• И так сойдёт… или как данные 14 миллионов россиян оказались у меня в руках
    –1
    Откуда вы знаете, что хотел автор? Мне вот кажется, он просто голову потерял почему-то и решил покрасоваться. Детская дыра или нет, ответственность за свои действия нужно понимать.
  • И так сойдёт… или как данные 14 миллионов россиян оказались у меня в руках
    –2
    Что мешало ему сообщить об ошибке приватно? Если боялся преследований, он мог бы сделать это анонимно. Вместо этого он сам совершил противоправные действия и на какое-то время дал неопределенному кругу лиц фору перед разработчиками\админами сервиса.
  • И так сойдёт… или как данные 14 миллионов россиян оказались у меня в руках
    –1
    Я где-то писал, что его что-то освободило бы от ответственности? Он вообще не должен был ничего делать изначально без разрешения.

    Но если захотел публиковать на Хабре или где-то еще публично, то хотя бы шанс как-то исправить уязвимость дать нужно было заранее.
  • И так сойдёт… или как данные 14 миллионов россиян оказались у меня в руках
    –1
    Вы еще напишите «TCP/IP не запрещен». В общем случае наличие уязвимостей не тождественно публичному размещению.

    Автор осуществил несанкционированный доступ к информации без согласия владельцев системы и пользователей, чьи данные там обрабатываются.
  • И так сойдёт… или как данные 14 миллионов россиян оказались у меня в руках
    0
    Тут какая-то ошибка. Занимаются они ПД. И работают даже по обращениям обычных людей, а не по заказу свыше.
  • И так сойдёт… или как данные 14 миллионов россиян оказались у меня в руках
    +2
    Не одновременно. Писать надо было до и дать хотя бы какое-то время на исправление.

    Есть ли хоть какой-то технический смысл в статье? Что-то уникальное? По-моему, нет. Нашел SQLi, ну офигеть.

    писать лично администрации сайта или кто там за него отвечает я тоже не горю желанием

    При этом даже не попытался зарепортить. Нарушил закон, так и людей обычных, которые и не знают о сервисе, вполне себе подставил.

    При этом тут в комментариях хвалится…

    А у публикации за 200 рейтинг.

    Не понимаю, неужели большинство не видит тут подставы прежде всего для обычных людей? Ведь даже попытки контакта с админами\разработчками не было, судя по статье.
  • Как Skype уязвимости чинил
    0
    Так, может, эта история грузится не с серверов, а с других собеседников, просто сервер в данном случае как прокси между веб-версией клиента и хранилищем истории у других локально?
  • Как Skype уязвимости чинил
    0
    У них на серверах хранится последний месяц переписки

    Можно источник? Просто довольно интересная инфа. Почему месяц, а не 2 или неделя и т.п.?
  • Как Skype уязвимости чинил
    0
    реализовали примерно года 2-3 назад, возможно, у вас был какой-то старый клиент, который на тот момент почему-то имел с этим проблемы
  • Очередной взлом FL.ru
    0
    Перечитайте первый комментарий Invision70, на который ответили, там было про основную массу, а не про вас конкретно.
    Мне точно также фиолетово, где вы будете сидеть и где у вас заказчики, я всего лишь хотел обратить внимание, что для других сервис может быть ужасным в то же самое время, когда для вас он идеален.
  • Очередной взлом FL.ru
    0
    Если вас все устраивает, это не значит, что это же справедливо для других.

    Человек сделал предположение, вы вправе не согласиться. Время покажет, что будет дальше.

    Лично для меня большим минусом стало то, что они не удаляют информацию из своих систем, а просто блокируют аккаунт.
    После многочисленных сливов это выглядит просто свинством.
  • Утечка пользовательских данных в QIWI
    0
    Аналогично Paypal «порадовал»:
    Ваш счет PayPal ограничен, поскольку мы не получили ранее запрошенную информацию, которую мы обязаны собрать в соответствии с российским законодательством. Это означает, что Вы не можете отправлять, получать или выводить денежные средства.

    Хотят паспортные данные. На запрос подробностей в виде номера закона, статьи и пояснения ответа так и не получил.
    Кто-нибудь в курсе, что за фигня? Сумма платежей в месяц через него не более 1000р, т.е. явно не похоже на 15к и борьбу с терроризмом…
  • Доклады и конкурсы на NeoQUEST-2015
    +1
    Почему сами докладчики не названы? Их имена пока в секрете? )
  • Анонимности нет
    0
    Skype — просто пример программы, которая проверяет ссылки на фишинг не сразу, а с задержкой.
    Также не стоит забывать о всяких плагинах\расширениях к браузерам, которые тоже могут делать свои проверки. Типа kaspersky protection.

