Комментарии 27
обратился 3 дня назад
То есть в пятницу? Может стоило дать чуть больше времени перед тем как публиковать?
Пятница, утро. Ответ пришел в 12:10.
Времени на установку заплатки — вагон
Времени на установку заплатки — вагон
Ответ от разработчиков сайта или от менеджера «о передачи сообщения разработчикам»?
Так можно дойти до абсурда и подождать 1ч. Его ведь хватит чтобы поставить заплатку?
В реальности все может быть намного сложнее. Вполне вероятен случай что разработка сайта была отдана на аутсорс, причем не в России а в Германии (родины Media Markt). Плюс ко всему, если посмотреть на mediamarkt.de можно найти много похожего, это означает что для России всего лишь адаптировали движок и вполне вероятно что штатного программиста, занимающегося сайтом у них нет.
В реальности все может быть намного сложнее. Вполне вероятен случай что разработка сайта была отдана на аутсорс, причем не в России а в Германии (родины Media Markt). Плюс ко всему, если посмотреть на mediamarkt.de можно найти много похожего, это означает что для России всего лишь адаптировали движок и вполне вероятно что штатного программиста, занимающегося сайтом у них нет.
Уже самое наличие подобной дыры говорит о недальновидности разработчиков. Это не ошибка в коде, это ошибка в ДНК разработчика.
НЛО прилетело и опубликовало эту надпись здесь
3 дня — это конечно достаточный срок, чтобы негодовать и говорить какая эта компания нехорошая (и с этим я согласен, хотя думаю это нормально для этого рынка).
Но 3 дня слишком мало, чтобы публиковать описание уязвимости в открытом доступе.
Но 3 дня слишком мало, чтобы публиковать описание уязвимости в открытом доступе.
Т.е. надо было подождать еще недельку, чтобы об этой дыре прочухали злоумышленники и успели выдрать сотню-другую личных данных?
Ну теперь то об этой дыре точно узнали злоумышленники, а публикация на хабре врядли сильно ускорит фикс бага (учитывая что это не гугль, не фейсбук, да вообще не ИТ компания)
Судя по всему, уже закрыли. По ссылке отписки открывается пустая форма профиля.
Но, возможно, это только для меня, т.к. свой аккаунт я удалил, т.к. боялся, что мои данные будут известны посторонним.
Не знаю что видят по ссылке пользователи, у которых есть активный аккаунт.
Но, возможно, это только для меня, т.к. свой аккаунт я удалил, т.к. боялся, что мои данные будут известны посторонним.
Не знаю что видят по ссылке пользователи, у которых есть активный аккаунт.
Ну, как показывает практика, компании стараются как-то отслеживать сообщения о себе на популярных ресурсах. У меня в блоге товарищи билайновцы объявились уже через день после публикации поста с «НЕГОДУЭ». Хотя там блог тот посещаемости 0 целых 0 десятых имеет.
Уважаемый автор, на это даётся месяц, а не три дня. Не вам здесь оценивать когда, кто и что должен исправлять. Хотели дешёвой славы? Дажё её не получили.
Т.е. вы действительно считаете, что на исправление подобной ошибки нужен месяц?!
Я оцениваю сроки как программист. Тут работы максимум на пару часов. Самый край — это день.
Если на исправление подобной, хоть и мелкой, но серьезной проблемы уходит месяц, то тут надо ставить вопрос о смене команды программистов.
Какая слава? Те, кто хотят дешевой славы и не знают о чем писать, пишут обзоры на китайский ширпотреб.
Я пишу здесь от силы раз в год. Если бы я горел желанием заработать плюсов, я бы нашел куда более простой способ это сделать.
Я оцениваю сроки как программист. Тут работы максимум на пару часов. Самый край — это день.
Если на исправление подобной, хоть и мелкой, но серьезной проблемы уходит месяц, то тут надо ставить вопрос о смене команды программистов.
