Pull to refresh

Comments 17

Обозначенные вами сервера были немедленно выведены из раздачи контента и мы включим их после обновления конфигурации до актуальной и выполнения других необходимых мер. Чуть позже отпишусь о причинах, которые привели к тому, что на двух серверах оказалась неактуальная версия софта.

Поскольку в рунете, да и во всём мире, случилась глобализация рынка, приведшая к торгам в реальном времени за показы на множествах сайтах (http://habrahabr.ru/post/169267/), возникла необходимость синхронизации кук рекламных систем. Реальность такова, что не все компании вообще готовы работать по SSL и из-за этого в нашем контенте могут быть вызовы небезопасных пикселей сторонних систем.

Рекламные системы, как и многие другие адаптивные системы, наиболее эффективно работают, когда есть обратная связь. В нашем случае — о качестве проведённых рекламных кампаний. Для получения обратной связи используется вызов пикселя, который учитывает действия на сайте рекламодателя. При этом технически вызов пикселя — это запрос к frontend-у и ответ 204 No Content. Запросов на контентные сервера не происходит.

В вашем посте есть негативные эмоции. Данная ситуация повлекла за собой какие-то последствия для вашей компании? Просим вас всегда в первую очередь обращаться к нам напрямую, мы всегда готовы к диалогу и делаем все от нас зависящее, чтобы максимально быстро исправлять все возможные ошибки и развивать систему для успешного бизнеса наших клиентов.

===
Владимир Мосин
Директор департамента AdRiver, CDO
За быструю реакцию спасибо и молодцы, а вот гнать на топикастера не надо — он возмущается и раскрывает драму в самом драматичном свете. Ответную драму в этой ситуации устраивать не надо, и по хорошему, надо чуть-чуть пожурить за то, что сразу в паблик, а не в саппорт, но в остальном — сказать спасибо.
Отвечаю с задержкой, так как был на экзамене, но на вопрос из первой версии комментария отвечу, что негативная реакция к рекламным сетям в целом, а также к сайтам, где сторонние скрипты размещены в местах, где их вообще быть не должно по определению.

Был ли запрос в Thawte на аннулирование сертификата? Впрочем, сейчас свяжусь с ними.
Как и обещал, отпишусь о причинах.
Всё прозаично. К сожалению, не обошлось без человеческого фактора. На этих серверах осенью, с разницей в несколько недель, рассыпались диски. Восстанавливал систему из образа один и тот же человек, который поставил её из старой версии слепка нашего дистрибутива собственной сборки. Из-за этого на машинах оказалась старая версия софта. Она не подвержена страшной уязвимости CVE-2014-0160 (обнаруженной в апреле), но была подвержена MITM уязвимости CVE-2014-0224 (обнаруженной в июне), о которой написал в этом посте MyHabrahabr.
Все организационные выводы мы сделали, думаю больше такого не повторится.
Сертификат конечно же перевыпущен.
Сервера, отключенные из раздачи в 10:30, во второй половине дня были возвращены в раздачу.
image
У вас картинка в комментарии блокируется Эверноутом по referer'у.
Oops, we encountered an error.

Access denied.
You have accessed a location on this server that is not available.
You may need to Sign in to your account to access this page.
Зря вы так, сначала бы подождали, пока дыру закроют, а то сейчас многие могут терпеть убытки из-за утечек данных.
Не «сейчас», а уже давно.
Он подождал больше полугода(с апреля месяца всему ИТшному миру известно о hearthbleed), сколько можно-то еще ждать. В данном случае эти два сервера давным-давно скомпрометированы с вероятностью 99%, так как сколько уже «плохих» сканнеров-пауков написано за это время можно не счесть, а такие известные сервера наверняка уже попадались там.
Ну, серверы оставались уязвимыми 9 месяцев подряд. Я специально дождался утра понедельника, чтобы проблему могли быстро решить. Заметьте: не как Google, опубликовавший незакрытую уязвимость в Windows перед самым НГ.
У них конкретные правила прописаны по публикации уязвимостей, так что не сравнивайте.
Сообщать надо сначала, в любом случае.
Сравнимо с тем, что соседи вынесли телевизор из квартиры и позвонили, мол, у вас дверь не закрыта :)
UFO landed and left these words here
Почему на странице заказа сторонний скрипт хуже, чем на любой другой странице?
Мне бы не хотелось, чтобы из-за уязвимости на стороне рекламной сети можно было смотреть, когда и с какого IP-адреса и браузера происходит заказ таких-то товаров на такую-то сумму.
Даже читал как-то, что на наличие в защищённых разделах счётчиков статистики в РКН жаловались.
пожалуй, вы правы. По скриншоту вайршарка кажется, что у Ив Роше просто пиксель-счетчик на странице заказа, который не раскрывает других данных кроме IP, Referer и куки баннерной сети, то же самое что с других страниц.
Only those users with full accounts are able to leave comments. Log in, please.