Как у обычного пользователя, у меня вызывает обеспокоенность тот факт, что в веб-архиве, судя по скриншоту, уже "больше, чем 10000" таких ссылок, и возникает вопрос, как эти ссылки там оказались, если говорят, что их нельзя сгенерировать или подобрать?
Понятно, что скорее всего большинство ссылок там - на картинки из публичных каналов и попали они туда из-за того, что кравлер веб-архива зашел на веб-версию макса и сохранил себе страницы с постами в этих каналах.
Но ведь ссылки не на конкретные jpg/webp, а на скрипт, в который условное название файла передается в параметре, так почему бы разработчикам в этот скрипт не добавить проверку доступа (да даже хотя бы банальную проверку CORS заголовков при обработке запроса - сейчас так делают даже онлайн-кинотеатры, которые "смотреть без регистрации", чтобы у них ворованное не воровали)? В общем, выключайте chat gpt и включайте уже головы.
Плюсую. Я иногда пользуюсь photopea (вполне себе аналог фотошопа, работающий в браузере) на машинах, где нет фотошопа, а картинку обработать надо. Так вот, он за CF. И это, увы, далеко не единственный пример.
Я пользуюсь сбер id, и насколько я понял, если где-то через него авторизоваться (в моем случае это была, подозреваю, е-аптека), то авторизационная кука сохранится за id.sber.ru, видимо с длинным сроком годности, а дальше все просто - ты заходишь на газету ру, она делает редирект на oauth сбер id, а тот сразу говорит, что все ок, и переадресует на redirect_uri попутно давая доступ газете ру к данным, указанным в параметре scope. Это всё максимально стандартно в рамках всяких SSO и OAuth, просто, как мне кажется, делать такое без спроса пользователя - как-то не прилично и не прозрачно.
А подскажите кто-нибудь, с каких пор при переходе на газета.ру (как например по ссылке выше) происходит автоматический едва заметный редирект на SSO и автоматическая авторизация через сбер id? Редирект был на htt_ps:_//id.sber.ru/CSAFront/oidc/authorize.do?prompt=light&response_type=code&client_type=PRIVATE&client_id=*****&state=*****&redirect_uri=https://www.gazeta.ru/auth&scope=openid%20email%20name%20mobile%20offline\_access&nonce=***&machineClick=aggressivelogin&logUid=***
До этого на газету ру не заходил от слова совсем
Я понимаю, что в условиях использования газета ру написано, что у них есть поддержка профилей пользователей на основе сбер id, но чтоб вот так автоматически без моего спроса.........
Просто поделюсь своими мыслями. В свое время перегорел к веб-разработке из-за необходимости поддержки работы CSS, JS и HTML кода одновременно под Trident, Presto, Gecko, WebKit и-что-еще-там-было - когда работоспособность в чем-то одном могла означать полную неработоспособность в чем-то другом, а когда заставлял работать во втором, оно переставало работать в третьем. Сейчас, конечно, с этим намного проще, но вся эта современная спешка из разряда "чем быстрее релиз, тем больше денег, а оптимизация потом", а также, всё, что ей способствует, и из неё вытекает, вызывает искреннее недовольство. Да и в принципе это не только к вебу относится.
А подскажите, в чем цель у злоумышленников, когда они уже со взломанного аккаунта рассылают те же самые ссылки с "бесплатным премиумом" или "узнай как ты записан в телефонной книге"? Ну появится у них новые жертвы, и с их аккаунтов будут рассылаться такие же ссылки? А дальше что?
«при активной работе с памятью eSIM-чипа как телефона, так и дополнительных операторских сервисов лимит циклов записи памяти чипа может исчерпаться»
Я не специалист, но ответьте, а зачем туда постоянно что-то писать? Разве запись в чип eSIM не должна производиться однократно при её активации? Не с точки зрения пользователя (понятно, что пользователь может изменить оператора, что потребует перезаписи eSIM), а именно с точки зрения "дополнительных операторских сервисов", да еще и так, чтобы исчерпались циклы перезаписи у ячеек памяти? Или там очередная телеметрия/неоптимизированный код, написанный на коленке?
Как у обычного пользователя, у меня вызывает обеспокоенность тот факт, что в веб-архиве, судя по скриншоту, уже "больше, чем 10000" таких ссылок, и возникает вопрос, как эти ссылки там оказались, если говорят, что их нельзя сгенерировать или подобрать?
Понятно, что скорее всего большинство ссылок там - на картинки из публичных каналов и попали они туда из-за того, что кравлер веб-архива зашел на веб-версию макса и сохранил себе страницы с постами в этих каналах.