    Схема с локальной базой логичнее, но кто его знает, кто и как все делает )
  • Анонимности нет
    0
    Зависит от целей.
    Видел где-то, якобы skype ходит постфактум по ссылкам из переписки для проверки на фишинг.

    И про домены — вроде бы там не совсем домены, а какие-то хэши, если вдруг хэш совпадает, то выкачивается уже список и он проверяется.
  • Анонимности нет
    0
    2я часть моего комментария была в общем случае не про Гугл. Я не знаю, какая поисковая система там использовалась, мне понравился сам принцип. Наверное, собеседник имел в виду наблюдающих извне за трафиком.

    Сам сервис, к которому идут запросы, например, Гугл, понятное дело, обо всех них знает (хотя бы сам факт, что они были).
  • Анонимности нет
    0
    Предположу, что Гугл — просто пример. Ключевая фраза «Если вам надо спрятать лист — прячьте его в лесу.»

    Слышал про подобную практику, когда специфичные запросы скрывались за шумом, генерируемым кучей людей, которым предоставляли инет для любых целей с того же канала :) Мол, тогда внешне выглядело как будто какая-то обычная локалка.
  • Критическая уязвимость в безопасности на fl.ru
    0
    Кстати, насчет техподдержки. Похоже, что сайт ТП использует чужую платформу, надпись powered by UserEcho как бы намекает, как и dns. Учитывайте это при общении, в том числе оставляя там свои секретные ссылки.
  • Ссылки на видеотрансляцию запуска «Союза ТМА-16М»
    +1
    кто-нибудь знает, давно делают видеотрансляции из ракеты и как это технически организовано?
  • В свободном доступе по-прежнему находится частная, финансовая и другая закрытая информация пользователей Fl.ru
    0
    По идее нарушает, но тут надо почитать их ToS. Вдруг они, как РЖД пишут что-то типа «все предоставленные вами данные являются общедоступными» и т.д. и т.п. Тем не менее было бы любопытно посмотреть, как поведут себя РКН и FL в этой ситуации.
  • Критическая уязвимость в безопасности на fl.ru
    0
    проблема в том, что хочется узнать, не утекло ли что-то свое
    за давностью лет сходу вспомнить, было ли что-то критичное, сложно

    придется самому парсить или искать базу
  • Критическая уязвимость в безопасности на fl.ru
    0
    www.fl.ru/about/team/ похоже, админов в списке вообще не видно, а программист один, не густо
  • Критическая уязвимость в безопасности на fl.ru
    0
    Увы, удаление аккаунта не гарантирует, что документы будут удалены. Я вот несколько раз просил удалить аккаунт и почту, но их рассылки все приходят и приходят. Не удивлюсь, если с файлами все будет точно также. Тот же vk картинки не удаляет из-за дефрагментации. Кто его знает, как все работает на FL.
  • Критическая уязвимость в безопасности на fl.ru
    0
    Не знаю, что конкретно имелось в виду выше, самому интересно. По описанию для FF (про него писал ТС) очень похоже на встроенный.

    Правда там написано про Google Safe Browsing. Возможно, у собеседника был Яндекс браузер со своим.
  • Критическая уязвимость в безопасности на fl.ru
    0
    Роскомнадзор натравить на них, чтобы веселее стало. Может, научит чему-то.
  • Пишем Skype бота на C# с модульной архитектурой
    0
    только что проверил — main.db читается без проблем при запущенном скайпе 6.20.0.104
  • iOS8 — Новая политика подключения к WiFi
  • Спасем крупнейшую медиатеку в рунете. Вся база rutracker у Вас на компьютере
    0
    В свете последних дней узнал об этой теме ;) База пригодилась, спасибо.

    Единственное, чего сразу мне захотелось — это видеть еще и где-то ник создателя раздачи. Понятно, что он может меняться, но все равно полезно было бы видеть. Например, есть лица, которые делают хорошие раздачи и их ник — уже плюс для выбора такой раздачи среди других.