Какая слава? Те, кто хотят дешевой славы и не знают о чем писать, пишут обзоры на китайский ширпотреб.
Я пишу здесь от силы раз в год. Если бы я горел желанием заработать плюсов, я бы нашел куда более простой способ это сделать.
А это уже не вам решать, какие у людей приоритеты в разработке, вы это как программист должны понимать. Уж не три дня это точно. Может быть у них всё идёт по определённым внутренним схемам, чтобы держать разработку в строгости, вы это знаете? Нет. Поэтому не надо опираться на свой опыт. Вы в этой компании не работаете.
Вы поступили недостойно по моему мнению, на голове у вас не белая шляпа.
Вы поступили недостойно по моему мнению, на голове у вас не белая шляпа.
Я знаю, что разработка может вестись по определенным схемам. И что они могут занимать длительное время.
Однако, есть ряд вещей, у которых высокий или наивысший приоритет. Они отодвигают все остальные задачи на второй план.
Наивысшим приоритетом, на мой взгляд, наделяются проблемы вроде падения сервера, критичных ошибок сайта, когда важна каждая минута и даже секунда.
А данная ситуация, по моему личному мнению и в соответствии с накопленным опытом, попадает в разряд высокого приоритета, когда можно и нужно сразу сделать временную заплатку, а потом не спеша исправлять проблему и проводить все операции в соответствии со схемами разработки, которые занимают долгое время.
Потому что если подобные проблемы будут исправляться месяц, то репутации компании может быть нанесен серьезный ущерб, т.к. подобные проблемы прямо и непосредственно касаются конечных клиентов компании. Какой человек захочет иметь дело с компанией, которая, зная о проблеме утечки персональных данных, не торопится и исправляет ее в течение месяца?
Однако, есть ряд вещей, у которых высокий или наивысший приоритет. Они отодвигают все остальные задачи на второй план.
Наивысшим приоритетом, на мой взгляд, наделяются проблемы вроде падения сервера, критичных ошибок сайта, когда важна каждая минута и даже секунда.
А данная ситуация, по моему личному мнению и в соответствии с накопленным опытом, попадает в разряд высокого приоритета, когда можно и нужно сразу сделать временную заплатку, а потом не спеша исправлять проблему и проводить все операции в соответствии со схемами разработки, которые занимают долгое время.
Потому что если подобные проблемы будут исправляться месяц, то репутации компании может быть нанесен серьезный ущерб, т.к. подобные проблемы прямо и непосредственно касаются конечных клиентов компании. Какой человек захочет иметь дело с компанией, которая, зная о проблеме утечки персональных данных, не торопится и исправляет ее в течение месяца?
на голове у вас не белая шляпа.Вот же ж странно! Ну как же так-то?! Может быть он именно в такой шляпе всегда и ходит и даже за компьютером в ней сидит. :)
Уважаемый комментатор!
Почему это не ему оценивать? Тех, у кого на оперативное закрытие подобной дыры уходит более десяти минут, надо гнать за профнепригодность. Рассказываю, как сделать все правильно:
1. Первым делом полностью отрубаем доступ к уязвимости. Все соответствующие адреса перенаправляем на заглушку, где рассказываем посетителю, что ведем технические работы и приглашаем еще раз вернуться через пару часов. На это понадобится не более 10 минут, если мы еще и кофе пьем параллельно. Один HTML-файл и соответствующие правки в .htaccess.
2. Пишем функцию для формирования отписочных урлов вида /unsubscribe?email=email@server.com&code=QWERTYUI (код нужен, чтобы никто не мог отписывать пользователей против их воли). Это еще минут 15.
3. Пишем обработчик таких урлов. Заход по отписочной ссылке должен отписывать человека без дополнительных условий и вопросов. Получили урл — разобрали его — получили мыло и код — проверили их — сделали соответствующую запись в БД. Ну еще минут 30.
