Comments 151
Жаль, что только свою :)
Себе можно еще и имя придумать какое хочешь…
Думаю, правильней было бы написать разработчикам, и если от них не было б никакой реакции — уже сюда.
О таком разработчики сами должны знать, да и если у них взламывают просто аккаунты, то у них есть больше забот. А можно было просто нанять бета-тестера.
XSS и прочьи радости сюда не всунешь, так что проблем с безопасностью нет. Просто несколько радостей, которые разнообразят вашу страничку. Ради бвух переводов строки в статусе или того что вы родитесь через 6 тычсяч лет не стоит волноваться :)
единственная неприятность — узнаете кто ваш настоящий друг, а не вспоминающий о вашей днюхе по уведомлениям под майн-меню
Тут поспорю.
У меня, к примеру, всегда была большая проблема с запоминанием дат. Историю в школе реально ненавидел, органайзеры, аськи и прочие вконтакты для меня реально спасение.
И тут приходит мода на удаление своих ДР… И что мне прикажете делать?
Особые экстремисты еще любят подставлять ненастоящие даты рождения, с тем же дебильным оправданием — «узнаю, кто настоящий друг». Блин, ну не помню я, не помню! Я физику понимаю, биологию люблю, а даты — ну ваще никак.
Подумайте о других-то.
У меня, к примеру, всегда была большая проблема с запоминанием дат. Историю в школе реально ненавидел, органайзеры, аськи и прочие вконтакты для меня реально спасение.
И тут приходит мода на удаление своих ДР… И что мне прикажете делать?
Особые экстремисты еще любят подставлять ненастоящие даты рождения, с тем же дебильным оправданием — «узнаю, кто настоящий друг». Блин, ну не помню я, не помню! Я физику понимаю, биологию люблю, а даты — ну ваще никак.
Подумайте о других-то.
Настоящий друг всегда напомнит о дне рождения второго настоящего друга :)
а я тоже не помню и всем друзьям уже сказал что бы напоминали =) те кто не напоминают — сами виноваты =)
у меня аналогичная проблема — я в телефон пишу :)
А я и про свое иногда забываю :))
Если Вы такой забывчивый, у Вас есть органайзер. Если кого-то в этом огранайзере нет, его ДР не жалко пропустить.
С органайзерами у меня, кстати, тоже не всегда ладится.
Телефонные не всегда удается импортировать при смене трубки. Пытался вести на КПК, уехал в отпуск, КПК без зарядки полежал и сбросился в фабричное состояние, с потерей всех данных.
Видимо стоит перейти на google cal, но блин! не проще ли использовать привычную аську?
Собственно, вопрос не столько в технической стороне реализации, сколько в том, НАФИГА удалять/изменять дату ДР?
Простой пример: ваш лучший друг не поздравил вас с ДР, вы его вычеркнете из списка друзей и проклянете?
Телефонные не всегда удается импортировать при смене трубки. Пытался вести на КПК, уехал в отпуск, КПК без зарядки полежал и сбросился в фабричное состояние, с потерей всех данных.
Видимо стоит перейти на google cal, но блин! не проще ли использовать привычную аську?
Собственно, вопрос не столько в технической стороне реализации, сколько в том, НАФИГА удалять/изменять дату ДР?
Простой пример: ваш лучший друг не поздравил вас с ДР, вы его вычеркнете из списка друзей и проклянете?
UFO just landed and posted this here
А я вот вообще имена забываю: о)
lol, nokia календарь решает.
Тоже самое и уменя. Родители уже не обижаются, друзья думаю тоже, особенно которые давно меня знают. А вконтакт реально помогает. И еще органайзер на трубе. Жалко только что при смене трубы всё переписыватьп риходится.
Вот и идея сервиса нарисовалась — «Вспомнить ВсЁ» — или есть что-нибудь подобное?
давным давно www.plaxo.com/
Наверное никого это не смущает. :(
Несмотря на то, что найденные баги, как мне кажется, довольно несущественны, Вы подняли очень интересный вопрос: сколько свободы следует оставлять пользователю?
Можно ли ставить свою дату рождения на 9999 год и менять фон страницы на ярко-розовый с мигающими стразиками? Надо ли пресекать эти действия пользователя?
Мне кажется, что можно воспользоваться принципом: «Свобода человека заканчивается там, где начинается свобода другого».
То есть, любые модификации своей странички позволяются, пока они не начинают существенно мешать другим (в смысле XSS). Если страничка стала нечитаемой или информация на ней заведомо ложная, то стоит оставить другим пользователям решать сидеть на этой страничке или нет.
