Комментарии 20
Самое сложно было — найти человека, которому можно бы было отправить информацию обо всем этом с целью устранения.
Напомнило:
«Шарик: Фу! До чего же дичь пошла бестолковая — я полдня за ней бегал, чтобы сфотографировать!
Матроскин: Это ещё мало, теперь ты ещё за ним полдня бегать будешь.
Шарик: Это почему же?
Матроскин: А чтоб фотографию отдать.»
Спасибо за статью — живо написана и поучительна.
+4
И тут у вас возник вопрос о вознаграждении?И снова — классика. Как я понял из статьи, программы вознаграждения у них нет. Разговор о вознаграждении опять же зашёл после передачи информации.
Впрочем, сейчас ещё ничего. Автор лишь иронизирует. В прошлый, насколько помню, была желчь и брызги слюны на тему, ах они гады, я без их просьбы и согласия у них аудит безопасности произвёл, а они отказываются мою работу оплачивать.
0
Не передавайте пароли от системы в электронном письме при регистрации. Если пользователь потеряет контроль над электронным ящиком, он потеряет контроль и над вашей системой.Тут не совсем понял. Если пользователь потерял контроль над почтой, то какая разница есть в письме пароль от учетной записи или нет? Восстановить его дело двух минут.
0
В голове держал на самом деле на этот пункт ситуацию, когда лучше пользователю присылать ссылку по которой он может пройти и установить пароль. У ссылки срок жизни короткий, ну и повторный заход по ссылке не даст снова пароль установить…
Такую реализацию принято считать более безопасной. Но вообще вы правы — если мыло увели то тут уже никто не поможет…
Такую реализацию принято считать более безопасной. Но вообще вы правы — если мыло увели то тут уже никто не поможет…
0
Прочитал всю статью и так и не смог найти результат исследования изначального вопроса: каковы реальные доходы людей занимающихся разглаживанием чакр?
+4
Судя по всему совсем мало, раз выплатили всего 5000р, да и то фантиками…
0
5000 рублей — это хорошо!
Мне совсем недавно инжиниринговая компания из Голландии, связанная с судостроением (доход судя по данным из БД >2 млн евро в месяц) за SQL инъекцию + time-based stacked -> shell на Windows сервере в награду предложила свою фирменную футболку выслать… :)
Вежливо отказался от столь щедрого подарка :))
Мне совсем недавно инжиниринговая компания из Голландии, связанная с судостроением (доход судя по данным из БД >2 млн евро в месяц) за SQL инъекцию + time-based stacked -> shell на Windows сервере в награду предложила свою фирменную футболку выслать… :)
Вежливо отказался от столь щедрого подарка :))
0
История с футболкой у меня тоже совсем недавно случилась. Зашитый db owner в мобильном приложении в header, уязвимая cms и базу в 13 тысяч пользователей оценили в фирменную футболочку. Для меня подобные находки это ценный опыт. Но иногда грустно на сколько такой опыт оценивают…
0
по конфете за чакру
я просто любезно попросил перевести это «вознаграждение» знакомому, который “работает” в этой компании. Он в свою очередь смог потратить деньги на сладкую продукцию компании
0
Интересно, спасибо. Только вот сильно верить в то, что пользователи могут придумывать классные логины и пароли — не рекомендую. Помню, в самом начале нулевых мне срочно нужна была полнотекстовая статья из MedLine. Полчаса вручную повводив в форму комбинации типа doctor-doctor, dentist-dentist, Smith-Smith я наловил штук 5 рабочих аккаунтов.
0
Такая комбинация легко подбирается через брутфорс-атаку.
А по времени не пробовали оценить, во сколько это выльется?
Дочитал до.
0
Ну да, если обрабатывать по 100 паролей в секунду, то при длине цифрового пароля в 8 символов на подбор уйдет не более 278 часов, а при длине пароля в 6 символов — не более 3. А если бы 6-символьный пароль содержал еще и символы в нижнем или верхнем регистре, то на брутфорс такого пароля ушло бы не более 252 дней. Это при учете, что все 252 дня сервер отвечал бы со скоростью 100 паролей в секунду.
Я даже не ожидал, что где-то еще используются чисто цифровые пароли. Повезло, однако :)
0
1. Открываете ящик на абузоустойчивом сервисе в литовской-немецком секторе инета.
2. Ищите того, кто близок к данной проблеме.
3. Описываете, что, где и как можно поиметь с этой компании. Без технических деталей и намеков, где это может произойти.
4. Просите разумное вознаграждение.
5. Если не получаете, то при помощи .onion и прямых рук либо выводите средства со счетов, либо устраиваете локальный хаос с 2-3 аккаунтами.
6. Повторяете п.4
7. Если не прокатило — продаете инфу в темном интернете.
P.S. 272ч.1 Касается только злого умысла. В условиях незаинтересованности второй стороны в устранении проблемы злой умысел спорен. Единственное, закон в России трактуется в пользу более состоятельной стороны. Так что адрес из литовско-немецкого сектора — это нормально.
2. Ищите того, кто близок к данной проблеме.
3. Описываете, что, где и как можно поиметь с этой компании. Без технических деталей и намеков, где это может произойти.
4. Просите разумное вознаграждение.
5. Если не получаете, то при помощи .onion и прямых рук либо выводите средства со счетов, либо устраиваете локальный хаос с 2-3 аккаунтами.
6. Повторяете п.4
7. Если не прокатило — продаете инфу в темном интернете.
P.S. 272ч.1 Касается только злого умысла. В условиях незаинтересованности второй стороны в устранении проблемы злой умысел спорен. Единственное, закон в России трактуется в пользу более состоятельной стороны. Так что адрес из литовско-немецкого сектора — это нормально.
+1
То, что вы описали — это обычное преступление (не специалист в терминах, это довольно близко к вымогательству и получению незаконного доступа к компьютерной информации). Вопрос, к сожалению, в том, что белое хакерство балансирует на краю законности, а половина действий, которые делают люди — уже за ней.
0
В итоге как поменялось отношение к «успешным» людям в интернете?
PS. А вот «вознаграждения» в таких случаях (если нет заранее заявленной программы) — это друга статья УК про вымогательство. Нужно понимать, что наличие публичной программы поиска уязвимостей — это часть пиара компании с соотв. заранее выделенным бюджетом. Если такой пиар не считается важным, то и никаких денег не будет.
PS. А вот «вознаграждения» в таких случаях (если нет заранее заявленной программы) — это друга статья УК про вымогательство. Нужно понимать, что наличие публичной программы поиска уязвимостей — это часть пиара компании с соотв. заранее выделенным бюджетом. Если такой пиар не считается важным, то и никаких денег не будет.
0
В большинстве систем, работающих по реферальной схеме. После регистрации по реферальной ссылке, в личном кабинете можно увидеть логин человека, пригласившего вас. Зачастую, люди раскидывающие такие ссылки, активные пользователи подобных сервисов и есть смысл подбирать пароль к их кабинету, зная уже логин. Бывает так, что сама реферальная ссылка содержит в себе логин ее хозяина, который передается get запросом. Это я к тому, что найти логины активных пользователей в подобных сервисах, не такая уж и большая проблема)
0
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
История взлома одной MLM компании