Comments 146
Правильно поступил парень. Пайпал вообще крайне странная организация. У них подобной тупизны — вагон. Кто хоть раз сталкивался с беспричинным баном аккаунта и его восстановлением, тот в курсе.
UFO landed and left these words here
Как это не работает в Украине?
Я уже 4 месяца оплачиваю свой сервер на digitalocean с помощью paypal. Все хорошо работает.
Не работает. Оплатить через привязанную к пейпалу карту можно, а все остальное — зась. Получить бабло, перечислить на карту (кроме как через рефанд) и т.д. — йок. Т.е. грубо говоря, для покупателя пейпал подходит, для продавца — нет.
А, на вывод я не пробовал. Ниже мой вопрос игнорируйте тогда :)
В Беларуси примерно такая же ситуация, официально привязать карту нельзя, но умные ребята додумались привязывать карту указывая Литовский адрес.
В результате ввод и вывод средств работает нормально (проверено на личном опыте, хоть и на незначительных суммах).
Из основных минусов:
— иногда приходится разъяснять продавцам почему мой адрес доставки отличается от адреса в PayPal (решалось обычно отправкой скана нескольких страниц паспорта)
— в том же ebay к аккаунту нельзя привязать аккаунт Paypal (т.к. адреса должны совпадать)
— кроме того не все карты можно привязать (вот это самая большая загадка лично для меня так точно).
Что за феерический бред? У вас вообще похоже, пейпал акка нет. Я вот тоже живу в РБ и пользуюсь услугами ПП уже 4 года. Имею сказать следующее:
1. Продавцам пофиг на то, как выглядит адрес доставки. Тем более на сканы паспорта. Они либо шипят, либо нет на адрес, отличный от акка пейпал.
2. У меня все привязанно и адреса разные. Что я делаю не так? Мало того, у меня на ибей несколько адресов доставки, на разных людей.
Прежде чем публиковать свои «откровения» на тему " ПП в Белоруссии", в следующий раз, пожалуйста, сначала заведите аккаунт и поработайте с ним годик-другой.
1. Сорри, если вы считаете что это так, то пусть будет по вашему, я уже делал заказы из примерно более чем двух десятков различных магазинов, несколько раз приходилось отсылать скан. Скриншот письма тому подтверждение
Скрытый текст

2. Вероятно неправильно я сформулировал, да, у меня также Paypal залинкован по адресу mail. Но в случае с регистрацией через Литву, если не ошибаюсь, то не получится стать «verified PayPal member».
Ну и в добавление к первоме пункту в правилах на ebay есть вся необходимая информация по поводу адресов ( в частности адреса регистрации, доставки и оплаты)
Скрытый текст

FYI: аккаунт использую более года так точно, точную дату регистрации искать не стал
1. Проехали. Я посчитал, что речь идет о продавцах на ибей. Там другая ситуация.
С магазинами вообще сложно. Они выдумывают собственные правила и умудряются доколупаться даже до платежей напрямую картой.

2. Насколько я понял, вы говорили о адресах доставки на ибей и ПП.

Три адреса, на трех разных человек, все из Белорусии. Никаких проблем. В случае, если продавец шипит только на paypal adress, как правило, они имеют ввиду тот адрес, который им пришлет ПП в квитанции на платеж. А в случае платежей через ибей, туда будет подставлен Primary shipping address из вашего ибей-аккаунта. В чем тут проблемы у вас?
Уточняйте вашу фразу «не работает».
Работает, но только в режиме read-only ;-))
Ну, как по мне, односторонняя работа платежной системы — это скорее онанизм, а не нормальное функционирование.
А теперь на секунду представьте, что нету и этого, и ощутите громадную разницу!
Ну так большинству и подходит. Зато сколько радости было, когда в России палка заработала в две стороны.
UFO landed and left these words here
То же самое происходит, когда спрашиваешь, почему забанили аккаут — одни отписки шлют. Мне в итоге позвнили, правда — считай, повезло. Многие с ними месяцами так «продуктивно» переписываются.
Эм… Дейстительно — почему вы решили, что не работает? Я уже пару лет, если мне память не изменяеть, с украинских карточек плачу отлично (ВАБ и Альфа)
А какой вы ожидали получить ответ на подобный вопрос? Мне кажется, в данном случае, техническая поддержка может лишь констатировать факт и добавить что-нибудь вроде «мы работаем над этим».
UFO landed and left these words here
Ну это есть, надо слать им сканы. Я тоже через это прошел, зато потом 5 лет уже все работает как часы.
UFO landed and left these words here
UFO landed and left these words here
UFO landed and left these words here
НАСА отчиталась, почему она не будет строить Звезду Смерти.
Ответить на такой простой вопрос — дело 10 минут, еще 2 минуты занести в шаблоны саппорта.
По моему НАСА просто продолжило стеб в хорошей манере, если вообще не они этот стеб и организовали.

