Pull to refresh

Comments 87

Грустно, что за нахождение бага ему не заплатят. Деньги кончились у Цукерберга?
Еще грустнее всего то, что за найденные баги теперь банят
Ещё и с глупой отмазкой. Всё равно для дефейса он бы левый акк завёл.
На самом деле таких историй не мало, к сожалению. Крупны компании вывешивают не малые суммы, которые они готовы отдать за найденый у них баг, в зависимости от его критичности. Только когда дело доходит до оплаты, его либо оценивают в копейку, либо вообще игнорят. Не исключено что эта уезвимость была бы исправлена в дальнейшем. Дабы не платить, может решили выждать. Но. могут так же недооценивать масштаб бедствия. На сколько я знаю, адресацию своих доменов 3-4 уровня они так и не исправили…
уЕзвимость… в вашем коменте баг :-)
Материально не поблагодарю за баг, но словесно обязательно: Огромное спасибо! :) буду внимательнее.
В вашем сообщении недостаточно технической информации.
Видно многовато багов :-)
Стартап стал акулой бизнеса со всеми вытекающими последствиями в отношении остального мира.
Ай да Марк, ай да жадина.
Подробностей о беге нигде не писали? Как именно удавалось запостить?
UFO just landed and posted this here
Нет, нету. В моём комментарии есть только сарказм, не более. И спасибо Вам за новое слово в моём лексиконе.
UFO just landed and posted this here
Все народы, у которых живут евреи, — явные или замаскированные антисемиты.

Герцль Теодор. Еврейское государство: опыт новейшего решения еврейского вопроса. Одесса, 1896. Репринт: Библиотека Алия, 1974. Цитируется по книге: Платонов О. А. Загадка Сионских протоколов. — М.: Алгоритм, 2006. ISBN 5-9265-0149-0 — но цитата эта встречается в том же виде и в других источниках.
UFO just landed and posted this here
Серёжа, приежжай к нам в Латину. Евреев тут навалом, но всем (кроме твоих братьев по разуму) на это насрать.
Мир глазами therussianphysicist.

Как на самом деле:
Ай да Марк, ай да жадина.

Как видит therussianphysicist:
Ай да Цукерберг, ай да жидовская еврейская морда.
Ай да Марк, ай да Цукерберг.
Хааах… Вот черт, к чему вопрос понял только полностью пролистав комментарии. Как то даже и в голову не могло прийти что в том сообщении можно усмотреть намек. А все потому что не читаю/не замечаю/тут же забываю сообщения в стиле Мицгола, чего и всем желаю) Так то.
В его блоге есть переписка с Фейсбуком и видео с самим постингом.
UFO just landed and posted this here
Что-то подсказывает что в следующий раз подобные найденные уязвимости уже будут продаваться за деньги но уже в даркнете.
«было недостаточно технической информации»
А у «инженера Facebook» пальцы отсохли узнать подробности?
Как верно заметили в комментариях, если инженер по безопасночти ответил в письме, что это не баг, то товарищ имел полное право пользоваться этой «фичей». Их попытки оправдаться тем, что у них сотни репортов в день не имеющих смысла, не делает честь фейсбуку. Это их работа. А теперь пытаются переложить проблему с больной головы на здоровую.
У них команда выспрашивать народ про баги на столько, за сколько еще ничего не надо платить :-)
Причина блока какая-то размытая, ничего лучше не придумали.
Ну по ссылке выше написано менее размыто и дана ссылка на правила репорта уязвимостей: www.facebook.com/whitehat
Я в общем-то не антисемит, но вот и думай посл этого, что еврейство Цукерерга тут не при чём.
Вы, наверное, ещё и не антиамериканец, но…
Новость в духе «где-то у кого-то что-то случилось… Но проверить не могу, потому что не понимаю, о чем именно идет речь»))
Этот Халил на Сноудена похож, либо его фотографию для своей аватарки использует (хотя конечно сложно аватарку на этом скриншоте рассмотреть).

Цукерберг показал этим самым, что он антисемит — раз палестинцу арабу не хочет заплатить (арабы как и евреи принадлежат к семитоязычным народам — «сынам Сима»), хотя обещание дал, ну и кто он ещё после этого?
Вы таки всерьёз полагаете, что всё дело в национальности первого и второго?
Но какая разница, имеет к этому отношение их национальность или нет? Кому надо, те хоть пристрастие к маленьким мальчикам Цукербергу припишут на основе этой истории.
Вы таки всерьёз полагаете, что всё дело в национальности первого и второго?

