Comments 70
Кого-то взломали?
А давайте поднимем этот пост в топ?
Отличный пост!
Всем плюсиков в этом чате
Ночной хабр такой ночной.
Пост идеален.
Автор пиши еще!
Автор пиши еще!
Минимализм в тренде
Вообще-то, правильно будет IDDQD
serrwrtet
По моим наблюдениям — этот пост можно назвать одним из самых полезных и содержательных постов на ГТ в последнее время. Кратко и по делу, ничего лишнего.
Золотые слова!
Пятница же)
ждем когда в вк бот запостит)
Дваждую
Одна из лучших публикаций автора!
Хм, а ведь и правда.
Предлагаю считать это тостом!
Скайнет?
Есть еще добрые, бескорыстные люди на белом свете!
Я как-то испугался что сейчас будет про то как судить хакера пошли.
Кстати неплохая программа поощрения поиска багов у Приватбанка. Из четырёх обращений — за три мне выплатили вознаграждения и пофиксили, голд-карту дали с бесплатным обслуживанием. Для общения с безопасниками есть отдельный канал связи. В общем, могут люди, когда хотят.
Я бы не сказал, что такая проблема существует только в отдельной стране. Игнорирование вопросов безопасности — глобальная проблема. Лично я считаю, что есть две причины:
1) Отсутствие нормальной оценки рисков в сфере ИБ. Для многих людей вся безопасность ограничивается HTTPS и использованием md5($password).
2) Нереально низкое число взломов. Серьезно, их настолько мало, что за последние три года я знаю только про ОДИН взлом аккаунта среди всех моих знакомых, который совершался с применением уязвимостей.
В прошлом году я нашел CSRF прямо в форме перевода денег в одном сервисе электронных денег. Почему за время его существования никто до меня не нашел это и не использовал для кражи?
В том же году на одном хостинге я нашел уязвимость, которая позволяла получить доступ к чужим данным, просто заменив номер аккаунта в адресной строке. Почему этот хостинг дожил до того момента?
В крупной российской CRM есть куча CSRF, причем они есть и на форме смены почты и пароля. Им года два-три минимум. Почему ими никто не воспользовался для массовой кражи данных?
Честно, я не знаю ответа на эти вопросы. Либо такое будет продолжаться, либо нас ждет волна взломов всего, которая наконец-то что-то изменит.
1) Отсутствие нормальной оценки рисков в сфере ИБ. Для многих людей вся безопасность ограничивается HTTPS и использованием md5($password).
2) Нереально низкое число взломов. Серьезно, их настолько мало, что за последние три года я знаю только про ОДИН взлом аккаунта среди всех моих знакомых, который совершался с применением уязвимостей.
В прошлом году я нашел CSRF прямо в форме перевода денег в одном сервисе электронных денег. Почему за время его существования никто до меня не нашел это и не использовал для кражи?
В том же году на одном хостинге я нашел уязвимость, которая позволяла получить доступ к чужим данным, просто заменив номер аккаунта в адресной строке. Почему этот хостинг дожил до того момента?
В крупной российской CRM есть куча CSRF, причем они есть и на форме смены почты и пароля. Им года два-три минимум. Почему ими никто не воспользовался для массовой кражи данных?
Честно, я не знаю ответа на эти вопросы. Либо такое будет продолжаться, либо нас ждет волна взломов всего, которая наконец-то что-то изменит.
Говорят, тут плюсики раздают? Остались еще свободные? А вообще как только появился МТС Бонус, мы нашли багу, позволяющую пригласить друга несколько раз. Соответственно, мы приглашали друг друга до тех пор, пока не накопили баллы на что-то материальное. К сожалению, не помню что. В тот же день мы сообщили по email об этой дырке. Через 3 дня дыру закрыли, нам даже не ответили. А могли бы что-то хорошее получить (подписку годовую на какой-то хороший журнал точно)
Этот хакер ещё в Приват-Банк об найденных уязвимостях не сообщал. Эти бы его вообще засудили.
Киевстар такой не один. Моя девушка, которая работает тестировщиком, обнаружила у Lux Express (автобусный перевозчик) возможность покупать билеты с максимальной скидкой на любой направление, даже если оснований для скидки фактически нет. Сообщила перевозчику, тот запросил дополнительную информацию, но сказасть спасибо либо не пожелал, либо поленился, либо просто забыл.
Вдохновлялась она, если можно так сказать, рассказанным на одной тест конференции аналогичным примером, но про British Airways. Авиакомпания за найденную уязвимость подарила билеты туда и обратно всей семье нашедшего.
Вдохновлялась она, если можно так сказать, рассказанным на одной тест конференции аналогичным примером, но про British Airways. Авиакомпания за найденную уязвимость подарила билеты туда и обратно всей семье нашедшего.
Киевстар читает и молчит? или им карму слили?
