Pull to refresh

Comments 53

А тех кто кричит "Жигули отстой" вы тоже не котируете?
я бы наоборот был бы рад, еслиб один из мной надевелопенных сайтов хоть раз серьёзно ломанули.
полезно и для опыта (знать, откуда могут отыметь), так и для занижения самомнения и уменьшения облака пафоса.
я не мазохист, простите - и если уж моё творение поломали, я предпочитаю конструктивный диалог, а не обливание помоями :)
UFO just landed and posted this here
)) ссылки давать не буду ибо на этих проектах я уже не работаю))
Закажите аудит безопасности - компаний предоставляющих такую услугу достаточно.
ИМХО: Вы слишком поверхностны, сначала разобрались бы поглубже в проблеме, а потом обвиняли народных умельцев. Видимо, ваш портал по той же причине укладывали — нежелание разбираться в корне проблемы.
а что тут разбираться? Где проблема? Ну дырка в сервисе, и что? Залатают, не смертельно. Не вижу повода для истерики :)
UFO just landed and posted this here
опять же, в чём проблема? Ну даст начальство по шапке кодеру-лентяю, а то и уволит его, баг будет залатан, а юзеры довольны. Не вижу ничего "непростительного"...
Из-за таких проблем, особенно при их сокрытии, в последствии может не протсо рухнуть бизнесс этого сайта, а вообще хозяева ресурса уйти в глубикие минуса после судебных разбирательств.
ну и написал бы "народный умелец" тогда админу, и не было бы проблемы... зачем на этом пытаться самоутвердиться?
UFO just landed and posted this here
а что, уже в паблик выложили описания других дыр? Я не вижу такого. Пока это всего лишь домыслы.
Кароче, спор бессмысленен. У тебя эмоции, по поводу несправедливости, и жестокой глумливости "кулхацкеров", я же говорю про реальную практику разрабтки систем безопасности (работал так же ив банковской сфере, ив нескольких крупных проектах, поэтому имею опыт и понимаю насколько это важно). Считаю целесобразным спор закрыть. А топик лучше вообще скрыть. Ибо крому флуда и холиварчико тут ничего не будет.
да я тоже не только детскими портальчиками рулила - всё я понимаю прекрасно. Но ничего скрывать не собираюсь - ибо должен же быть хоть какой-то чистый островок среди потоков фекалий ;)
прошу заметить, я этого не говорила - пипиьками... тьфу, внутренним миром не меряюсь :)
UFO just landed and posted this here
Видимо ты не совсем поняла что я имел ввиду. То что "хакер" написал бы админу, уже не сильно помогает. Админ может втихоря залатать дыру, ну может не совсем втихоря. Ну а в целом, как показывает практика, безопасность ресурса не пересматривается. Как и на твоем сайте, с постоянным латанием вновь обнаруженных уязвимостей. Ну а заставить по серьезному пересмотреть свою политику в этом плане, может только глобальная акция, или почти катастрофа. Что сейчас и ыбло показано. Даже если бестперсонс это и прикончит(что не факт), то это будет серьезным уроком всем другим.
UFO just landed and posted this here
Проблема в том, что вы написали:
>Нашёл - и повёл себя в высшей степени некрасиво. Мало того, что устроил бучу на
>хабре, так ещё и заспамил аккаунты юзеров через дыру

Откуда такая информация? Я бы не стал от балды обвинять невиновного человека (призумция есть такая), потому что мне обидно за любимый сервис.
я и написала - даже если это не он, а кто-то левый - нужно было сознавать свою ответственность, когда выкладывал подобную информацию в паблик.
1. Гадить в карму было вовсе не обязательно.
2. Ваше высказывание похоже на: Ольга Резникова конечно убогая тупая баба (ну может не она, а те кто читает её посты, но надо себе отдавать отчет бла-бла-бла)

Выкладывание информации о наличии обстрактных дыр в безопасности сервиса без указания способов использования не является чем-то безответственным — наоборот, это попытка не админов, но так общественности взглянуть на проблему безопасности глубже. Да, известно, что благими намерениями путь в ад вымощен, но если бы умелец не отпостил ничего то, что сегодня затронуло всего лишь 15 тысяч человек, через годик возможно в десятки раз больше.
я в карму не гадила, честно - я не настолько мелочна :) А подобные "благие намерения" - ИМХО лишь отмазка. Сообщил бы админу, раз уж хотел хорошего конторе :)
Хорошо, что «злоумышленник» не продал оптом десяток–другой тысяч (или даже больше) паролей пользователей настоящим злоумышленникам.
Причем тут опустить сервис. Без таких прецедентов никто толком не задумывается о настоящей безопасности стартапов и других внезапно популярных сервисов. Написаны изначально на коленке, за 2 недели как сейчас модно(по методологии любимой книги стартапера). Причем зачастую экономят на всем, и код пишут самоучки, которые может быть и сам код писать умеют, но проектировать полноценные ресурсы нет. Вот и получили по носу.
Причем, как было замечено они сами писали и ужасались точно такой же уязвимости у других. Сплошной цирк получается. Поэтому извини, но не соглашусь с тобой.
UFO just landed and posted this here
Ну вот снова эмоции. Я же совсем о другом. ПЕРЕЧИТАЙ МОЙ КОМЕНТ ЕЩЕ РАЗ. =)
UFO just landed and posted this here
Теперь спроса точно не будет 8)