Таки возможно.
Удивительно, как в обычном разгильдяйстве многие умудрились чуть ли не жидомасонский заговор увидеть. И это при том, что интеллектуальный уровень на хабре, казалось бы, должен быть достаточно высок.
Интеллектуальный уровень на Хабрахабре, как нетрудно видеть, достаточно высок для того, чтобы и без Мицгола уметь не только сложить два и два, но и получить четыре.
При записи же такого сложения большинство участников Хабрахабра неизбежно станет употреблять символ креста, который в еврейской расовой традиции воспринимается как антисемитский и даже выходит из употребления в начальных школах Государства Израиль.
Если таков вероисповедный и расовый символизм арифметического сложения, то можно ли сложить два и два, а жидомасонского заговора не увидеть?

Никоим образом нельзя.

Просто, «когда смотрят — видят, но не осознают», как выразился (хотя и по другому поводу) еврейский расовый дизайнер Артемий Лебедев, по прямой материнской линии (жизнеопределяющей в иудаизме) происходящий именно от того иудея Лозинского, которого в статье «Неделя с 17 по 23 июля — Е-неделя — Еврейские тексты и темы» с большой теплотою вспоминают его единорасцы на сайте еврейского расового Фонда Ави Хай.

И совершенно прав в этом дизайнер Лебедев.
Интеллектуальный уровень на Хабрахабре, как нетрудно видеть, достаточно высок для того, чтобы и без Мицгола уметь не только сложить два и два, но и получить четыре.
В случае получения жидомасонского заговора это не интеллект, а ФГМ.
Ай пусть рассказывают еще о «недостаточно технической информации». Я заполнял пару багов в фейсбук, мне отписались «мы разберемся». С тех пор прошло пол-года баги все так же открыты. В Insights приложения есть страница Users Retention. Она закрыта уже очень давно с заголовком «The retention dashboard is experiencing data consistency issues and will be offline until further notice.».

О чем говорить, даже их фреймворк под iOS очень криво работает с completion handler-ами. Детали я опущу. Скажу только, что саппорт на описание проблемы сказали: «Thanks for your report but this is by design as of now.»

Развожу руками.
Добавьте причину, по которой он не получил вознаграждение:

1. Он использовал вместо тестового аккаунта аккаунт реального человека, не договорившись с хозяином аккаунта, что прямо запрещено правилами программы.

А то выглядит как жлобство. Хотя суть в нарушении правил.
Ну отказались платить это ещё ладно… им ведь явно на баг указали, а они даже поленились передать о нём программистам, чтобы те проверили и исправили.
Судя по этой информации news.ycombinator.com/item?id=6230803, разработчик написал то всего лишь следующее:
All he submitted was a link to the post he'd already made (on a real account whose consent he did not have — violating our ToS and responsible disclosure policy), saying that «the bug allow facebook users to share links to other facebook users».

Пожалуй, это далеко не самое понятное объяснение бага… Да и не баг вовсе, если уж задуматься — неужели можно считать багом обыкновенную возможность поделиться ссылкой с другими пользователями? :)
UFO just landed and posted this here
Как я понял, используя баг, можно на вашей странице написать «Друзья, я попал в беду, помогите чем можете, перечислив деньги на кошелек вебмани Z2348723423».

Даже без вставки ссылок — это ужасная дыра.
Хм… а я разве где-то сказал, что это не дыра? Дыра, конечно, что признали в Фейсбуке и потом исправили. Но вдумайтесь в сам текст сообщения разработчика: «баг позволяет пользователям Фейсбука делиться ссылками с другими пользователями Фейсбука». Вы правда всерьез можете рассмотреть данное сообщение как баг?

Особенно учитывая, что пользователи шлют в Фейсбук тонны глупостей: if you enter a password then view-source, you can access the password! When you submit a password, it's sent in the clear over HTTPS! (оттуда же).

Так что в данном случае не стоит быть такими уж категоричными в суждениях о действии службы поддержки. Думаю, что если бы разработчик сумел чуть-чуть логичнее и точнее объяснить проблему, он бы получил свои положенные сколько-то там денег, а по интернету не прокатилась бы волна осуждения: Фейсбук вообще и Цукерберг в частности — жадные. Ну и дальнейшее по теме национальности Цукерберга и т.д.

Мораль проста: хочешь заработать на Фейсбуке — учи английский :) Хотя можно даже короче — просто учи английский!
Ну по крайней мере в своем летописании мытарств с фейсбуком палестинец написал так «Days ago i discovered a serious facebook vulnerability that allows a facebook user to post to all facebook users timeline even they are not in his friend list .»

