Вычисление по пиццерии: Папа Джонс, который не заботится о безопасности

[Krylaty]

История про «хакера в столовой», лайт версия

[nps]

xakep.ru/2006/12/16/35784

[dartraiden]

Тут пожёстче. Если пользователь за 2 недели не заметит, что его пароль поменялся — можно увести его бонусные баллы.

[Lyazar]

Стоило зарепортить результаты ретеста еще раз, и если им было бы пофиг — можно было бы и писать.

[thebeginning]

Признаю, что вы правы, но я общался с человеком мне ответившим дважды. Я, конечно, не эксперт в разработке подобных сервисов, но минимальные рекомендации «от себя» дал сразу же. Разве три месяца не достаточно для того, чтобы это пофиксить?

[Suvitruf]

А вы общались с подрядчиком или с представителем Папа Джонс?

[thebeginning]

Я написал в их поддержку, потом мне отписал человек, который является разработчиком. Я ему все объяснил, дал скрипт потестить, спросил про bug bounty, в итоге получил пиццу и 1000 баллов. После этого через какое-то время я обнаружил, что сайт для Польши такой же, отписал туда. Мне ответила какая-то женщина, про которую я нашел информацию на Linkedin о том, что она занимает не последнюю должность, но там реакции не было, зато был форвард письма главе, должно быть, подразделения по разработке. Я гуглил имена, но уже не вспомню. Суть сводится к тому, что я общался с конкретным человеком с почтой papajohns.ru, назвавшим себя разработчиком, а также с человеком с почтой papajohns.pl, что как бы указывает на официальность контактов.

[denis-19]

Мне подарили 1000 баллов и пиццу
Какой-то неправильный «bug-bounty program» в ПД.

[thebeginning]

Мне сказали, что «как таковой bug bounty нет», но «могу Вам предложить промокод на любую пиццу от 0 рублей, а так же 1000 баллов». Честно говоря, лучше бы она у них была.

[TimsTims]

Мне подарили 1000 баллов и пиццу. Пицца вкусная, но адрес я там хранить не буду.

Но ведь пиццу то вам куда-то привезли :)?

[thebeginning]

Адрес можно удалить в профиле с ПК. В мобильной версии кнопки нет, да и заказываю я по привычке без номера квартиры. Истории про агрессивный маркетинг Бургер Кинга как-то заставляют задумываться перед указанием полного адреса.

[Suvitruf]

Где гарантия, что адрес удаляется, а не просто помечается как удалённый? (:

[thebeginning]

Одно дело — это если ко мне придет сам Папа Джон, другое — если злоумышленник. Вероятность, конечно, минимальная, но и отрицать невозможно. Да и кто знает, сколько там еще уязвимостей.

[ilyaplot]

В истории заказов адрес может быть строкой, а не FK :) Так что, ждите. После этого поста могут привезти «пиццу»

[thebeginning]

Действительно, в мобильной версии и такое есть. А удаления в ней же нет. Придется бояться.

[Akuma]

Ну не знаю. Когда я им писал о том, что из формы заказа было бы неплохо убрать обязательный номер квартиры, т.к. существуют люди, живущие не в квартирах, они все сделали всего за каких-то полтора года. Только вот пиццу мне никто не подарил :(

Правда в последний раз они вообще отказались везти мне пиццу, т.к. внезапно я пропал из региона доставки (на самом деле нет) и ехать целых 10 минут ночью им было лень.

[thebeginning]

Не сделали, квартира все еще обязательна с полной версии.

[Akuma]

Хм. Вроде последний раз не заполнял.
Может поэтому и везти отказались ))

[Glays]

Перестал заказывать у них, когда моего БЦ не оказалось в их каталоге адресов.
Причём я тогда заказал на соседний дом, записав в комментарии правильный адрес, но курьер всё равно приехал не туда. В итоге оказалось, что на распечатке заказа на комментарий просто не осталось места.
Ну и обязательное заполнение почты и имени с фамилией это что-то.