Отвечать же каждому встречному на тупые вопросы, это занятие которое может занять вечность.
Да, вопрос, почему paypal не работает в Украине тупой.
UFO landed and left these words here
Привлекать всех встречных и поперечных — задача сервисов навроде пэйпола, именно с пользователей они имеют свой доход. Грамотная работа с корреспонденцией — один из способов оного привлечения.

Поэтому — да, каждому встречному и поперечному, максимально вежливо на вопрос любого уровня тупизны: это они для клиентов (и что даже важнее — благодаря клиентам), а не клиенты для них.
Ответили не НАСА, а член конгресса США. И ответил он в рамках программы, которую утвердило правительство.
Они могли и должны были первый раз ответить сами и дать инструкции первым линиям, как в дальнейшем отвечать первому встречному на такие вопросы.
UFO landed and left these words here
UFO landed and left these words here
а зачем вы задаёте вопрос, ответ на который сами знаете? Вам скучно и хочется поприкалываться над суппортом? Или потестировать их систему отклика? Уверен, техподдержке и без вас есть чем заняться.
UFO landed and left these words here
Вопрос «почему?» вообще довольно часто, как я заметил, вызывает недоумение: мол, вот вам факт, зачем вам причины-то знать, это же ничего не изменит все равно… Несколько раздражает порой.
По поводу тупизны, недавно пытался оплатить через paypal посылку в shipito, но так как ящик Shipito расположен не в России, а в Калифорнии, оплатить посылку они мне не дали.
Вопрос: какое дело платежному сервису, куда я отправляю свои посылки, если за операцию они получают свой процент?

Может быть я не прав и кто-нибудь объяснит причину такой несправедливости?
Вы на ебей покупали, наверное? В этом случае, нужно своим «основным» адресом поставить адрес в США (шипитовский)
В магазине Valve покупал :-) Ему я указывал исключительно адрес в США.
Ну так оплата покупки с доставкой на адрес в другой стране — явный признак того что аккаунт украли )
У кредитных карт на этот случай еще и AVS есть, правда работает только в штатах.
т.е. фактически PayPal защищает себя и продавца от вероятного последующего рефанда в такой ситуации
Ага, и с каждым годом магазинов, не принимающих русские кредитки, становится только больше.
Раньше и Valve и ThinkGeek принимали.
Мне, видимо, повезло с PP — ни разу не банили :) Однако, саппорт у них уж точно странный: обращался к ним несколько раз по разным вопросам, и ни разу не получил сколь-нибудь вразумительного ответа.
Это до поры до времени. Однажды их «прекрасная» система решит, что вы согрешили, и доказать обратное будет сложно.
Вряд ли у них найдётся основание для этого. К тому же, насколько я знаю, бизнес-аккаунты они блокируют довольно редко (а у меня именно такой), и там уж надо постараться согрешить.
У меня бизнес-аккаунт, и меня забанили абсоюлютно на пустом месте. Потом разбанили так же без объяснения причин.
Абсолютно согласен. Уже как год мои редкие попытки зарегистрироваться заново после пожизненного беспричинного бана не заканчиваются успехом. Регистрировался уже и с других IP, с другой почтой — каким-то образом таки просекают. К счастью есть другие способы оплаты, но не везде конечно. Тот же e-bay теперь закрыт для меня. Чёрт!
Попробуйте позвонить туда. Там русскоговорящие операторы, и мне лично повезло — я разговаривал со вполне вменяемой девушкой, которая действительно помогла и в целом была очень адекватна.
У Paypal русская техподдержка есть? Честно, не знал. Спасибо попробую.
Ну так, неспроста самая известная картинка Пейпаловского саппорта выглядит так
image
Если они считают тех, кому нет восемнадцати, фактически никем, то как они выиграют суд у никого (при адекватности судьи)? :)
Так он никто, если деньги ему платить. А вот если от него деньги получать — тут всё сразу играет другими красками :)
Нет не рай, но за своих они биться будут, а в Германии довольно хорошое правосудие в плане защиты простого люда.
Было бы прекрасно проиллюстрировать ваши слова реальным делом, в котором транснациональная корпорация проиграла бы «простому человеку» (одному, а не целой «общественности»). Познакомив меня с подобной историей, вы опровергните мой скепсис и я не буду выказывать его так однозначно впредь.
Я тоже задался таким вопросом, но сходу с корпорациями не нашел. Но с самими судами — запросто (http://translate.googleusercontent.com/translate_c?depth=1&hl=ru&rurl=translate.google.com&sl=de&tl=ru&u=http://www.bverwg.de/presse/pressemitteilungen/pressemitteilung.php%3Fjahr%3D2013%26nr%3D49&usg=ALkJrhjCQh5k3JbqnhQALB2MNvf-yn47rQ)