Можно ли ставить свою дату рождения на 9999 год и менять фон страницы на ярко-розовый с мигающими стразиками? Надо ли пресекать эти действия пользователя?
Мне кажется, что можно воспользоваться принципом: «Свобода человека заканчивается там, где начинается свобода другого».
То есть, любые модификации своей странички позволяются, пока они не начинают существенно мешать другим (в смысле XSS). Если страничка стала нечитаемой или информация на ней заведомо ложная, то стоит оставить другим пользователям решать сидеть на этой страничке или нет.
Забавно. В WebKit Web Inspector тоже получилось побаловаться.
Теперь я рожден буду в 7777 году. Ждите.
Спасибо, не знал что так можно в живую на странице менять код. *коварно хихикнул*
Теперь я рожден буду в 7777 году. Ждите.
Спасибо, не знал что так можно в живую на странице менять код. *коварно хихикнул*
ну так это давний баг.
этим же способом, например, ножно начать встречачться с самим собой.
этим же способом, например, ножно начать встречачться с самим собой.
А как с самим собой встречаться? Я выставляю семейное положение «женат» в селекте «на» фаербагом прописываю свой id, но в итоге получаю то, что я просто женат, но не написано на ком.
Логика подсказывает, что я должен сам себе выслать подтверждение, но как?
Логика подсказывает, что я должен сам себе выслать подтверждение, но как?
простым вставлением option со своим id не получается
уже нет. можно было, но пофиксили…
остались только старые анкеты.
остались только старые анкеты.
Я примерно таким же способом зарегестрировался на западном ресурсе где в списке стран небыло России
добавил новое поле и оно сьело без вопросов, в профиле отображается то что было указано =)
Сайт замечу не мелкой конторы, только уже забыл какой, то ли EA, то ли Bethesda, или какой другой гигант геймдева.
я делал это через адресную строку и javascript:
=)))
добавил новое поле и оно сьело без вопросов, в профиле отображается то что было указано =)
Сайт замечу не мелкой конторы, только уже забыл какой, то ли EA, то ли Bethesda, или какой другой гигант геймдева.
я делал это через адресную строку и javascript:
=)))
у меня Typo3 при инсталляции не видел и пропускал в списке предназначенную для него базу данных, Firebug-ом добавил нужное значение в Select и всё заработало :)
но проверять введённые пользователем данные нужно не только вод веб на стороне сервера, подобные баги я встречал и раньше в приложениях под виндой — некоторые программы дизаблили кнопки и поля ввода, но с помощью WinSight и самописной проги можно было найти хэндл нужного едита и поменять значение или просто енаблить все окна перебрав в цикле оконные хэндлы от 0 до 65535 :)
но проверять введённые пользователем данные нужно не только вод веб на стороне сервера, подобные баги я встречал и раньше в приложениях под виндой — некоторые программы дизаблили кнопки и поля ввода, но с помощью WinSight и самописной проги можно было найти хэндл нужного едита и поменять значение или просто енаблить все окна перебрав в цикле оконные хэндлы от 0 до 65535 :)
UFO just landed and posted this here
А мне вот вспомнился один товарищ, который утверждал, что серверная валидация не нужна, ведь указываем же в поле input максимальную длину — 10. В общем, он был сильно удивлен.
UFO just landed and posted this here
У половины вконтакта дата рождения 31 февраля. При чем штатными средствами всё делается. Вообще никаких проверок нет
кстати, в php есть встроенная функция для проверки даты
checkdate ( int month, int day, int year)
которая проверяет еще и вискосный год (28/29 февраля)
checkdate ( int month, int day, int year)
которая проверяет еще и вискосный год (28/29 февраля)
UFO just landed and posted this here
А вы уже в клубе рождённых в 4096 году?
Это все давно известно и хорошо разобрано vkontakte.ru/club1628 тут
У меня почему-то после нажатия 'Сохранить' сбрасывает на то, что было до этого:(
а раньше я мог жениться на самом себе. но уже пофиксили :-)
Я почти уверен, что разработчики вконтакта об этих багах знают. Просто задачи их исправления далеко не первой необходимости — желающие развлекаются, а безопасности и работоспособности сайта это не угрожает.
UFO just landed and posted this here
Понятное дело, что они хотят снизить кол-во серверного кода при таких-то нагрузках. А писать такие проверки на стороне клиента бесполезно.
ЗЫ: сабж и топик блога — разные вещи
ЗЫ: сабж и топик блога — разные вещи
Ессесно проверяется некий необходимый минимум, который обеспечивает безопасность. А валидность дат и т.п. — не так важно.