Но ведь ссылки не на конкретные jpg/webp, а на скрипт, в который условное название файла передается в параметре, так почему бы разработчикам в этот скрипт не добавить проверку доступа (да даже хотя бы банальную проверку CORS заголовков при обработке запроса - сейчас так делают даже онлайн-кинотеатры, которые "смотреть без регистрации", чтобы у них ворованное не воровали)? В общем, выключайте chat gpt и включайте уже головы.
Плюсую. Я иногда пользуюсь photopea (вполне себе аналог фотошопа, работающий в браузере) на машинах, где нет фотошопа, а картинку обработать надо. Так вот, он за CF. И это, увы, далеко не единственный пример.
Как показывает практика, иногда причина в постепенной деградации серверов на той стороне /sarcasm
Я пользуюсь сбер id, и насколько я понял, если где-то через него авторизоваться (в моем случае это была, подозреваю, е-аптека), то авторизационная кука сохранится за id.sber.ru, видимо с длинным сроком годности, а дальше все просто - ты заходишь на газету ру, она делает редирект на oauth сбер id, а тот сразу говорит, что все ок, и переадресует на redirect_uri попутно давая доступ газете ру к данным, указанным в параметре scope. Это всё максимально стандартно в рамках всяких SSO и OAuth, просто, как мне кажется, делать такое без спроса пользователя - как-то не прилично и не прозрачно.
UPD: да собственно вот и документация по этой фиче, они называют это aggressive login https://developers.sber.ru/docs/ru/sberid/sso/auto-login-to-partner-site
А подскажите кто-нибудь, с каких пор при переходе на газета.ру (как например по ссылке выше) происходит автоматический едва заметный редирект на SSO и автоматическая авторизация через сбер id? Редирект был на
htt_ps:_//id.sber.ru/CSAFront/oidc/authorize.do?prompt=light&response_type=code&client_type=PRIVATE&client_id=*****&state=*****&redirect_uri=https://www.gazeta.ru/auth&scope=openid%20email%20name%20mobile%20offline\_access&nonce=***&machineClick=aggressivelogin&logUid=***До этого на газету ру не заходил от слова совсем
Я понимаю, что в условиях использования газета ру написано, что у них есть поддержка профилей пользователей на основе сбер id, но чтоб вот так автоматически без моего спроса.........
Полагаю, здесь нельзя писать те слова, которые наиболее точно выразили бы мое мнение относительно данной новости.
А ведь в итоге это все интерпретируется в браузере в обычный HTML и СSS. Тогда получается, что ваш HTML официально прокачан
del
У нас всё новое - "меньше по размеру", только вот конечный продукт с каждым разом становятся всё тяжелее...
Привет из августа 2025
вот тут вчера видел подборку мнений по этому законопроекту https://rtvi.com/news/marazm-krepchal-voenkory-o-shtrafah-za-prosmotr-video-i-poisk-zapreshhenki-s-vpn/
...на котором требуется ввести сам пароль, чтобы узнать утек он или нет. Ловко это они...
Просто поделюсь своими мыслями. В свое время перегорел к веб-разработке из-за необходимости поддержки работы CSS, JS и HTML кода одновременно под Trident, Presto, Gecko, WebKit и-что-еще-там-было - когда работоспособность в чем-то одном могла означать полную неработоспособность в чем-то другом, а когда заставлял работать во втором, оно переставало работать в третьем. Сейчас, конечно, с этим намного проще, но вся эта современная спешка из разряда "чем быстрее релиз, тем больше денег, а оптимизация потом", а также, всё, что ей способствует, и из неё вытекает, вызывает искреннее недовольство. Да и в принципе это не только к вебу относится.
А подскажите, в чем цель у злоумышленников, когда они уже со взломанного аккаунта рассылают те же самые ссылки с "бесплатным премиумом" или "узнай как ты записан в телефонной книге"? Ну появится у них новые жертвы, и с их аккаунтов будут рассылаться такие же ссылки? А дальше что?
Я не специалист, но ответьте, а зачем туда постоянно что-то писать? Разве запись в чип eSIM не должна производиться однократно при её активации? Не с точки зрения пользователя (понятно, что пользователь может изменить оператора, что потребует перезаписи eSIM), а именно с точки зрения "дополнительных операторских сервисов", да еще и так, чтобы исчерпались циклы перезаписи у ячеек памяти? Или там очередная телеметрия/неоптимизированный код, написанный на коленке?
chrome://settings/content/clipboard либо запретить всем сайтам, либо отдельным