Comments 22
неужели так просто? прям не верится.
+4
UFO just landed and posted this here
Уже пофиксили, по ссылке
https://www.google.com/search?q=торт&kgmid=/m/07s4h8h&kponly торты, по ссылке
https://www.google.com/search?q=борщ&kgmid=/m/07s4h8h&kponly борщи
https://www.google.com/search?q=торт&kgmid=/m/07s4h8h&kponly торты, по ссылке
https://www.google.com/search?q=борщ&kgmid=/m/07s4h8h&kponly борщи
0
0
«ыксперт обнаружил уязвимость»… С самого появления kgraph этой фишкой все пользовались по приколу, вон я это еще в 2013 году описал.
+14
Разве не именно это делает его экспертом по информационной безопасности? Оказывается, действительно, некоторые знали об этой «фишке», но только он заметил в этом уязвимость позволяющая генерировать фишинговые результаты. И только благодаря ему Google довольно быстро закрыл эту «фичу».
+2
т.е. его заслуга только в том, что он в более близких отношениях с гуглом, чем ganqqwerty или другие люди, нашедшие этот баг?
+1
А кто сказал, что он «в более близких отношениях с гуглом»?
Его заслуга в том, что эксперт обнаружил уязвимость и сумел донести до других, в чём заключается опасность. Другие, до него, просто видели лишь «прикольную фишку», но не понимали что это уязвимость. Конечно, в этом нет ничего удивительного — каждый является экспертом в своей области.
Возможно, не самое удачное сравнение, но вспомните детей, которые находили боеприпасы и бросали их в огонь — для них это было прикольно.
Его заслуга в том, что эксперт обнаружил уязвимость и сумел донести до других, в чём заключается опасность. Другие, до него, просто видели лишь «прикольную фишку», но не понимали что это уязвимость. Конечно, в этом нет ничего удивительного — каждый является экспертом в своей области.
Возможно, не самое удачное сравнение, но вспомните детей, которые находили боеприпасы и бросали их в огонь — для них это было прикольно.
+5
Всельчаки уже давно так развлекались, кто ради фана, кто по делу. Подача материала не экслюзивна. Вот из 2016 в том же ключе про их священную корову plus.google.com/+AaronBradley/posts/92wjiusi2YC. Поэтому вся эта история про неведающего исполина и народного героя выглядит немного сказачной.
+1
И пусть кто теперь скажет, что хабр уже не торт.
+4
В сухом остатке получается, что статья о том, что уязвимости уже нет.
P.S. LukaSafonov, у вас маленькая описка, вместо «url» написано «uri».
P.S. LukaSafonov, у вас маленькая описка, вместо «url» написано «uri».
0
На момент написания статьи (вчера) уязвимость была — в статье есть скрины и описание.
Это не описка, URI — Uniform Resource Identifier.
Это не описка, URI — Uniform Resource Identifier.
+4
Кажется, я чего-то не понимаю. Мне трудно представить сценарии зловредной эксплуатации этой фичибаги.
Чтобы пользователь попал на выдачу Торт->Хабр, он должен пройти по ссылке, сформированной хакером Евой. Причем желательно обфусцированной. Но если Ева как-то убедила Алису кликнуть по своей ссылке, там может быть что угодно: сайт-обманка, загрузка трояна с перенаправлением на гугл, да много чего.
При этом все, чего Ева добьется — после клика по ее ссылке Алиса может перейти на тот сайт, который нужен Еве. Но для этого ей нужно убедить Алису кликнуть на обфусцированную ссылку! Почему бы тогда сразу не давать ссылку на свой сайт, зачем прослойка в виде Гугла?
На мой взгляд, если Алисас подозрениемвнимательно относится к тому, какие ссылки она открывает, то не попадется на эту удочку. А если Боб бездумно кликает на все ссылки, то его можно поймать и проще.
Или я что-то упускаю?
Чтобы пользователь попал на выдачу Торт->Хабр, он должен пройти по ссылке, сформированной хакером Евой. Причем желательно обфусцированной. Но если Ева как-то убедила Алису кликнуть по своей ссылке, там может быть что угодно: сайт-обманка, загрузка трояна с перенаправлением на гугл, да много чего.
При этом все, чего Ева добьется — после клика по ее ссылке Алиса может перейти на тот сайт, который нужен Еве. Но для этого ей нужно убедить Алису кликнуть на обфусцированную ссылку! Почему бы тогда сразу не давать ссылку на свой сайт, зачем прослойка в виде Гугла?
На мой взгляд, если Алиса
Или я что-то упускаю?
0
Неплохо так багу нашли. Быстрый фикс логичен и беспощаден.
0
Sign up to leave a comment.
Подмена поисковой выдачи Google