Представьте ситуацию: открывается новый медицинский центр (стартап), в котором делают операции на жизненно-важных органах (пароли), но т.к. не известно, будут ли клиенты или нет (трафик, монетизация), нанимают на должность хирургов, анестезиологов и т.п. таджиков с ближайшей стройки (одаренные кодеры). А когда понимают, что клиенты есть, желание менять "в принципе как бы практически рабочих" врачей пропадает, т.к. есть вариант, что они все правильно режут.
UFO just landed and posted this here
1. Смайл штатный, 8 писать гораздо удобнее, чем : Это не более чем ирония над вашими словами. Лично мне вообще побарабану, что там с бестперсонами происходит — не юзал и юзать не собираюсь, т.к. занимаюсь вопросами сетевой безопасности больше 10 лет и прекрасно понимаю истину _всё, посланное в интернет, рано или поздно становится общественным достоянием_. Да и к тому же функционал этого сервиса для меня не представляет никакой ценности.

Насчет "нестандартной ситуации" — парни были в курсе дырки сразу после опубликования "кулхацкером" поста, участвовали в дискуссии и даже объявили о том, что все починили. И уже после этого произошло то, что произошло — это ли не распиздяйство.

Моя аналогия с таджикскими строителями относится не к сервису, а к ВАШЕМУ посту (ща запустим, все заработает, получим бабла и наймем нормальных работников, а то хрен его знает, может это никому не надо). Мастеркард тут как-то не причем вообще.

Насчет лучший стартап и права: людей помнят по плохим поступкам. Вы хоть сто тысяч деревьев посадите для того, чтобы спасти миллионы людей — стоит вам после этого убить хотя бы одного, люди вас не простят. Так уж устроен человеческий мозг.
По слухам вложены были относительно немалые деньги. К тому же я не понимаю закручивание всей ситуации только на хабре. Прецедент в том что сервис изначально потенциально опасен, поэтому средства гарнатирования безопасности на нем необходимо было продумать зарание. А там, как писали выше, было просто вопиющее пренебрежение всему и вся. Вообщем снова и я мои опоненты повторяемся. Мы не слышим друга друга?
Очень сожалею, что не удалилась, ибо хотела услышать от автора топика на Хабре, именно ли он уничтожил мой пост со ссылкой на свой топик на BP...
Все-таки ответ админа (или модератора) в личке - доказательство если что, хотела разобраться, с каких пор так цензурят.
А надо было просто скрин сделать, как впрочем и на написанное, как впрочем и на все, что теперь я пишу в инете, агамс?
И где я оставляла свои личные данные и ссылки на мои профили (не обязательно пароли, ники не везде одинаковые, а почта - одна).
У меня в прошлом году "украли" почту Gmail из-за того, что поставила почту с Rambler.ru доставкой "забытого" пароля. Как выяснилось, на Mail.ru работают отличные ребята, и не меняя пароля (что невозможно даже угадав ответ на секретный вопрос) - дают доступ к почте всем желающим, а когда выясняется, что нужное на Rambler.ru - не проблема и там, однако, поменяв пароль...
К чему это я? Меня волновала только почта))))))))))))))
Пароли к стороним сервисам не вводила...
Ах, да, не удалялась бы, если бы не ЦЕНЗУРА! Это - жесть полная))) Так что удалюсь, как только исчезнет вывеска:
Сайт временно закрыт в связи с хакерской атакой.
Мы прилагаем все усилия, чтобы BestPersons.ru возобновил свою работу в ближайшее время.
P.S. Пароли пользователей bestpersons к сторонним ресурсам защищены и украдены не были.
Мы приносим свои извинения пользователям, которых затронул данный инцидент.