Переводить это как «баг позволяет пользователям Фейсбука делиться ссылками с другими пользователями Фейсбука» абсолютно некорректно, откуда вы эту фразу на русском взяли?
откуда вы эту фразу на русском взяли?

Да я вот сюда смотрел news.ycombinator.com/item?id=6230803. После Вашего поста я подумал, может это чувак из службы поддержки врёт заблуждается?.. И нашел линк на, собственно, сообщение самого разработчика в его собственном блоге khalil-sh.blogspot.co.uk/p/facebook_16.html.

Если откроете линк, увидите копи-паст переписки со службой поддержки. Как можно заметить, с английским у разработчика действительно есть некоторые проблемы. Ну да ладно. Факт в том, что именно так и было написано у разработчика в мейле:
Description: dear facebook team.
my name is khalil shreateh.
i finished school with B.A degree in Infromation Systems.
i would like to report a bug in your main site (www.facebook.com) which i discovered it.
repro:
the bug allow facebook users to share links to other facebook users, i tested it on sarah.goodin wall and i got success post

Конечно, это совсем полностью не оправдывает службу поддержки, они могли бы посмотреть, кто блин вообще такая sarah.goodin. Возможно, тогда бы поняли, в чем смысл данного багрепорта… Но все-таки история несколько иначе выглядит теперь, думаю, согласитесь.
Хм, тут английский существенно хуже, но том предложении («the bug allow facebook users to share links to other facebook users, i tested it on sarah.goodin wall and i got success post» ) сразу говорится о возможности писать на стене, то есть переводить ТОЛЬКО его первую часть (до запятой) и отбросив вторую — некорректно.

Ваш же перевод «баг позволяет пользователям Фейсбука делиться ссылками с другими пользователями Фейсбука» почему-то не включает в себя перевод части предложения после запятой.
Я перевел только то, что увидел в посте службы поддержки на YCombinator. Уже потом я нашел этот полный текст и блог разработчика. Соглашусь, что парень из службы поддержки, раз уж ссылался на текст, то должен был привести его полным. Хотя… я не уверен, что такое дополнение что-то серьезно может объяснить в плане реализации бага.

Наверное, я понят неправильно :) Я не поддерживаю службу Фейсбука (я там не работаю и навряд ли буду когда-то). Но и поднявшуюся бучу относительно жадности Фейсбука тоже понять не могу — чувак явным образом нарушил правила, опубликовав пост на чужой стене без разрешения. Причем сделал это в максимально вызывающей манере, запостив сообщение на стене Цукерберга. Ну, получил он свою славу в определенных кругах, только теперь о каких деньгах идет речь?..
Ну после первого непонятного был второй вполне понятный сабмит:

repro:
the vulnerability allow's facebook users to share posts to non friends facebook users, i made a post to sarah.goodin timeline and i got success post

На что получил прямым текстом «I am sorry this is not a bug».
Это стандартная ситуация. К сожалению, в службе поддержки обычно работают люди, которые считают, что они сами способны разобраться, где ошибка, а где — нет.

Выглядит это так:
1. Открывается документация функциональности.
2. Находится тест-план.
3. Там видят, что теста на запрет такой публикации нет.
4. Делается вывод, что это действие разрешено.
5.…
6. Профит! (А в самом весёлом случае, резонанс в коммьюнити и даже в прессе, с печальными последствиями)

По личному опыту — большинству наёмных работников проще списать всё на соответствие с документацией, чем продавить наверх вопрос о проверке/пересмотре/дополнении документации.
Если наёмному работнику это светит лишней головной болью без каких либо профитов, и если он уже не болеет проектом, которым занят — конечно он поступит как проще.
Так ему служба поддержки написала, что это не баг, значит, он имел полное право пользоваться этой функциональностью
компания утверждает, что в его изначальном сообщении о баге «было недостаточно технической информации»

Надо было ему, после того как запостил сообщение на страницу Цукерберга, не сообщать никаких технических деталей о баге, а отсылать всех к прочтению предыдущих баг-репортов.
Напомнило старый анекдот:
Компании Майкрософт требуются на работу опытные хакеры. Резюме оставлять на рабочем столе компьютера Стива Балмера.
В старом анекдоте Баллмера не было.
1.
При выводе списка друзей онлайн вывелось «21 онлайн», на страницу вывелось 20 друзей. При нажатии кнопки «показать больше друзей» ничего не произошло и кнопка осталась. Т.е. для меня, как для пользователя, всё выглядело так, как будто «кнопка сломалась». Обновление страницы показало — «20 друзей» онлайн, кнопка исчезла (видимо, кто-то вышел за то время, пока я список просматривал). Я понимаю, что это крайне редкий баг, но считаю, в данной ситуации нажатие кнопки должно приводить к тому же результату, к которому привело обновление.

