Pull to refresh

Comments 38

С одной стороны да, неприятно. С другой вспоминаются гостевых книги десятилетней давности, где тоже надо было вводить имя и e-mail и они выводились прямо на странице, а e-mail даже делался ссылкой.
Как-то выжили всё-таки.
Мне вот интересно, а автор пробовал для начала связаться с владельцами сайта перед тем как выкатывать в паблик информацию?
Я понимаю что это не совсем уязвимость, но все-же.
Мне оперативно ответили, подтвердили уязвимость и через несколько часов API второй версии был прикрыт.

Я может неправильно понял, но вот же автор подтверждает закрытие уязвимости?
Разработчики быстро отреагировали и закрыли API с уязвимостью. После этого была написана статья.
текст читать пробовали?
Вообще по тексту получается что сначала прикрыли, но потом при выходе третьей версии — вторая работала…
читайте внимательно предпоследний абзац
Знаю с лево на право, с право на лево, сверху вниз но вот про снизу вверх слышу впервые =)
Объясню свою мысль почему я спросил:
— Описано, что выявлена ошибка
— Описано, что ошибка исправлена (оперативно и все такое)
А потом вдруг написано что с в недрением новой версии АРI работает и старая:

После прихода третьей версии, вторая версия продолжала работать.

Как всегда, простейшая невнимательность в нашей профессии может привести к печальным последствиям…

Вот я и предположил что где-то случайно восстановили старую ошибку и автор решил пнуть через хабр.
Вы точно читали текст полностью? Советую еще раз перечитать.
а вы, я вижу, комментарии тоже через один читаете ;)
ДА. я читал текст полностью
предпоследний абзац прочитайте повнимательнее )
ой
Мне прийдется ответить, чтобы это не выглядело как уязвимость.
Это API действительно пытались сканировать. Мы добавили в ответы специально зарегистрированные нами email'ы, чтобы узнать кто на них начнет отправлять спам и является заказчиком. Эти email мы перемешали с тем, что были добавлены в тело комментариев и доступны в открытом доступе без API.
Т.е. вы считаете, что кто-то парсил комментарии без email с целью рассылки спама?
Комментарии и так доступны в публичной части сайта и не являются персональной информацией. Единственное, к чему можно попытаться достучаться дополнительно через API — это email.
С вашего предыдущего комментария я понял, что email в ответах раньше не было и вы их добавили уже после того, как вас начали активно парсить. Если были — тогда это ошибка/уязвимость, а если нет, тогда не понятно зачем вы их добавили.
Тогда не понятно как в моём отзыве оказался мной указанный email.
Вы обращались с того же IP, с которого добавляли отзыв.
Вы думаете такая база нужна только с целью рассылки спама?)
А когда узнаем всё это, то что будем делать?
Меня Розетка неприятно удивила, прислав после смены пароль в письме в открытом виде. Закралось подозрение, что они их так и хранят.
Нет, пароли хранятся в sha1 с солью
Если так и хранят, то пришлют его же при восстановлении.
А если просто продублировали один раз в письме, это не говорит совершенно ни о чем, не нужно бредить на пустом месте.
К чему такая агрессия? Я просто поделился впечатлениями.
А в общем, всегда считал, что присылать пароль по почте — моветон.
Невежество в ИТ-среде непростительно, а ваше предположение — это чистой воды невежество.
мне озон при восстановлении прислал пароль в открытом виде
Уязвимости в любой системе возможны, какая бы она крупная/крутая/солидная не было.
А вот «оперативно ответили и устранили» — это реально плюс. Буду продолжать пользоваться розеткой.
А если у какого-то магазина цена на тостер будет на 200 грн меньше, вы скажете: «Черт, да как же я могу у них его купить, ведь они же не оперативно латают дыры в безопасности!?»
Без указания email-а нельзя опубликовать отзыв;
Все отзывы проходят модерацию;


Не понятно одно. Зачем вообще e-mail нужен для того, чтобы отзыв оставить свой? Для того чтобы глупость не писали, так там же модерация есть.
Может мне кто-то объяснить причину слива моей кармы? Вроде пытался донести посыл, что нужно быть внимательней, а получил минуса прямо в карму.
Only those users with full accounts are able to leave comments. Log in, please.