел уже целый год с момента вашего диалога между собой, хочу задать вам вопрос: оглядываясь на эту дискуссию, что бы хотели тут дополнить? Куда, в итоге, за год сообщество пришло? Насколько сейчас актуальны проблемы годичной давности?
https://goteleport.com
Дам косарь, если поделитесь ссылкой и там действительно окажется история хотя бы отдалённо похожая на описанный сюжет.
Ахах, вы — не правы. После такого рода публикаций, я — нашёл работу мечты :)
Exactly.
Храните секреты в переменных окружения отдельного пользователя под которым запущен stunnel, а по-уму ваще внедрите HashiCorp Vault, например.
Отнюдь!
stunnel входит в комплект поставки КриптоПРО CSP который весь вдоль и поперёк обмазан этими вашими сертификатами и лицензиями.
— https://www.cryptopro.ru/products/other/stunnel
— https://www.cryptopro.ru/products/csp
— https://www.cryptopro.ru/certificates?pid=1417
Я пробежался по-диагонали по исходникам и скажу вам, что там хватает кеков.
Кстати, у меня есть рабочая теория отчего же так все окологосударственные разработчики любят открытый HTTP.
Дело в том, что HTTPS у сервисов которые их окружают, зачастую работает на базе ГОСТового шифрования, к которому, естественно, никакой обычный софт без танцев с бубном не цепляется.
Проброс туннеля через stunnel, который терминирует ГОСТовый TLS/SSL и отдаёт обычный, ребята не могут осилить и поэтому везде поголовно торчит HTTP.
Как-то так.
Однако, с языка сняли, всё верно.
Спасибо за содержательный контраргумент. Всецело его поддерживаю.
Да, несколько репозиториев были публично доступны, в том числе и поисковикам.
Какое-такое багбаунти?
Именно так и было.
Существенные выплаты от Яндекса — от Яндекса и существенные.
Не десятки тысяч долларов, но более чем выше средней рыночной стоимости моего затраченного времени, удовлетворение присутствует в полной мере.
Те 10к рублей — те, что суммарно собрались с результатов волонтёрской работы. Эта сумма не связана с Яндексом.
Но вы учитывайте, что на инфраструктуре у команд имеющих багбаунти программы, все низковисящие фрукты сбиты другими макаками так же принимающими участие в погоне за бананами, поэтому количество усилий требуемое для обнаружения серьёзной уязвимости ни в какое сравнение не идёт с «обычным» вебом, где за полчаса ты можешь найти сколько угодно лютой дичи, которая, по-сути, никому не интересна.
Да и подавляющее большинство обнаруженных уязвимостей, вне зависимости от того закрыты в итоге они или нет, вряд ли будут когда-либо публично разглашены. В резюме указаны не будут, точно.
В инфобезе хорошо работает история с адресными благодарочками, например. Или по старинке пишите интересный (1) контент (2) в медиа, это универсальный рецепт усиления своей ценности в глазах внешнего наблюдателя.
Да, я — тут есть.
За прошедший год я дважды получал существенные выплаты участвуя в багбаунти Яндекса. Даже в «Зале Славы» найти можно — https://yandex.ru/bugbounty/hall-of-fame/all/#devanchi
Помимо этого в течении года я рассылал уведомления об обнаруженных мной уязвимостях на различных сервисах их владельцам. И я могу лишь сказать, что тот опыт который вы получили при общении — типичен.
Из нескольких сотен уведомлений, я могу по пальцам пересчитать тех кто поблагодарил, хотя бы. И наизусть назвать пофамильно тех, кто ответил материальным вознаграждением. К слову, суммарный объём вознаграждений здесь составил менее 10.000₽.
Вайтхат, это — чистой воды для волонтёров развлечение.
Тем не менее, прошел уже целый год с момента вашего диалога между собой, хочу задать вам вопрос: оглядываясь на эту дискуссию, что бы хотели тут дополнить? Куда, в итоге, за год сообщество пришло? Насколько сейчас актуальны проблемы годичной давности?
мимоархитекторвбанке
Ну-ка?