    Не обязательно на странице поиска, в описании — уже хорошо. Сейчас я там вижу нечто похожее на подпись — «Мои раздачи». Только вот чьи это, без форума рутрекера не посмотреть.
  • Подмена DNS сервера. Будьте осторожны
    0
    Что значит физически? Если вы про реальную близость с роутером, то WPS много где включен.
    Есть еще такая вещь, как CSRF, которая нередко встречается в админках www.defcon-russia.ru/16/routerz.pptx
  • Подмена DNS сервера. Будьте осторожны
    0
    вы просто погуглите — безопасность роутеров, даже по хабру — бэкдор там, бэкдор тут
    плюс есть специализированные поисковики типа www.shodanhq.com/
  • Bitcoin. Как это работает
    0
    В топике — «Максимально допустимый год — 2106.» В комментариях дважды упоминался 2140 год. Наверно, в топике надо поправить?

    И еще один вопрос по алгоритму подбора хэша блока: я правильно понимаю, что при появлении новой транзакции меняется mrkl_root и вся предыдущая работа отбрасывается, надо сбрасывать nonce и начинать перебор поновой? Получается интересная связь между активностью совершения переводов и трудоемкостью побора хэша блока.
  • Уязвимость связки PHP+nginx с кривым конфигом
    +1
    На всякий случай уточню, что не работает не из-за наличия вышеупомянутой строчки (";" в начале означает, что строка закомментирована), а из-за применения самого подхода с белым списком в конфиге — по умолчанию разрешено только расширение .php, и чтобы снова стать уязвимым к описанному в топике, нужно ручками добавить новое расширение и перезапустить php5-fpm :)

    Как это сейчас выглядит для конфига в php 5.4.23
    ; Limits the extensions of the main script FPM will allow to parse. This can
    ; prevent configuration mistakes on the web server side. You should only limit
    ; FPM to .php extensions to prevent malicious users to use other extensions to
    ; exectute php code.
    ; Note: set an empty value to allow all extensions.
    ; Default Value: .php
    ;security.limit_extensions = .php .php3 .php4 .php5
  • Автор Blackhole exploit kit арестован
    +1
    ему не обязательно проникать, вроде бы ст. 273 вполне покрывает эти вопросы

    другое дело, смогут ли под нее подвести доказательства

    если же смотреть с точки зрения государства, то тут ничего не поделать: с их интересами, которые выходят за рамки таких законов, они стратегически не могут себе позволить отставать в этой сфере, чтобы их кто-то другой не поимел
  • Очередная дыра в системе безопасности Skype
    0
    Кинул ссылку на статью в твиттере человеку из российской MS twitter.com/abeshkov

    Вряд ли особо поможет, но мне не влом, подписан на него )
  • Проверь Badoo на прочность! Месяц поиска уязвимостей
    0
    Уточняющий вопрос: если в таблице стоит статус «Решено», эта уязвимость реально пофикшена? Я к тому, имеет ли смысл проверять, например, как вы пофиксили чужие уязвимости, для которых стоит такой статус с зеленой галкой. Может, есть какой-то другой способ обойти фикс и т.п.
  • Проверь Badoo на прочность! Месяц поиска уязвимостей
    0
    в вашу форму для отправки репорта файлы как-то кривовато цепляются — не всегда есть кнопка прикрепить еще один файл, плюс автоответа пока так и не пришло 2м человекам

    З.Ы. а еще там сама форма на странице без https ;)
  • Атакуем через HTML тег а
    0
    ок ) значит, о тех сайтах волноваться не буду

    З.ы. приравнял Opener 1му домену — та же ошибка, хз ;)
  • Атакуем через HTML тег а
    0
    На 2х своих сайтах это не УК РФ. Пробую реально там, где юзеры вставляют ссылки. Т.е. без экзотической data ничего не выйдет?

    На таргете прямо в скрипте

    window.opener.location='http://google.com';
    alert(window.opener.document.cookie);

    NS_ERROR_DOM_PROP_ACCESS_DENIED: Access to property denied
  • Атакуем через HTML тег а
    +2
    Пробую на 2х сайтах, в одном вставляю ссылку с _blank на другой, а на том alert(window.opener.document.cookie);

    В Opera 12.12, FF 17.0.1 одинаковые ошибки типа Error: Permission denied to access property 'document'

    ЧЯДНТ?
  • Уязвимость в skype, позволяющая угнать любой аккаунт
    0
    Не пойму, почему не использовать главное меню Skype — Изменить пароль, а идти куда-то на сайт, который найти надо, и получать маркер в клиент? Не вяжется.