Комментарии 17
Отписал им в саппорт, посмотрим реакцию.
Обозначенные вами сервера были немедленно выведены из раздачи контента и мы включим их после обновления конфигурации до актуальной и выполнения других необходимых мер. Чуть позже отпишусь о причинах, которые привели к тому, что на двух серверах оказалась неактуальная версия софта.
Поскольку в рунете, да и во всём мире, случилась глобализация рынка, приведшая к торгам в реальном времени за показы на множествах сайтах (http://habrahabr.ru/post/169267/), возникла необходимость синхронизации кук рекламных систем. Реальность такова, что не все компании вообще готовы работать по SSL и из-за этого в нашем контенте могут быть вызовы небезопасных пикселей сторонних систем.
Рекламные системы, как и многие другие адаптивные системы, наиболее эффективно работают, когда есть обратная связь. В нашем случае — о качестве проведённых рекламных кампаний. Для получения обратной связи используется вызов пикселя, который учитывает действия на сайте рекламодателя. При этом технически вызов пикселя — это запрос к frontend-у и ответ 204 No Content. Запросов на контентные сервера не происходит.
В вашем посте есть негативные эмоции. Данная ситуация повлекла за собой какие-то последствия для вашей компании? Просим вас всегда в первую очередь обращаться к нам напрямую, мы всегда готовы к диалогу и делаем все от нас зависящее, чтобы максимально быстро исправлять все возможные ошибки и развивать систему для успешного бизнеса наших клиентов.
===
Владимир Мосин
Директор департамента AdRiver, CDO
Поскольку в рунете, да и во всём мире, случилась глобализация рынка, приведшая к торгам в реальном времени за показы на множествах сайтах (http://habrahabr.ru/post/169267/), возникла необходимость синхронизации кук рекламных систем. Реальность такова, что не все компании вообще готовы работать по SSL и из-за этого в нашем контенте могут быть вызовы небезопасных пикселей сторонних систем.
Рекламные системы, как и многие другие адаптивные системы, наиболее эффективно работают, когда есть обратная связь. В нашем случае — о качестве проведённых рекламных кампаний. Для получения обратной связи используется вызов пикселя, который учитывает действия на сайте рекламодателя. При этом технически вызов пикселя — это запрос к frontend-у и ответ 204 No Content. Запросов на контентные сервера не происходит.
В вашем посте есть негативные эмоции. Данная ситуация повлекла за собой какие-то последствия для вашей компании? Просим вас всегда в первую очередь обращаться к нам напрямую, мы всегда готовы к диалогу и делаем все от нас зависящее, чтобы максимально быстро исправлять все возможные ошибки и развивать систему для успешного бизнеса наших клиентов.
===
Владимир Мосин
Директор департамента AdRiver, CDO
За быструю реакцию спасибо и молодцы, а вот гнать на топикастера не надо — он возмущается и раскрывает драму в самом драматичном свете. Ответную драму в этой ситуации устраивать не надо, и по хорошему, надо чуть-чуть пожурить за то, что сразу в паблик, а не в саппорт, но в остальном — сказать спасибо.
Отвечаю с задержкой, так как был на экзамене, но на вопрос из первой версии комментария отвечу, что негативная реакция к рекламным сетям в целом, а также к сайтам, где сторонние скрипты размещены в местах, где их вообще быть не должно по определению.
Был ли запрос в Thawte на аннулирование сертификата? Впрочем, сейчас свяжусь с ними.
Был ли запрос в Thawte на аннулирование сертификата? Впрочем, сейчас свяжусь с ними.
Как и обещал, отпишусь о причинах.
Всё прозаично. К сожалению, не обошлось без человеческого фактора. На этих серверах осенью, с разницей в несколько недель, рассыпались диски. Восстанавливал систему из образа один и тот же человек, который поставил её из старой версии слепка нашего дистрибутива собственной сборки. Из-за этого на машинах оказалась старая версия софта. Она не подвержена страшной уязвимости CVE-2014-0160 (обнаруженной в апреле), но была подвержена MITM уязвимости CVE-2014-0224 (обнаруженной в июне), о которой написал в этом посте MyHabrahabr.
Все организационные выводы мы сделали, думаю больше такого не повторится.
Сертификат конечно же перевыпущен.
Сервера, отключенные из раздачи в 10:30, во второй половине дня были возвращены в раздачу.
Всё прозаично. К сожалению, не обошлось без человеческого фактора. На этих серверах осенью, с разницей в несколько недель, рассыпались диски. Восстанавливал систему из образа один и тот же человек, который поставил её из старой версии слепка нашего дистрибутива собственной сборки. Из-за этого на машинах оказалась старая версия софта. Она не подвержена страшной уязвимости CVE-2014-0160 (обнаруженной в апреле), но была подвержена MITM уязвимости CVE-2014-0224 (обнаруженной в июне), о которой написал в этом посте MyHabrahabr.
Все организационные выводы мы сделали, думаю больше такого не повторится.
Сертификат конечно же перевыпущен.
Сервера, отключенные из раздачи в 10:30, во второй половине дня были возвращены в раздачу.
Наш апдейт по всем серверам
Зря вы так, сначала бы подождали, пока дыру закроют, а то сейчас многие могут терпеть убытки из-за утечек данных.
Не «сейчас», а уже давно.
Он подождал больше полугода(с апреля месяца всему ИТшному миру известно о hearthbleed), сколько можно-то еще ждать. В данном случае эти два сервера давным-давно скомпрометированы с вероятностью 99%, так как сколько уже «плохих» сканнеров-пауков написано за это время можно не счесть, а такие известные сервера наверняка уже попадались там.
Он подождал больше полугода(с апреля месяца всему ИТшному миру известно о hearthbleed), сколько можно-то еще ждать. В данном случае эти два сервера давным-давно скомпрометированы с вероятностью 99%, так как сколько уже «плохих» сканнеров-пауков написано за это время можно не счесть, а такие известные сервера наверняка уже попадались там.
Ну, серверы оставались уязвимыми 9 месяцев подряд. Я специально дождался утра понедельника, чтобы проблему могли быстро решить. Заметьте: не как Google, опубликовавший незакрытую уязвимость в Windows перед самым НГ.
Адблок во все поля.
Почему на странице заказа сторонний скрипт хуже, чем на любой другой странице?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Heartbleed и его друзья в 2015 году: как рекламная сеть ставит под угрозу посетителей сайтов