Кстати, да, у меня - шпиономания, и в профиле об этом недвусмысленно было изложено, на весь инет, ибо ссылки на BP сувала всюду :-D
Да что вы спор устроили ниочем, это же естественные отбор !
А все эти дырявые "зонтики" и "бестперсонсы" рано или поздно или вымрут или вырастут до взрослого состояния.
а что до "этики"...
в том самом возрасте кулхацкер индивидум не имеет этики в понимании ставящего вопрос.
Полностью поддерживаю негодование. Ибо не аккуратненько сработано.
Впрочем, "баг-репортер" сам признался о тщеславной стороне вопроса, так что это его несколько извиняет.
А вот аудитория - да, непонятно почему так отреагировала...
Если честно, я тоже недолюбливаю "хакеров", как класс :) Ибо разработчик. Но…

Но зато я понимаю ОЧЕНЬ важную вещь. Представьте, ЧТО ДУМАЕТ ЗАЯЦ О ВОЛКЕ? Ведь вам было обидно удалять "топики" написанные якобы от вашего имени? А что чувствует заяц, которого проткнули острыми зубами, и медленно пережевывают. Причем волк не собирается его убивать. Ему без разницы, что заяц корчиться в ужасных муках.

Открою маленькую "истину" - мы с вами ЗАЙЦЫ. Мы не имеем права судить ВОЛКОВ, ибо они живут "пожирая\взламывая" нас, а мы благодаря ВОЛКАМ быстро бегаем :)

Таков закон природы - "Естественный отбор" называется. Пока что НИЧЕГО эффективнее этого метода не придумано. Совершил ошибку - умер. Выживут в результате только те, кто не совершал ошибок или совершал не летальные ошибки. Что может быть проще? :)

PS: "Если бы не было волков, зайцы умерли бы от ожирения" (С) непомню
По этому поводу хорошо высказались в моём ЖЖ, цитирую:
sontar
У Ольги возмущение по поводу "волк съел козлёнка". Она говорит что-то вроде "вот, если волк случайно обнаружил отбившегося от стада козлёнка, он должен отнести его пастуху и получить свой обед". Нет, даже так: "если волк обнаружил дыру в заборе, пусть пойдёт и доложит охране колхоза".

darkhon
Что-то я такого у нее не вижу.
Про "волков" там сказано "либо юзать козлят самому, либо, если захочется, доложить охране колхоза, а самому искать что-нибудь повкуснее".
А сказано у нее про шакалят.
Жесть :) Но я все-таки, на их месте, не стал бы проводить аналогию "козлы - волки" ибо я сам, да и они тоже - пользователи! О_О

PS: Мне приятнее думать что я - "заяц", а не "козел" :)
а мне приятнее думать, что я мудрая сова :) И никто меня не "съел" - ну нагадил какой-то урод под моим деревом. Убрала (и, нет, мне было не обидно - разве что неприятно) - и попутно высказала всё, что я думаю, о любителях гадить где-либо вне своего туалета :)))
Похоже, вы стоите выше по "эволюционной лестнице". Такого же развития желаю и автору топика :)
Все все! Пошел спать, пока еще чего-нибудь не наговорил :)
Вот читаю и интересно мне, а что бы вы все рассказывали, если бы человек нашедший уязвимость, вместо безобидных пары сообщений, написал бы скрипт который бы удалял блоги с сервисов.

Или редактировал существующие сообщения и впихивал бы в них вирусный код или какие нибудь невидимые ссылки, для веб-спама.

ИМХО человек поступил очень даже верно и людям наиболее безобидно показал, что сервис не стоит использовать, и для самого сервиса появился ультиматум, либо пересмотреть политику и начать работать, либо закрыть все и забыть.
Общественность возмутило, то что владельцы (разработчики - не суть важно) про такие (подобные) уязвимости других ресурсов знали. Можно предположить либо умышленное пренебрежение безопасностью, либо злой умысел. Уязвимость серьезная, если делать все по тихому, то в ваших блогах могли появится записи порочащие гос. строй и призывающие к розни. На мой взгляд широкая огласка была обязательна.
UFO just landed and posted this here
если сервис начал заниматься таким ответственным занятием как хранений паролей, то в первую очередь он должен заботиться о безопасности этой информации. они получили урок
думаю, лишь только за фразу
Нашёл дыру, получил с её помощью бонус - или юзай сам, или доложи админу.
пост стоит поднимать.

Действительно, если пользователь пришел на портал - он заинтересован в его надежности, так кто в его же интересах сообщать об уязвимостях в первую очередь администрации портала.
Никому не известно, кроме самого пользователя, что в его интересах, а что нет, и с какой целью он «пришел на портал».
>"Нашёл - и повёл себя в высшей степени некрасиво."

ути-пути
Sign up to leave a comment.

Articles