Pull to refresh

Comments 22

UFO just landed and posted this here
Google will finally be working to fix a bug in its search engine that allowed results to be spoofed
Пофиксят, в будущем времени.
UFO just landed and posted this here
Увы, но вы живете в прошлом.
Разве не именно это делает его экспертом по информационной безопасности? Оказывается, действительно, некоторые знали об этой «фишке», но только он заметил в этом уязвимость позволяющая генерировать фишинговые результаты. И только благодаря ему Google довольно быстро закрыл эту «фичу».
т.е. его заслуга только в том, что он в более близких отношениях с гуглом, чем ganqqwerty или другие люди, нашедшие этот баг?
А кто сказал, что он «в более близких отношениях с гуглом»?

Его заслуга в том, что эксперт обнаружил уязвимость и сумел донести до других, в чём заключается опасность. Другие, до него, просто видели лишь «прикольную фишку», но не понимали что это уязвимость. Конечно, в этом нет ничего удивительного — каждый является экспертом в своей области.

Возможно, не самое удачное сравнение, но вспомните детей, которые находили боеприпасы и бросали их в огонь — для них это было прикольно.
Всельчаки уже давно так развлекались, кто ради фана, кто по делу. Подача материала не экслюзивна. Вот из 2016 в том же ключе про их священную корову plus.google.com/+AaronBradley/posts/92wjiusi2YC. Поэтому вся эта история про неведающего исполина и народного героя выглядит немного сказачной.
И пусть кто теперь скажет, что хабр уже не торт.
Так не торт же, закрыли уязвимость
Да, теперь уже хабр точно не торт :(
В сухом остатке получается, что статья о том, что уязвимости уже нет.

P.S. LukaSafonov, у вас маленькая описка, вместо «url» написано «uri».
На момент написания статьи (вчера) уязвимость была — в статье есть скрины и описание.

Это не описка, URI — Uniform Resource Identifier.
Я понимаю, что уязвимость была. Просто на момент моего чтения уже была пометка о закрытии уязвимости.
Насчёт URI, БОЛЬШОЕ СПАСИБО, что поправили. Был не прав, зато много нового узнал.
Кажется, я чего-то не понимаю. Мне трудно представить сценарии зловредной эксплуатации этой фичибаги.
Чтобы пользователь попал на выдачу Торт->Хабр, он должен пройти по ссылке, сформированной хакером Евой. Причем желательно обфусцированной. Но если Ева как-то убедила Алису кликнуть по своей ссылке, там может быть что угодно: сайт-обманка, загрузка трояна с перенаправлением на гугл, да много чего.
При этом все, чего Ева добьется — после клика по ее ссылке Алиса может перейти на тот сайт, который нужен Еве. Но для этого ей нужно убедить Алису кликнуть на обфусцированную ссылку! Почему бы тогда сразу не давать ссылку на свой сайт, зачем прослойка в виде Гугла?

На мой взгляд, если Алиса с подозрениемвнимательно относится к тому, какие ссылки она открывает, то не попадется на эту удочку. А если Боб бездумно кликает на все ссылки, то его можно поймать и проще.
Или я что-то упускаю?
Это делается для того, что бы гугель показывал сайт Евы уже любому, кто ввел «Торт» не заходя на сайт Евы.
Весовой коэфф. повышается ссылки Евы в поисковике, для этого делается.
Неплохо так багу нашли. Быстрый фикс логичен и беспощаден.
Sign up to leave a comment.