Понятное дело, что они хотят снизить кол-во серверного кода при таких-то нагрузках
какие нагрузки? от конструкций типа if (empty(date))?
не говорите ерунды. разработчки просто забили/забыли
какие нагрузки? от конструкций типа if (empty(date))?
не говорите ерунды. разработчки просто забили/забыли
лучше if($day > 31) $message = «поздравляю шарик, вы балбес»;
Какие? — Высокие. И не конструкций ЯП, а от нескольких миллионов обращений к скрипту в секунду.
«они хотят снизить кол-во серверного кода при таких-то нагрузках»
Вы и в правду думаете, что они у них нет проверки валидности даты рождения, из-за того что они хотят сэкономить нагрузку на скрипт? Это просто идиотизм! Если бы вы принимали участие в разработке хоть немного нагруженного проекта, то вы прекрасно понимали что обращение к той же базе данных или работа с циклами занимает в сотни раз больше времени чем проверка аля if($day > 31)
В данном случае разработчки не стали заморачиваться с проверкой даты из-за лени или просто зыбыли это сделать
Вы и в правду думаете, что они у них нет проверки валидности даты рождения, из-за того что они хотят сэкономить нагрузку на скрипт? Это просто идиотизм! Если бы вы принимали участие в разработке хоть немного нагруженного проекта, то вы прекрасно понимали что обращение к той же базе данных или работа с циклами занимает в сотни раз больше времени чем проверка аля if($day > 31)
В данном случае разработчки не стали заморачиваться с проверкой даты из-за лени или просто зыбыли это сделать
Я и так понимаю. Одно другому не мешает. Хотя, конечно, вариант заб(и|ы)ли тоже не исключен. Просто мне кажется менее вероятным.
ну, если быть честным, не if($day > 31), а
if (day > 30 + (month mod 2)) or
(month == 2 and
(day > 29 and ((year mod 100 != 0 and year mod 4 ==0) or (year mod 100 == 0 and year mod 400 == 0))
or day >28))
if (day > 30 + (month mod 2)) or
(month == 2 and
(day > 29 and ((year mod 100 != 0 and year mod 4 ==0) or (year mod 100 == 0 and year mod 400 == 0))
or day >28))
черт. уже по ходу прикрыли, а так хотелось попробовать вместо года написать <script ...>… </script> :(
А еще статус скушивает
на ура.
на ура.
поменял дату рождения на 41 декабря, посмотрел, а там уже не один я такой :)
На Хабре тоже такой баг…
Думаю что описанная брешь есть на очень большом количестве сайтов в интернете.
А JS с помощью firebug нельзя редактировать? :) а то было бы еще больше интересного )
UFO just landed and posted this here
Всё правильно… я тоже так делаю, проверка на правильность даты, количество букв в логине — это всё для удобства пользователей. Сайт тебе намекает, что логин меньше 3-х букв — это не красиво… но если ты очень хочешь пострадай х-ней и сделай се некрасивый логин… то же самое и с датой — если хочешь, поставь се хоть 1900… можно, конечно и на сервере проверять данные, требовать скан паспорта и т.д., но эт. дополнительное время на разработку, лишняя нагрузка на сервер и всё такое.
Вконтакте дырявый как швейцарский сыр все об этом знаю, вообще товарищ Дуров хочет превратить его в базу данных, так как изменение своего имени на не существующие сразу вызывает у них предупреждение о смене на реальное, а я вот сижу там и протестую
Чем популярнее сайт — тем больше в нем находится дыр.
Ну дык, чем больше возможностей, тем больше потенциальных дыр.
У меня один знакомый, который делает сайты уже как, чуть больше чем 5 лет на HTML и SSI (Server-Side-Include), и никакого серверного языка =))) Объясняет, мол, так безопасней =))) После того, как он это мне рассказал, на «около-вебные» темы я с ним стараюсь не начинать беседу.
Это я к чему — на сайте будет только один скрипт — гостевая книга, какая-нибудь, зато «дыр нет».
У меня один знакомый, который делает сайты уже как, чуть больше чем 5 лет на HTML и SSI (Server-Side-Include), и никакого серверного языка =))) Объясняет, мол, так безопасней =))) После того, как он это мне рассказал, на «около-вебные» темы я с ним стараюсь не начинать беседу.
Это я к чему — на сайте будет только один скрипт — гостевая книга, какая-нибудь, зато «дыр нет».