4. Дорабатываем скрипт рассылки, чтобы в заголовках писем появился List-Unsubscribe, и чтобы в сообщениях соответствующая ссылка дублировалась бы явно. Это еще минут 15.
Через час у нас уже готова заплата. Еще час на тестирование и доработку.
Итого: через 10 минут уязвимость недоступна, через 2 часа она исправлена. Потом уже можно делать красивые отписочные странички с логотипами и т.д.
Месяц? Месяц?! ORLY?
Почему это не ему оценивать? Тех, у кого на оперативное закрытие подобной дыры уходит более десяти минут, надо гнать за профнепригодность. Рассказываю, как сделать все правильно:
1. Первым делом полностью отрубаем доступ к уязвимости. Все соответствующие адреса перенаправляем на заглушку, где рассказываем посетителю, что ведем технические работы и приглашаем еще раз вернуться через пару часов. На это понадобится не более 10 минут, если мы еще и кофе пьем параллельно. Один HTML-файл и соответствующие правки в .htaccess.
2. Пишем функцию для формирования отписочных урлов вида /unsubscribe?email=email@server.com&code=QWERTYUI (код нужен, чтобы никто не мог отписывать пользователей против их воли). Это еще минут 15.
3. Пишем обработчик таких урлов. Заход по отписочной ссылке должен отписывать человека без дополнительных условий и вопросов. Получили урл — разобрали его — получили мыло и код — проверили их — сделали соответствующую запись в БД. Ну еще минут 30.
4. Дорабатываем скрипт рассылки, чтобы в заголовках писем появился List-Unsubscribe, и чтобы в сообщениях соответствующая ссылка дублировалась бы явно. Это еще минут 15.
Через час у нас уже готова заплата. Еще час на тестирование и доработку.
Итого: через 10 минут уязвимость недоступна, через 2 часа она исправлена. Потом уже можно делать красивые отписочные странички с логотипами и т.д.
Месяц? Месяц?! ORLY?
Как видно, дыра не просто большая, а ОЧЕНЬ большая.
Серъёзно? Проделать кучу действий, чтобы получить данные одного пользователя — да, это <irony>огромнейшая дыра</irony>. Тем более что по результатам «анализа» не ясно, будут выдаваться разные профайлы или один и тот же. Короче дичайший непрофессионализм и популизм со стороны автора.
Можно предположить, что база подписчиков компании составляет тысячи или десятки тысяч аккаунтов.
Вероятность того, что «повезло» только мне и такое поломанное письмо пришло только мне ничтожно мала.
Вероятность того, что шаблон письма закэшировался и во все письма вставлялся один и тот же хэш имеет место быть.
Однако, по одному и тому же хэшу каждый день открывался новый профайл. Значит, связь «юзер-хэш» изменяется на стороне сервера каждый день.
Таким образом, с достаточно высокой долей вероятности можно предположить, что любой пользователь, перешедший по ссылке отписки, каждый день будет видеть разные профили.
Поэтому для сбора даже 100 профайлов достаточно зарегистрировать 10 аккаунтов на один и тот же ящик путем установки на ящик синонимов, например, как в gmail.
После этого выкачать почту один раз и на протяжении 10 дней собирать данные 10 пользователей в день, переходя по одной и той же ссылке. Такой скрипт пишется на коленке менее чем за час. По-моему, пару часов работы и потом получать по 10 новых юзеров за день — это не сложная процедура.
Вероятность того, что «повезло» только мне и такое поломанное письмо пришло только мне ничтожно мала.
Вероятность того, что шаблон письма закэшировался и во все письма вставлялся один и тот же хэш имеет место быть.
Однако, по одному и тому же хэшу каждый день открывался новый профайл. Значит, связь «юзер-хэш» изменяется на стороне сервера каждый день.
Таким образом, с достаточно высокой долей вероятности можно предположить, что любой пользователь, перешедший по ссылке отписки, каждый день будет видеть разные профили.
