Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
| |
админы тут не причем. виноваты криворукие веб-разработчики 26.07.11 21:33 Число просмотров: 1688
Автор: Den <Denis> Статус: The Elderman
|
|
|
|
<site updates>
|
Яндекс продолжает искать все 25.07.11 22:10
Publisher: dl <Dmitry Leonov>
|
Яндекс продолжает искать все
Roem.ru, Lenta.Ru http://roem.ru/2011/07/25/addednews32332/, http://lenta.ru/news/2011/07/25/eshops/
Не успели улечься страсти с Мегафоном [ http://bugtraq.ru/rsn/archive/2011/07/09.html ], как Яндекс преподнес еще один подарок пользователям и сайтовладельцам. На этот раз, судя по всему, под раздачу попали интернет-магазины, использующие движок Shop-Script, в функциях которого предусмотрен просмотр данных заказа по специальной ссылке без авторизации.
Яндекс, конечно, может и дальше рассказывать про отсутствующий robots.txt, но на сей раз утекла значительно более серьезная информация - от имен и координат получателей до состава заказов, в том числе достаточно специфичных. И очень отдельный вопрос, на кого начнут катить бочку разгневанные граждане - на ротозеев в магазинах, или на сервис, на автомате сглотнувший и пережевавший всю их подноготную.
Кстати, это только мне кажется, что обе громкие утечки идеально совпали по времени с прохождением поправок к нежно всеми любимому...
Полный текст
|
|
с какого перепугу криворукие админы дают в паблик без... 26.07.11 17:36
Автор: f-x Статус: Незарегистрированный пользователь
|
|
с какого перепугу криворукие админы дают в паблик без авторизации инфу о покупках? стрелять из автоматов.
|
| |
админы тут не причем. виноваты криворукие веб-разработчики 26.07.11 21:33
Автор: Den <Denis> Статус: The Elderman
|
|
|
|
А почему поисковик должен индексировать выборочно? И так уже... 26.07.11 10:55
Автор: Winer <Виктор С.> Статус: Member
|
|
А почему поисковик должен индексировать выборочно? И так уже есть костыль в виде robots.txt. Рецепт-то простой - не делать кривые решения, отдающие в паблик то, что не должно там быть.
|
| |
"Яндекс" рассказал вебмастерам о способах защиты личных данных пользователей ) 26.07.11 15:24
Автор: Fighter <Vladimir> Статус: Elderman
|
Рассказ предназначен для людей, которые занимаются разработкой и поддержкой сайтов:
http://lenta.ru/news/2011/07/26/explain/
|
| | |
Можно было ограничится простым "Включайте мозг и не... 26.07.11 15:29
Автор: Winer <Виктор С.> Статус: Member
Отредактировано 26.07.11 15:31 Количество правок: 1
|
> Рассказ предназначен для людей, которые занимаются
> разработкой и поддержкой сайтов:
> http://lenta.ru/news/2011/07/26/explain/
Можно было ограничиться простым "Включайте мозг и не выкладывайте приватные данные в паблик".
|
| | | |
Нельзя, это же не разговор на форуме, а официальная отмазка. 26.07.11 19:51
Автор: Fighter <Vladimir> Статус: Elderman
Отредактировано 26.07.11 19:55 Количество правок: 1
|
Но, боюсь, она им не поможет. Готов поспорить, что в данном случае все гораздо серьезнее и утечка произошла не через обычных поисковых роботов, а через почтовые сервисы или/и я.бар. Я когда-то на заказ делал магазин с функцией оповещения состояния заказа: при изменении состояния отправлялось письмо с текущим состоянием и ссылка, по которой можно было это состояние отслеживать. Т.к. на эту страницу попасть можно было только по этой ссылке либо через защищенную зону, заказчик решил, что в данном случае авторизация не нужна и на этом настаивал. Устав спорить с дураком, я сделал почти как он хотел: по ссылке можно было увидеть только номер заказа и его текущее состояние. Но, подчеркиваю, что простым роботам попасть на эту страницу было было невозможно.
Вот, кстати, типичный запрос к магазину из проиндексированных: aaa.bbb/index.php?ukey=order_status&orderID=12757&code=Y2hlbW92b2xlZ0BtYWlsLnJ1&hash=f253ea88311ceb3229ea115226c49287
|
| | | | |
Ну да, одно из предположений - всякие *.бары. Но я уверен,... 26.07.11 22:27
Автор: Winer <Виктор С.> Статус: Member
|
|
Ну да, одно из предположений - всякие *.бары. Но я уверен, что их EULA мало кто читал, подавляющее большинство нажало "Согласен", а теперь получило попаболь(некоторые так в прямом смысле, как широко теперь известный краснодарец:))
|
| | | | | |
Да, чувак пропиарился на весь мир)) 26.07.11 23:12
Автор: Fighter <Vladimir> Статус: Elderman
|
|
|
|
Ну да, а с учётом того, что яндекс не так давно ушёл на IPO - можно собрать неплохой инструмент влияния на курс акций - наши пацаны это хорошо умеют 26.07.11 10:42
Автор: Ustin <Ustin> Статус: Elderman
Отредактировано 26.07.11 10:46 Количество правок: 1
|
|
Даже несмотря на то, что тут "засветились" все - в среднем мозге всё равно возможное прижатие яндекса будет иметь причину
|
|
Ну и опять, при чем тут яндекс? Без авторизации в интернет =... 25.07.11 23:14
Автор: Nicetas Статус: Незарегистрированный пользователь
|
|
Ну и опять, при чем тут яндекс? Без авторизации в интернет = публично.
|
| |
Да, в общем-то, ни причем. Но он засветился с Мегафоном, и... 26.07.11 00:35
Автор: Fighter <Vladimir> Статус: Elderman
|
Не только Яндекс выдает секреты покупок, другие монстры тоже засветились:
http://lenta.ru/news/2011/07/25/eshops1/
|
|
|
подробно о проекте
Анализ криптографических сетевых...