Если кратко — присудили компенсацию за чрезмерно длительное рассмотрение дела в судах.
C 27 мая по 17 октября вы искали «сходу» хоть один случай, в котором транснациональная корпорация проиграла бы «простому человеку» — и не нашли.
Нет, этот текст и ваш комментарий я прочитал только сегодня утром, увы. Да, люди иногда читают старые тексты — так бывает :)
мне почему-то прочиталось:

в Германии довольно хорошое правосудие в плане защиты от простого люда.
Вспомнилось:

Отличие школ Ландау и Бора (а в некотором смысле – школ во главе с ЛИЭ и с ИЛЭ) хорошо прослеживаются в таком эпизоде. «Когда Нильс Бор выступал в ФИАН, то на вопрос о том, как удалось ему создать первоклассную школу физиков, он ответил: «По-видимому, потому, что я никогда не стеснялся признаваться своим ученикам, что я дурак…». Переводивший речь Нильса Бора Е.М.Лифшиц донёс эту фразу до аудитории в таком виде: «По-видимому, потому, что я никогда не стеснялся заявить своим ученикам, что они дураки…» …Сидевший в зале П.Л.Капица глубокомысленно заметил, что это не случайная оговорка. Она фактически выражает принципиальное различие между школами Бора и Ландау, к которой принадлежит и Е.М.Лифшиц»
Формально, в Европе PayPal — не просто какая-то там американская контора, а очень даже европейский банк PayPal (Europe) Sàrl et Cie SCA, Luxembourg.
Наверняка немецкий судья должен будет учесть и это.
XSS был на сайте на домене .com, принадлежащему
eBay Inc.
2145 Hamilton Avenue
San Jose CA 95125
US

Это мультинационалы Американские, а их в Европе еще больше не любят.
А тут нету состава преступления — парень им честно отправил репорт, они не выплатили вознаграждения => НЕ считают это багом => ничего парень не нарушал — т.к. данный результат был предусмотрен by design.
UFO landed and left these words here
Ну а перевести бабло родителям/доверенному лицу им религия не позволяет?
Вот Вы и не правы — парень как раз отправил им баг репорт, но оплаты НЕ получил. Соответственно они были уведомлены, а если их тех. персонал слоупоки то это их проблемы.
Парень вероятно хотел отметиться в «почётном списке», так скажем, вообщем вполне стандартное пожелание, да и в случае с трудоустройством даже тыкнуть туда нанимателя — большой плюс, поэтому давать такую халяву друзьям не резон (хз какие они друзья), а вот сколько ему оставалось до 18 лет… вот это вопрос. Хотя конечно долго ждать в такой ситуации тоже чревато проигрышем «по всем фронтам», а таким способом он хоть и денег не получил, зато шикарно отметился в истории PayPal'а xD