Поэтому для сбора даже 100 профайлов достаточно зарегистрировать 10 аккаунтов на один и тот же ящик путем установки на ящик синонимов, например, как в gmail.
После этого выкачать почту один раз и на протяжении 10 дней собирать данные 10 пользователей в день, переходя по одной и той же ссылке. Такой скрипт пишется на коленке менее чем за час. По-моему, пару часов работы и потом получать по 10 новых юзеров за день — это не сложная процедура.
Данные десяти юзеров никому не нужны. Сотни тоже. Да и тысяча никому не нужна особо.
На любой товар найдется свой покупатель.
Тут данных по каждому юзеру полно: ФИО, др, мобильный и домашний телефоны. Далеко не каждая база имеет такой набор информации по каждому юзеру.
Да и расширить сбор можно в десятки и сотни раз, я лишь привел пример.
И использовать можно дыру в разных целях.
Я знаю один пример из жизни, когда дыру на известном автосайте использовал в своих целях один частный перекупщик машин. Сейчас он имеет одну из крупнейших и самых известных компаний, занимающихся продажей поддержанных автомобилей. Тут дело желания и умения.
Тут данных по каждому юзеру полно: ФИО, др, мобильный и домашний телефоны. Далеко не каждая база имеет такой набор информации по каждому юзеру.
Да и расширить сбор можно в десятки и сотни раз, я лишь привел пример.
И использовать можно дыру в разных целях.
Я знаю один пример из жизни, когда дыру на известном автосайте использовал в своих целях один частный перекупщик машин. Сейчас он имеет одну из крупнейших и самых известных компаний, занимающихся продажей поддержанных автомобилей. Тут дело желания и умения.
Довожу до вашего сведения, что технический прогресс уже позволяет автоматизировать необходимые для получения такой базы пользователей действия: от регистрации новых ящиков до дергания уязвимости, сохранения ответов, устранения дубликатов и т.д.
>Одним из обязательных условий конкурса была подписка на периодическую рассылку на сайте компании
После таких условий лично я сразу закрываю страницу
После таких условий лично я сразу закрываю страницу
А почему в тэгах нет «РЕШЕТО!!!111»?
Бага вроде действительно серьезная, но не настолько серьезная чтобы выдергивать разрабов на выходных и с плеткой заставлять патчи лепить. В этом случае есть неиллюзорный шанс поломать кучу другого функционала. Такие вещи нужно спокойно оценить, прогнать через QA/Stage и только потом деплоить.
Бага вроде действительно серьезная, но не настолько серьезная чтобы выдергивать разрабов на выходных и с плеткой заставлять патчи лепить. В этом случае есть неиллюзорный шанс поломать кучу другого функционала. Такие вещи нужно спокойно оценить, прогнать через QA/Stage и только потом деплоить.
Заглянул в код этого сайта. Думаю, дыра не первая и не последняя. Сайт ужасен.
После того, как пользователя изнасилуют принудительным выбором ближайшего магазина, грузится страница с содержимым, которая весит более 3 мегабайт.
Из них:
36 джаваскриптов весом 1,6 мегабайт.
25 CSS-файлов весом 617 килобайт.
Грузить JQuery и подобные библиотеки с серверов «Гугла», разработчики не догадываются. Оптимизировать скрипты и стили — тоже. Часть компонентов страницы отдает 404 ошибку. Я в растерянности.
После того, как пользователя изнасилуют принудительным выбором ближайшего магазина, грузится страница с содержимым, которая весит более 3 мегабайт.
Из них:
36 джаваскриптов весом 1,6 мегабайт.
25 CSS-файлов весом 617 килобайт.
Грузить JQuery и подобные библиотеки с серверов «Гугла», разработчики не догадываются. Оптимизировать скрипты и стили — тоже. Часть компонентов страницы отдает 404 ошибку. Я в растерянности.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
MediaMarkt раскрывает личные данные своих подписчиков