В чем смысл этого поста, если весь контакт переполнен группами на тему всяких подобных фишек со своей страничкой и куча людей уже пошутивших так на своей странице?
В целом же, проверка таких данных задача не приоритетная, гораздо более важная задача — борьба со спамом, уверен что разработчики сейчас сфокусированы на ней. А пользователи, если захотят, и так наполнят свою страничку ахинеей, и плохая дата не самое страшное.
В целом же, проверка таких данных задача не приоритетная, гораздо более важная задача — борьба со спамом, уверен что разработчики сейчас сфокусированы на ней. А пользователи, если захотят, и так наполнят свою страничку ахинеей, и плохая дата не самое страшное.
ещё так можно СМС отправлять с сайтов операторов, ставить большое количество символов в сообщении))
UFO just landed and posted this here
По моему просто такие мелочи не проверяются в угоду производительности.
Например, умники запостили на башорг уже давно:
bash.org.ru/quote/394994
Я здесь вижу простую оптимизацию производительности на основе математической модели. Никому нах не важно, сколько конкретно пользователей на данный момент зарегано в контакте, а примерное число всегда будет показываться приблизительно точно.
Например, умники запостили на башорг уже давно:
bash.org.ru/quote/394994
Я здесь вижу простую оптимизацию производительности на основе математической модели. Никому нах не важно, сколько конкретно пользователей на данный момент зарегано в контакте, а примерное число всегда будет показываться приблизительно точно.
жаль год рождения не вписывается в бинарнике :)
11111000100 (1988) урезается в
2147483647 — макс. допустимое число
11111000100 (1988) урезается в
2147483647 — макс. допустимое число
третий пол тоже не ставится.
а если вычислить что за параметр h= ставится при добавлении в друзья — можно подружиться с самим собой.
в одноклассниках не прокатило…
я об этом давно знал. а вот если дуров читает хабр — то скоро закроют дырки)
гик-фетишист )
вот уже готовенький скрипт… есть многострочные статусы, смайлы и еще много полезностей…
Знаете, я вот что тут подумал.
Статейка эта честно перепечатана из февральского номера журнала «Хакер», не есть хорошо забывать указывать копирайт. Автор, исправьтесь пожалуйста.
Статейка эта честно перепечатана из февральского номера журнала «Хакер», не есть хорошо забывать указывать копирайт. Автор, исправьтесь пожалуйста.
о существовании этого журнала знаю только из упоминаний о нем, в связи с чем прошу подумать о том, что не хорошо высказывать свои предположения в утвердительном тоне, и не учить меня что-то делать. Если вы приведете ссылку или пришлете скан статьи — с удовольствием почитаю. А еще есть древняя истина, что все новое — это давно забытое старое. Так что если я о чем то говорю, это не значит что я первооткрыватель. Об этом также свидетельствуют утверждения выше, а так же мои личные поиски родившихся 77го августа. Исправляться не собираюсь ввиду отсутствия в этом необходимости.
жесть, занимаюсь сейчас JS ориентированным проектом, злюсь, бешусь, но делаю проверки и на клиенте и на сервере, но что бы хабр и вконтакте обезштанились, не ожидал :)
так же можно ставить отрицательную дату рождения
«День рождения: -999999999 марта -999999999 „
(делал через дочерний сайт контакта durov.ru )
«День рождения: -999999999 марта -999999999 „
(делал через дочерний сайт контакта durov.ru )
да. тут информационной безопасностью не пахнет: страницу с нереальными данными рано или поздно пометят, а инъекции никакие не вставить.
какой еще контакт, я вообще им не пользуюсь и друзей своих отговариваю от этой глупой затеи
Предложите более лучший аналог!!! Пока что это единственная сеть для ДРУЗЕЙ!
уже пофиксили??
Я честно говоря, не понимаю, с чего автор запихнул свой пост в этот блог и каким образом это относится к информационной безопасности.
Кстати вспомнилось сейчас насчет безопасности вконтакте — у нас один человек на кафедре защищал диплом или бакалавра, на эту тему, так вот за время своего исследования, он обнаружил более 50 уязвимостей, которые ведут именно к нарушению безопасности. Стоит отметить, что разработчики все очень оперативно исправляли.
Кстати вспомнилось сейчас насчет безопасности вконтакте — у нас один человек на кафедре защищал диплом или бакалавра, на эту тему, так вот за время своего исследования, он обнаружил более 50 уязвимостей, которые ведут именно к нарушению безопасности. Стоит отметить, что разработчики все очень оперативно исправляли.
Sign up to leave a comment.
Развали свою страничку в контакте
(И не только в нем)