Одним словом, ждём обратной реакции, но надеюсь всё пройдёт по-уму.
Денег не получил, да и в добавок закон нарушил. «Идеальный» кандидат для нанимателя…
Хотя конечно его реакция понятна, но не вполне адекватна. Нужно быть более сдержанным и принимать правила игры.
Ну снова придирки к словам, прошу прощения за такую прямоту, но это лишь пример. Первое, что пришло в голову. Может он вообще просто таким образом поднял ЧСВ… нам отсюда не видно всей картины.
По поводу нарушения закона, видимо, не прав. Почему-то подумал что человек выложил описание уязвимости до ее устранения. Хотя вроде есть ведь определенный срок, только после прошествии которого разрешается публиковать уязвимости, нет?
Вроде кроме доброты душевной ничто не запрещает публиковать 0day до исправления.
Он и так выложил до исправления ;)

Но пока не ясно, можно ли эту уязвимость эксплуатировать.
Вот Mozilla — молодец в этом деле.
Как я говорил, когда мой четырнадцатилетний брат нашел баг в Firefox, никаких вопросов с выводом денег не было. Я просто дал свои реквизиты счета и все. В "почётном списке" было указано именно его имя.
Вообще это PayPal в идеале должен париться по поводу того, как отблагодарить парня — если есть какие-то реальные препятствия с выплатой вознаграждения тем, кому нет еще 18, то проблема должна быть у PayPal'а, и они должны ее решать, а не кидать таким вот образом. Ведь наверняка если подойти к этому вопросу не со стороны бюрократии, а со стороны решения конкретной проблемы, то можно ее решить так, чтобы все остались довольны.

Кто хочет, ищет возможности, кто не хочет — ищет причины (с).
Всё мне кажется гораздо банальнее: парень попал на оператора, которому оставалось 15 минут до конца рабочего дня, вот он и пропустил мимо ушей. Думаю у такой компании найдется десяток килобаксов студенту =)

PS опубликована уязвимость в Fri, 24 May 2013 18:38:44 +0200, я понятия не имею насчёт того в каких часовых поясах это происходило и какой рабочий график у операторов, но если учесть один и тот же часовой пояс, и график работы «до 18.00», студент как раз после отказа один час думал «что бы такого сделать плохого»… ну и запостил всё это дело.

Элементарно, Ватсон!
Ха, это как история с багом gmail, когда мне приходили письма к некому e.quand (мой equand).
Сначала я думал, что это спам и удалял письма, как оказалось прошерстив хедеры (с DKIM и SPF bank of america) — это не спам, а письма к какому-то китайцу в США, мне попадались его паспортные данные, данные на авто, письмо от банка и страховок и другие данные (о том что и кто у его подруги родился и когда отмечать будут), даже фотографии некоторые. На лицо полный leak персональных данных (правда в 2009-2012 гг.)
Однако письма не попадали постоянно, раз в месяц такой подарок был… До сих пор висят в ящике (хотя фото мне стерли кто-то из гугла)
В итоге решил я написать в гугл, что мол у Вас бага и vulnerability, я ее обнаружил, давайте мне что полагается. Ни ответа, ни привета, а письма прекратились…
Вот тебе и справедливость, когда могут тогда и награждают.
это не баг, это фича. и то что вам приходило скорее всего действительно спам.
гмейл не отличает точек в имени.
т.е. ящики equand, e.quand, и даже e.q.u.a.n.d — все ваши. никто не сможет зарегистрировать ящик отличающийся от вашего только точками.

ссылка на описание в хелпе — support.google.com/mail/answer/10313?hl=en
То есть bank of america мне Спамит?
Там фишка в том, что не хватало одной буквы в начале — l.
А email был у него с точкой (gmail предлагает разделять имя и фамилию таким образом, то есть le.quand@gmail.com его email).
Факт есть факт, почта с точкой не должна была мне поступать по rfc, не знал, что у гугла свои правила…
Вас конечно же не затруднит привести ссылку на RFC, в котором написано, что «почта с точкой не должна была мне поступать»?..
Ещё лучше — конкретно на фрагмент с этой фразой.
tools.ietf.org/html/rfc822

. специальный символ, которые разделяет email на «атомы».
По сути, согласно RFC, equand и e.quand разные email и должны считаться именно так, потому что equand — один атом, а e.quand = «e quand» — два разных атома.
UFO landed and left these words here
Значит криво читаете, пункт 3.3. четко назначает точку "." special.
При этом atom = 1*<any CHAR except specials, SPACE and CTLs>
Далее
address = mailbox ; one addressee / group ; named list mailbox = addr-spec ; simple address / [phrase] route-addr ; name & addr-spec addr-spec = local-part "@" domain ; global address local-part = word *("." word)
А word = atom / quoted-string