На Украине
Что бы знать как правильно почитайте лучше Пушкина «Полтава» (ПЕСНЬ ТРЕТИЯ — http://pushkin.aha.ru/TEXT/poems/polt.htm ). Или Розенталя: Справочник по правописанию и литературной правке.
Ну на классиков не стоит ссылаться, они пишут как удобнее. Тот же Тарас Шевченко:
«Як умру, то поховайте
Мене на могилі
Серед степу широкого
На Вкраїні милій,»
Т.к. допустимы оба варианта, то мне кажется стоит придерживаться варианта «как благозвучнее в текущем контексте».
«Як умру, то поховайте
Мене на могилі
Серед степу широкого
На Вкраїні милій,»
Т.к. допустимы оба варианта, то мне кажется стоит придерживаться варианта «как благозвучнее в текущем контексте».
То есть правильно писать «Песнь третия» и «В Украйну» (с «й» как в оригинале)?
По поводу Розенталя есть такой комментарий
По поводу Розенталя есть такой комментарий
Да, мы знаем, что в последних изданиях «Справочника по правописанию и литературной правке» Розенталя вариант «в Украине» зафиксирован как нормативный. Но представляется, что это позиция не самого Розенталя, а редакторов, переиздававших справочник уже после смерти Дитмара Эльяшевича и внесших свои дополнения. Претензий к справочнику нет, но… без примеси политики, «Справочное бюро» предпочитает консервативную норму при употреблении названия суверенного государства – «на Украине».
В русском языке нет правила, указывающего писать «в Украине» или «на Украине», поэтому допускаются оба варианта. Право выбора остаётся за автором.
В Википедии одно время шла война между сторонниками «в» и «на». Поскольку это чистая вкусовщина, приводящая к бесконечным правкам туда-сюда, распатрулированию статей и засорению списков наблюдений, было принято решение: в свежесоздаваемых текстах допускаются оба варианта; можно исправлять «в» на «на» (исключительно потому, что «на» чаще встречается в русскоязычных источниках); обратно исправлять нельзя.
Но, повторюсь, допускаются оба варианта, так что нет причин спорить, какой кошернее.
В Википедии одно время шла война между сторонниками «в» и «на». Поскольку это чистая вкусовщина, приводящая к бесконечным правкам туда-сюда, распатрулированию статей и засорению списков наблюдений, было принято решение: в свежесоздаваемых текстах допускаются оба варианта; можно исправлять «в» на «на» (исключительно потому, что «на» чаще встречается в русскоязычных источниках); обратно исправлять нельзя.
Но, повторюсь, допускаются оба варианта, так что нет причин спорить, какой кошернее.
Я в этой войне не участвовал и даже не наблюдал специально, но со стороны сторонники варианта «в Украине» мне казались более агрессивными
Вообще, даже если правило и обязывает писать «в %country_name%», то из любого правда бывают исключения
И я, кроме Украины, навскидку могу назвать ещё Кубу
Вообще, даже если правило и обязывает писать «в %country_name%», то из любого правда бывают исключения
И я, кроме Украины, навскидку могу назвать ещё Кубу
Видимо не казались, а действительно более агрессивные
Комментарий заминусовали — ладно, мало ли сколько народу не согласны со мной
В карму GT нагадили — ну ладно, бывает
Но зачем сливать карму в хабровском профиле? Для профилактики что ли?
Извините, это уже не просто агрессивность, это неадекватная агрессивность,
Комментарий заминусовали — ладно, мало ли сколько народу не согласны со мной
В карму GT нагадили — ну ладно, бывает
Но зачем сливать карму в хабровском профиле? Для профилактики что ли?
Извините, это уже не просто агрессивность, это неадекватная агрессивность,
сливают карму тем, кто на эту самую карму мастурбирует как подросток. Интересные и полезные статьи это публиковать не мешает
Извините, что за бред?
Прямо сидят некоторые товарищи и смотрят, кто же там себе в профиль заглядывал карму проверить — надо их срочно в минуса загнать! Штатные модераторы, видимо.
Может ещё про волосатые ладони расскажете?
И при чём здесь интересные и полезные статьи? Я где-то писал, что статья УГ? Я высказал своё мнение по поводу «в/на Украине», оказавшееся сильно непопулярным.
Прямо сидят некоторые товарищи и смотрят, кто же там себе в профиль заглядывал карму проверить — надо их срочно в минуса загнать! Штатные модераторы, видимо.
Может ещё про волосатые ладони расскажете?
И при чём здесь интересные и полезные статьи? Я где-то писал, что статья УГ? Я высказал своё мнение по поводу «в/на Украине», оказавшееся сильно непопулярным.
навскидку могу назвать ещё Кубуострова очень часто используют на используют. Навскидку: на Гаити, на Мадагаскар, на Ямайку, на Кипр, на Барбадос. Но при этом: в Японию, в Новую Зеландию, в Исладнию, в Ирландию.
Куба вообще-то не только остров, но и государство (как и Гаити, и Ямайка и т.д.), но никто не меняет «на» на «в», когда говорят про государство, а не про остров.