Ясно, Вы молодец!

Всегда Ваша,
Команда поддержки Вконтакте


2.
В новостях появляется «добавил друга» при нажатии «удалить друга» и сразу же при нажатии «восстановить». С учетом того, что кнопка «удалить» находится рядом с «отправить сообщение», нажать на нее просто. Да и понятно, что кнопка «восстановить» чаще всего отменяет ошибочное действие. После нажатия «восстановить» в новостях ничего не должно появляться — фактически ничего не изменилось.

Агент поддержки #299
На сколько сильно Вам не нравится происходящие?

С уважением,
Команда Поддержки ВКонтакте.

У меня это произошло два раза. Мои друзья видят в новостях, что я кого-то «добавил» в этой ситуации? Если да, то конечно, мне это не нравится. Зачем давать людям повод задумываться, почему они были добавлены (понятно, что для этого их сначала удалили).

Агент поддержки #345
Зайдите, пожалуйста, сюда: vk.com/settings?act=privacy (Какие обновления видят в новостях мои друзья) и уберите оповещения о добавлении в друзья из этого списка.

Первый мой комментарий прочитайте, пожалуйста… я вам о логическом баге сообщаю, когда случайно нажав (что немудрено при отсутствия подтверждения на удаление и нахождении этой ссылки сразу под «отправить сообщение») «удалить», а потом сразу «восстановить» (логически ничего не изменилось, человек просто ошибся и отменил действие), а вы мне о настройках, которые выключат ВСЕ оповещения о добавлении в друзья… если при восстановлении друга подтверждения друга не требуется, значит, это не регулярное событие добавления друга… ну вот и просто уберите из этого события добавление оповещения и все… ну или просто напишите — «нам это не кажется ошибкой, исправлять нечего»…

Агент поддержки #345
Прочитала.
И, если честно, я не вижу проблемы. Да, кнопка Убрать из друзей является соседней с Написать сообщение, но она находится всё же далеко. И чтобы она появилась, нужно навести курсор на надпись (Имя) у Вас в друзьях. Так что случайно удалить человека, на мой взгляд, не так то просто (у меня ни разу не получалось).
И из Вашей ситуации я предложила оптимальный, по моему мнению, выход. Ошибкой появление надписи о добавлении я не считаю. И не представляю, как системе объяснить разницу между случайно удалил — восстановил и специально удалил — восстановил.


Если бы это был мой бизнес — выгнал бы таких саппортеров в шею. Понятно, что там сидят люди уровня поддержки операторов каких-нибудь ISP, которым звонишь с проблемой, что во всей квартире (3 их кабеля в три комнаты, все на разных аккаунтах) нет инета, а они тебе предлагают перезагрузиться и провериться на вирусы, а в случае отказа говорят «извините, ничем не можем вам помочь в таком случае».

Лучше, конечно, на чёрный рынок всю инфу сливать. А с тем, что нельзя продать — просто смириться или не пользоваться совсем.
Побольше бы такого постили, а то в сети гуляют только картинки с «весёлым сапортом вконтакта».
Ну, справедливости ради, скажу что и обратные ситуации случаются:

№1
Привет! Новый раздел новостей «Статьи» в английской версии сайта называется так же по-русски. Спасибо за внимание.


Support agent #495
Статьи еще и правда не совсем доделаны. Само слово пишет по-русски.
Однако наполненность раздела будет оставаться, скорее всего, русскоязычной — там же показаны самые обсуждаемые статьи.
А вот оформление попробуем подтянуть.


Support agent
Разработчики сообщают, что проблема решена. Теперь все должно работать.
Пожалуйста, проверьте и обязательно напишите нам, если что не так.


№2
После просмотра видео и дальнейшем скролле по странице, после действия вызывающего авторефреш страницы — видео автоматически начинает воспроизводится:
1) Заходим на любую страницу (стену) содержащую большое количество медиа-контента
2) Скроллим до первого видео
3) Жмём плей
4) Жмём пауза/Stop download
5) Продолжаем скролл, открываем любое изображение со стены.
6) Закрываем изображение
7) Видео автоматически начинает проигрываться
Более ожидаемо что видео либо останется на паузе (в идеале), либо остановится.
Спасибо за внимание, извиняюсь если не туда.