Так что раз нет quoted-string (а в моем случае его не было) то точка является таки разделителем на два атома, что соответствует другом адресу.
И собственно все почтовые серверы будут направлять почту в MDA с этим адресом, который ведет на разные ящики по дефолту (хотя это можно изменить).
UFO landed and left these words here
+что_угодно — это по правилам.
Опять же в RFC указано это.
Только сейчас заметил, что code не отработало мои enter
Собственно вот и еще одна проблема только на хабре, когда что-то работает не интуитивно… :)
UFO landed and left these words here
+ не указан в special chars не является control char и space char соответственно может быть в local-part.
А про неразличие больших-маленьких — это только для postmaster (у него отдельный use-case есть).
Целый пункт про как раз-таки различие больших и маленьких — 3.4.7
local-part обязан различать их.
UFO landed and left these words here
Никак — это их выбор, по идее это должны быть разные почтовые ящики, т.к. символ + не является специальным.
Как раз для подобного разделения есть спец. символы.
UFO landed and left these words here
Должен признать — я не верно понял вашу фразу. В контексте вашего сообщения мной она была прочитана так, как будто адреса с точкой — вообще вещь не правильная, и для них доставка вообще выполняться не должна. Исходя именно из такого пнимания я и задавал свой вопрос. Так что — в этом был не прав, каюсь.

Ну и чтоб два раза не вставать — 822й уже несколько лет как устарел.
А роутинг адресов с плюсом (+) тоже в каком-то из рфц таки описан, это к «Где там про +чтоугодно?» от mifki.
UFO landed and left these words here
Я больше склоняюсь к версии бюрократии: то есть сидит там state-machine-обезьянка на аутсорсе и смотрит входящие письма, действует по чётко описанному алгоритму, который говорит, что если нет 18, то посылать. Вот и посылает.
Обычно обезьянку можно обойти, обратившись уровнем выше. Чуть выше привыкли сами принимать решения, а не смотреть на инструкции.
Простому смертному — вряд ли. Иначе бы этот «уровень выше» повесился бы, есть большая категория людей, которые предпочитают сразу писать/звонить везде, куда могут дотянуться.
Говорю из личного опыта, чего уж там. Не надо добираться до директора и т.п. Достаточно всего лишь один уровень выше. Большинство же людей не инициативны, так что уровень выше вовсе не «вешается».
UFO landed and left these words here
Далеко не на все работы и не с 8 часовым графиком. До 16 лет нужна бумага от родителей, что они не возражают, что их чадо будет работать.
Проверьте, мало ли! А если пропадете из виду, то мы будем знать, что не исправили и вы теперь на Канарах. Или в застенках :)
Уязвимость находится в поисковой форме и работает только при передаче через POST, так что использовать её в подобном виде невозможно.
Показательно и то, что парень не смог даже выщемить значимую часть, явно искал с помощью автоматического сканера.

Возраст здесь ни при чём, обычная желтуха раздутая из-за неудачной отписки.
Бинго, отсутствие CSRF токена серьёзный баг, который позволит юзать xss уязвимость, надеюсь вам больше 17-ти и вы сможете получить своё вознаграждение. Интересно, только в поисковой форме у ни такое, или в платёжных так же.
Мне больше 17, спасибо.
И хочу сказать, что это форма поиска, которая вообще должна работать через GET (по стандартам) и, естественно, не иметь никаких токенов.
Делается пост запрос в скрытый фрейм, наш JS код в коде paypal, что мешает злоумышленнику теперь например перевести деньги от лица жертвы, или посмотреть его карточки визы и т.д.
Я позволю себе вклиниться, но мою XSS тоже не приняли, хотя да, уязвимость поправили.
До этого ждал 4(!) месяца, пока рассматривали заявку.
Тупо разводят людей.
На домене paypal.com, через уязвимость в Flash файле, я успешно выполнил произвольный JS код.
Который, собственно, давал проводить ЛЮБЫЕ операции, т.к был доступ к кукам.
Честно, было просто обидно. Но фиг с ними.
Пришел с ЕГЭ, паника, все дела.
UFO landed and left these words here
Попросил бы запостить эту уязвимость старшего друга и получил бы деньги возможно…
А на работу устраиваться старшего друга бы взяли? Уж лучше скандал устроить и быть в центре внимания.
UFO landed and left these words here
Но в резюме упомянуть же можно?
Или упоминать друзей в резюме?
Такой вопрос должны были решить индивидуально, а не следовать правилам. Странно, что у них нет ограничения по максимальному возрасту!