Да, совпадение названий острова и государства — причина использования «на», но кто сказал, что это может быть единственной причиной? Почему Украина попала в исключения — не могу сказать, не историк. Но видимо, причина была, раз так все говорят.
Да, совпадение названий острова и государства — причина использования «на», но кто сказал, что это может быть единственной причиной? Почему Украина попала в исключения — не могу сказать, не историк. Но видимо, причина была, раз так все говорят.
Кстати, ещё вариант — «на Руси»
При том что Русь — не остров, не территория, а вполне себе государство, пусть и из прошлого
Почему «на»? Пусть историки ответят, так сложилось
Можно, конечно, докопаться, типа полностью «в Киевской Руси», но сейчас Россия и Российская Федерация — однозначные названия (в конституции прямо так и указано)
При том что Русь — не остров, не территория, а вполне себе государство, пусть и из прошлого
Почему «на»? Пусть историки ответят, так сложилось
Можно, конечно, докопаться, типа полностью «в Киевской Руси», но сейчас Россия и Российская Федерация — однозначные названия (в конституции прямо так и указано)
В современном языке как-раз есть правило, оно ясно определено. Не могу вставить картинкой.
std3.ru/c3/9a/1452498890-c39a3fdf97d1d6b613a7f23c8a10c7c4.jpeg
std3.ru/c3/9a/1452498890-c39a3fdf97d1d6b613a7f23c8a10c7c4.jpeg
Гляньте сюда — http://andy-shev.livejournal.com/150364.html
Чел пишет — «Розенталь не писал примеры типа «в Украину» в своих книгах, всё выдумано после его смерти»
Я поискал более старые издания Розенталя, нашёл 1989 год — http://www.pseudology.org/chtivo/PravopisanieSpravochnik.pdf
И действительно, никакой «в Украине» там нет
Чел пишет — «Розенталь не писал примеры типа «в Украину» в своих книгах, всё выдумано после его смерти»
Я поискал более старые издания Розенталя, нашёл 1989 год — http://www.pseudology.org/chtivo/PravopisanieSpravochnik.pdf
И действительно, никакой «в Украине» там нет
Это что, шутка такая про 1989 год?
Во-вторых, книга под редакцией Голуба, с соответственными корректировками, учитывающие геополитические изменения.
Во-вторых, книга под редакцией Голуба, с соответственными корректировками, учитывающие геополитические изменения.
Не понял, где вы увидели шутку
Одно из предыдущих изданий, НЕ учитывающее сегодняшние геополитические изменения
А зачем вообще зачем геополитика в правилах языка?
Может, как в США, запретим слово «негр»?
Может, к математике тоже политику примешаем?
Одно из предыдущих изданий, НЕ учитывающее сегодняшние геополитические изменения
А зачем вообще зачем геополитика в правилах языка?
Может, как в США, запретим слово «негр»?
Может, к математике тоже политику примешаем?
Я поискал более старые издания Розенталя, нашёл 1989 год — http://www.pseudology.org/chtivo/PravopisanieSpravochnik.pdf
И действительно, никакой «в Украине» там нет
Нет, т. к. Украина обрела независимость в 1991 году. На карте мира появилось новое государство. С этим учётом следует говорить и писать «в Украине».
Добрый день. Работаю руководителем Digital в Киевстар и как инсайдер должен прокомментировать что к информационной безопасности в КС относятся более чем серьезно, потому пожалуй данный кейс один из немногих в истории компании. Также важно отметить что уязвимость была обнаружена в бэта версии новой системы, в которую пригласили только часть клиентов.
Теперь к сути — в день обнаружения уязвимости стало понятно что такие кейсы заслуживают отдельного подхода и было принято решение запустить bug bounty программу в Киевстар с адекватным индивидуальным вознаграждением за найденные уязвимости. Как понимаете запуск такого дела в корпорации занимает больше чем пару дней, но надеюсь что за пару недель победим и опубликуем условия официально. Напишу о результатах здесь и на хабре.
Теперь к сути — в день обнаружения уязвимости стало понятно что такие кейсы заслуживают отдельного подхода и было принято решение запустить bug bounty программу в Киевстар с адекватным индивидуальным вознаграждением за найденные уязвимости. Как понимаете запуск такого дела в корпорации занимает больше чем пару дней, но надеюсь что за пару недель победим и опубликуем условия официально. Напишу о результатах здесь и на хабре.
Пост добра?
Отличный пост!
Вдруг кто не видел, развитие ситуации с Bug Bounty Киевстара:
Bug Bounty Киевстара: награда за админский доступ к сервисам Jira, AWS, Apple, Google Developer, Bitbucket — 50 долларов
Bug Bounty Киевстара: награда за админский доступ к сервисам Jira, AWS, Apple, Google Developer, Bitbucket — 50 долларов
Sign up to leave a comment.
Почему в Украине нет белых хакеров или история взлома Киевстар