Firefox Версия 10.0.2 (последняя), баг всё равно актуален. Распространяется только на встроенное видео (ютуб не начинает автоматически восприозводится). Пример: ССЫЛКА (воспроизводить только видео VK.com)


Support agent #362
Да, причем с начала самого начинает воспроизводиться. Спасибо, сообщим разработчикам.


Support agent #362
Кстати, баг только в Firefox, похоже.


Интересно что Firefox сам подгружает страницу по мере скролла, а остальные браузеры только по нажатию «Previous post»


Support agent

Разработчики сообщают, что проблема решена. Теперь все должно работать.
Пожалуйста, проверьте и обязательно напишите нам, если что не так.


//Подписи/приветствия/имена удалены.
Да, согласен, бывают. Но лично у меня пропадает желание делать что-либо бесплатно, когда тебя принимают за идиота.

Вот это
Ясно, Вы молодец!
— кромешный пц.
UFO just landed and posted this here
UFO just landed and posted this here
Это начала конца для FB, если Марк что-то не изменит
Когда компания в бюрократических дебрях отказывается от собственных принципов — это очень плохо
Этот Халил стоит больше, чем все инженеры, которые ему позвонили
компания «не может заплатить вам за эту уязвимость, потому что ваши действия нарушили наши условия использования сервиса».

— Скажите, а гарантия пожизненная?
— Да.
— У меня вот, сдох…
— А, ну раз сдох, то тогда гарантия закончилась, она же «пожизненная».

Как еще можно искать баги, если поиски багов всегда «нарушают условия использования»?
– Скажите, а гарантия пожизненная?
– Ну, если жизнь короткая, то пожизненная.

© какой-то железячник
Как? Ну, к примеру, используя специально для этого созданные тестовые аккаунты: www.facebook.com/whitehat

Please use a test account instead of a real account when investigating bugs. When you are unable to reproduce a bug with a test account, it is acceptable to use a real account, except for automated testing. Do not interact with other accounts without the consent of their owners.


(Ни в коем случае не оправдываю ФБ, которые повели себя как последние сволочи, просто отвечаю на вопрос «Как?» )
Если я правильно помню, то при содании любого аккаунта, надо поставить чекбокс «я согласен с условиями TOS», там нет опции «я не согласен, просто хочу тестовый аккаунт для ловли багов».
А, если такая возможность есть — тогда другое дело.
Респект парню из Палестины что пошел до конца.
Цукенберг, владющий акциями ФБ на десятки ярдов, теперь перестанет быть иконой.
фильм Социальная Сеть сняли, фильм «Цой и Цукерберг» начали снимать, сайт про стартапы с названием «Цукенберг позвонит» сделали ( www.siliconrus.com/ ) и кажется передача была с таким именем, и много чего еще
Вот ведь, совсем недавно похожий баг с использованием API был испытан на Дурове.
То что не заплатили — правы, так как нельзя тестить баги на реальных аккаунтах (а первый тест был тоже на реальном аккаунте). А вот то что развели переписку с левыми отмазками и ничего не починили сразу, вот это делает всю компанию по вознаграждению за баги несерьезной и неясными правилами «игры». Если бы сотрудник написал, да это баг, но нарушено правило номер х и поэтому вознаграждения не будет, то это было бы показательным для всех остальных и справедливо. А тут сказали, что это не баг, тем самым разрешив пользоваться этим сколько угодно, а потом решили сказать, что наша хата с краю, ничего не знаю… так серьезные компании поступать не должны.
На мой взгляд важную роль играет то как о проблеме сообщили. Если чуть утрировать то звучит так — «Я нашел баг, с помощью него я могу постить линки на стену». Учитывая объем репортов которые компания получает в единицу времени и сколько из этих обращений являются несущественными/водой, не удивительно, что Шритех получил такой ответ. Вместо того, чтобы задуматься о том, как правильно донести информацию о баге он начал тестить на реальных аккаунтах и «сообщать» Марку напрямую.

На месте ФБ, я бы заплатил ему с комментарием «за обнаружения бага и communication skills training» :)
Мораль проста — нельзя сообщать о баге в компанию владельца системы, лучше сделать 0day :)
Сноуден теперь ВЕЗДЕ! Даже у Цукерберга на страничке! :)

Програмеру надо было коммуницировать не с Цукербергом а с Шоном Паркер!

Цукерберг уже давно выбрал для себя людей через которых он взаимодействует с окружающим миром.
Поэтому тандем Цукерберг и Шон Паркер и выстрелил.

Если Интересно посмотрите как Макр Цукерберг в Москве встречается с русскими программистами

image
Sign up to leave a comment.

Articles