Откуда вы знаете, что хотел автор? Мне вот кажется, он просто голову потерял почему-то и решил покрасоваться. Детская дыра или нет, ответственность за свои действия нужно понимать.
Что мешало ему сообщить об ошибке приватно? Если боялся преследований, он мог бы сделать это анонимно. Вместо этого он сам совершил противоправные действия и на какое-то время дал неопределенному кругу лиц фору перед разработчиками\админами сервиса.
Не одновременно. Писать надо было до и дать хотя бы какое-то время на исправление.
Есть ли хоть какой-то технический смысл в статье? Что-то уникальное? По-моему, нет. Нашел SQLi, ну офигеть.
писать лично администрации сайта или кто там за него отвечает я тоже не горю желанием
При этом даже не попытался зарепортить. Нарушил закон, так и людей обычных, которые и не знают о сервисе, вполне себе подставил.
При этом тут в комментариях хвалится…
А у публикации за 200 рейтинг.
Не понимаю, неужели большинство не видит тут подставы прежде всего для обычных людей? Ведь даже попытки контакта с админами\разработчками не было, судя по статье.
Так, может, эта история грузится не с серверов, а с других собеседников, просто сервер в данном случае как прокси между веб-версией клиента и хранилищем истории у других локально?
Перечитайте первый комментарий Invision70, на который ответили, там было про основную массу, а не про вас конкретно.
Мне точно также фиолетово, где вы будете сидеть и где у вас заказчики, я всего лишь хотел обратить внимание, что для других сервис может быть ужасным в то же самое время, когда для вас он идеален.
Если вас все устраивает, это не значит, что это же справедливо для других.
Человек сделал предположение, вы вправе не согласиться. Время покажет, что будет дальше.
Лично для меня большим минусом стало то, что они не удаляют информацию из своих систем, а просто блокируют аккаунт.
После многочисленных сливов это выглядит просто свинством.
Ваш счет PayPal ограничен, поскольку мы не получили ранее запрошенную информацию, которую мы обязаны собрать в соответствии с российским законодательством. Это означает, что Вы не можете отправлять, получать или выводить денежные средства.
Хотят паспортные данные. На запрос подробностей в виде номера закона, статьи и пояснения ответа так и не получил.
Кто-нибудь в курсе, что за фигня? Сумма платежей в месяц через него не более 1000р, т.е. явно не похоже на 15к и борьбу с терроризмом…
Skype — просто пример программы, которая проверяет ссылки на фишинг не сразу, а с задержкой.
Также не стоит забывать о всяких плагинах\расширениях к браузерам, которые тоже могут делать свои проверки. Типа kaspersky protection.
Схема с локальной базой логичнее, но кто его знает, кто и как все делает )
2я часть моего комментария была в общем случае не про Гугл. Я не знаю, какая поисковая система там использовалась, мне понравился сам принцип. Наверное, собеседник имел в виду наблюдающих извне за трафиком.
Сам сервис, к которому идут запросы, например, Гугл, понятное дело, обо всех них знает (хотя бы сам факт, что они были).
Предположу, что Гугл — просто пример. Ключевая фраза «Если вам надо спрятать лист — прячьте его в лесу.»
Слышал про подобную практику, когда специфичные запросы скрывались за шумом, генерируемым кучей людей, которым предоставляли инет для любых целей с того же канала :) Мол, тогда внешне выглядело как будто какая-то обычная локалка.
Кстати, насчет техподдержки. Похоже, что сайт ТП использует чужую платформу, надпись powered by UserEcho как бы намекает, как и dns. Учитывайте это при общении, в том числе оставляя там свои секретные ссылки.
По идее нарушает, но тут надо почитать их ToS. Вдруг они, как РЖД пишут что-то типа «все предоставленные вами данные являются общедоступными» и т.д. и т.п. Тем не менее было бы любопытно посмотреть, как поведут себя РКН и FL в этой ситуации.
Но если захотел публиковать на Хабре или где-то еще публично, то хотя бы шанс как-то исправить уязвимость дать нужно было заранее.
Автор осуществил несанкционированный доступ к информации без согласия владельцев системы и пользователей, чьи данные там обрабатываются.
Есть ли хоть какой-то технический смысл в статье? Что-то уникальное? По-моему, нет. Нашел SQLi, ну офигеть.
При этом даже не попытался зарепортить. Нарушил закон, так и людей обычных, которые и не знают о сервисе, вполне себе подставил.
При этом тут в комментариях хвалится…
А у публикации за 200 рейтинг.
Не понимаю, неужели большинство не видит тут подставы прежде всего для обычных людей? Ведь даже попытки контакта с админами\разработчками не было, судя по статье.
Можно источник? Просто довольно интересная инфа. Почему месяц, а не 2 или неделя и т.п.?
Мне точно также фиолетово, где вы будете сидеть и где у вас заказчики, я всего лишь хотел обратить внимание, что для других сервис может быть ужасным в то же самое время, когда для вас он идеален.
Человек сделал предположение, вы вправе не согласиться. Время покажет, что будет дальше.
Лично для меня большим минусом стало то, что они не удаляют информацию из своих систем, а просто блокируют аккаунт.
После многочисленных сливов это выглядит просто свинством.
Хотят паспортные данные. На запрос подробностей в виде номера закона, статьи и пояснения ответа так и не получил.
Кто-нибудь в курсе, что за фигня? Сумма платежей в месяц через него не более 1000р, т.е. явно не похоже на 15к и борьбу с терроризмом…
Также не стоит забывать о всяких плагинах\расширениях к браузерам, которые тоже могут делать свои проверки. Типа kaspersky protection.
Схема с локальной базой логичнее, но кто его знает, кто и как все делает )
Видел где-то, якобы skype ходит постфактум по ссылкам из переписки для проверки на фишинг.
И про домены — вроде бы там не совсем домены, а какие-то хэши, если вдруг хэш совпадает, то выкачивается уже список и он проверяется.
Сам сервис, к которому идут запросы, например, Гугл, понятное дело, обо всех них знает (хотя бы сам факт, что они были).
Слышал про подобную практику, когда специфичные запросы скрывались за шумом, генерируемым кучей людей, которым предоставляли инет для любых целей с того же канала :) Мол, тогда внешне выглядело как будто какая-то обычная локалка.