«To be eligible for the Bug Bounty Program, you *must not*:
… Be more than 59 years of age…

Сервис ПП, на самом деле, оставляет желать лучшего, уверен, что подобное отношение и во многих других отделах.
А пацан, может разозлиться и ткнуть их по слабому месту, может тогда они адекватно и отреагируют.

Пока к сожалению нет адекватной альтернативы или может, что-то подскажете?
image
Забавно выглядит то, что PayPal не осознаёт где заканчиваются юридические заморочки, а где начинаются физические законы и реальность. Наличие бага — оно объективно независимо от возраста нашедшего и никакие писульки на их сайте этого не меняют. С тем же успехом можно было бы написать в документе "мы запрещаем электрическому току пропадать в розетке, если провод был перерезан лицом младше 18 лет" и основывать на этом систему бесперебойного питания дата-центра.
С палкой не хочется работать именно после таких случаев, примерно через неделю после обьявления баунти хантинга активную XSS-ку в основном интерфейсе — через довольно большое время ответили что она «не опасна» и не принята. Собтсвенно у гугла и яндекса с этим намного лучше — гугл отвечает в течение дня, также оперативно выводит на специалистов для обсуждения и не менее оперативно фиксит и платит, яндекс немного слоупочит, но тоже в целом неплохо :)
Любопытно, на что надеялся парень отправляя свой баг-репорт. В правилах же написано «с 18 лет». Или он надеялся, что компания офигеет от его крутости и сделает для него исключение?
UFO landed and left these words here
Все же думаю, что он хотел в первую очередь славы, иначе бы ограничился отсылкой баг-репорта.
Не он требовал от PP денег, а PP заявила, что будет платить деньги за найденные уязвимости, но как только уязвимость нашли от своих слов отказалась.
Так что не в славе тут дело, а в том, что о компаниях, которые отказываются выполнять свои обязательства, в любом случае нужно сообщать миру.
Не, ну я не понимаю, в чем проблема! PP заявила, что выдаст вознаграждение любому
1) кто найдет уязвимость
2) кому больше 18 лет.

Условия не выполнены? Подросток может идти, а баг-репорт «я попрошу остаться».
На странице программы ( www.paypal.com/us/webapps/mpp/security/reporting-security-issues ) нет ни слова про возраст. Про возраст придумали уже после того, как багрепорт был написан в соответствии с этой программой.

Гугл говорит нам, что на сайте paypal.com фразы из письма, которой прикрылся саппорт («Be less than 18 years of age.If PayPal discovers that a researcher does not meet any of the criteria above, PayPal will remove that researcher from the Bug Bounty Program and disqualify them from receiving any bounty payments.») просто нет.
Robert Kugler, 17-летний студент из Германии

На всякий случай: школьник он, а не студент. Не нужно буквально переводить.
Да. Вспоминаю себя в 14-17 лет. Когда тебя государство реально ни во что не ставит. Ты даже чихнуть без согласия родителей не можешь. Столько было идей, амбиций и возможностей, но все упиралось «с разрешения родителей» или вообще просто «с 18 лет». Почти каждый день я пытался затащить мать или отца к нотариусу, но рабочее время родителей и нотариуса в нашем городке совпадало, а работали они в большом отдалении.
Забавно. Палка таки дернулась, после того как статья об этом попала на PCWorld + MSN Today… и сказали — чувак, ты не поверишь™ — этот баг уже открыли до тебя. А ты, весь такой плохой, всем рассказал, ай яй яй =)

seclists.org/fulldisclosure/2013/May/200 — тут подробнее.
Only those users with full accounts are able to leave comments. Log in, please.