Что угрожает вашему сайту после установки онлайн-консультанта и как мы с этим боремся

[serafims]

А ещё его наличие грозит ненавистью к авторам сайта, если этот виджет вылезает на полэкрана, не давая с содержимым ознакомиться, особенно на мобильных устройствах все плохо бывает… даже в свернутом виде мешает…

[Barokko_von_Dau]

О да, верно подмечено. Именно поэтому у нас такого нет — принципиальная позиция. мы даже pop-up в обратном звонке запихали подальше в настройки и по-умолчанию выключили.

[ValdikSS]

https://github.com/pafnuty/onlineConsultantBlocker

[xxxphilinxxx]

В чем ценность статьи? Если выкинуть детское описание известных каждому веб-разработчику уязвимостей, останется вводный абзац, заключение и упоминание iframe — еще одной популярной технологии. Ни подробностей, ни примечательных техник.

[Barokko_von_Dau]

Одна целей наших блогов — популяризировать IT в различных проявлениях и рассказывать простым языком о сложных вещах.

Ведь на этом сайте, к счастью, сидят не только веб-разработчики. Писать статью для профессионалов — неблагодарное занятие, т.к. все уважающие себя профессионалы уже «сами с усами» и всё знают. Только вот иногда забывают, что ДО того как стать профи они начинали именно с таких вот простых для понимания статей.

[pyrk2142]

Для начала, спасибо за статью.

Однако, хотелось бы узнать следующее:

Но чтобы не расслабляться, мы регулярно просим известные компании, занимающиеся интернет-безопасностью, провести аудит нашей системы.

Эти компании привлекались для аудита панели управления? Или только виджета на сайтах?

[Barokko_von_Dau]

Обычно заказываем аудит нашего собственного сайта (как внешней «оболочки», так и личного кабинета), самого виджета и приложение оператора. Комплексно подходим =)

[pyrk2142]

Вероятно, вам не повезло наткнуться либо на ленивую команду аудиторов, либо на обыкновенных бездарей. Ибо за полчаса я нашел у вас в кабинете и MITM, и CSRF. Грустный результат после множественных аудитов.

[Barokko_von_Dau]

А как бы нам с вами связаться? =) Думаю, разработчики будут только рады закрыть найденные дыры.

[pyrk2142]

Ответил в ЛС.

[NosovK]

могу сказать что с функциональностью самого чата есть проблемы. К примеру передача параметров в чат. Она не работает для spa (Angular к примеру). То есть чат принимает только параметры заданные до его инициализации. Если же это spa — логин происходит далеко после загрузки. И чат благополучно игнорирует новые данные об Id/mail пользователя.