<![CDATA[9c95126(семь)]]> http://www.lexincorp.ru/post80900599/ LiveInternet / LiveInternet.ru hourly 1 ru _LexIncorp_ https://i.li.ru/av/449/1069449_11260676.jpg 9c95126(семь) http://www.lexincorp.ru/ <![CDATA[9c95126(семь)]]> _LexIncorp_, да, только на Яру. Со старым паролем не мог авторизоваться. Поменял. А он и с новым не авторизует. Пишет, что произошла ошибка при авторизации и пускает меня по кругу. Причем все делается очен медленно, я сначала подумал, что комп завис.]]> <![CDATA[9c95126(семь)]]> <![CDATA[9c95126(семь)]]> <![CDATA[9c95126(семь)]]> <![CDATA[9c95126(семь)]]> <![CDATA[9c95126(семь)]]> <![CDATA[9c95126(семь)]]> <![CDATA[9c95126(семь)]]> <![CDATA[9c95126(семь)]]> меня пускает... может он взломанных решил не пускать?]]> <![CDATA[9c95126(семь)]]> <![CDATA[9c95126(семь)]]> <![CDATA[9c95126(семь)]]> _LexIncorp_, не у авторизоваться на Яру, ни с новым паролем, ни со старым. Из-за этого. да? Ко мне тоже письмецо приходило и на сайт этого типа я ходил, так как письма его у себя не нашел.]]> <![CDATA[9c95126(семь)]]> <![CDATA[9c95126(семь)]]> payalnik 21 июля 2008 17:31 #   в избранное
0  - +

Отлично, теперь старый пароль не работает, а новый на почту не приходит. Как мне удалить профайл?










skazo4nik 21 июля 2008 17:34 #   в избранное

0  - +

Прямо сейчас все пользователи, которых это затронуло, должны получить новые пароли.

Если у вас возникли какие-либо сложности, обратитесь ко мне лично и мы решим проблему.




payalnik 21 июля 2008 17:43 #   в избранное

0  - +

Спасибо, уже удалился.




persibiz 21 июля 2008 17:48 #   в избранное

0  - +

Кстати, воспользуюсь случаем.
Есть ли возможность генерировать информеры, подходящие для вставки в профиль того же ЖЖ? Те, что выдаются сейчас, не работают.




skazo4nik 21 июля 2008 17:52 #   в избранное

0  - +

Да, конечно.

http://persibiz.bestpersons.ru/informers… — "информер картинкой" как раз и есть то, что вам нужно. Его можно вставить в профиль ЖЖ, использовав указаный код.




persibiz 21 июля 2008 18:01 #   в избранное

0  - +

Хм, ну ладно, пусть будет картинкой. Просто пользы от него почти никакой, в отличие от JavaScript версии.




payalnik 21 июля 2008 17:55 #   в избранное

+1  - +

Всех защищающих этих товарищей прошу вспомнить, что ошибки ошибками — но нужно соблюдать базовые правила безопасности, первое из которых — НЕ ХРАНИТЬ пароли в плейнтексте.




insaner 21 июля 2008 17:56 #   в избранное

−4  - +

Сушите весла Мистер Х, завтра вас разбудит звонок в дверь, а на пороге будут стоять милиционеры, вот там то вы будете доказывать, кто , как и зачем. Нихуя так просто не бывает.




romanser 21 июля 2008 17:59 #   в избранное

+2  - +

Неужели, bespersons, как и Вконтакте - творение ФСБ? Или это симметричный ответ ЦРУ?




persibiz 21 июля 2008 18:00 #   в избранное

0  - +

Какой вы кровожадный. :)




maximd 21 июля 2008 18:08 #   в избранное

0  - +

пароли нужно хранить в голове или сразу писать на всех стенах :о)




steel 22 июля 2008 01:04 #   в избранное

0  - +

это если паролей штуки 3
если имеешь дело с множеством паролей, то мозгом в кач-ве хранилища не обойтись, к сожалению :(
если поразмышлять с моей колокольни:
у меня на каждый сайт, которым я пользуюсь, отдельный пароль и каждый генерированный и, соответственно, жуткого нечитабельного вида - как их хранить в мозгу?
запомнить такое просто нереально
плюс, в поддержке есть десяток сайтов клиентов в данный момент. у каждого сайта 2-3 разных пароля (админка и фтп как минимум), которые я использую весьма редко. их вообще нереально запомнить

пароли нужно хранить с умом просто. но где-то хранить их все равно приходится




eXtractor 21 июля 2008 20:28 #   в избранное

0  - +

Добрый день!

21.07.2008 произошла атака на сервис Bestpersons.ru. Личные данные пользователей не пострадали.

В целях обеспечения вашей безопасности, сайт Bestpersons.ru производит плановую смену паролей пользователей, подвергшихся атаке.
Ваш новый пароль: *********

Мы приносим свои извинения пользователям, которых затронул данный инцидент.




blockdog 21 июля 2008 20:33 #   в избранное

0  - +

Как раз хотел об этом написать...
Видимо, все-таки бдят (:




meDveD_spb 22 июля 2008 00:37 #   в избранное

0  - +

>> личные данные пользователей не пострадали
ну да, их просто забрали..


>> производит плановую смену паролей
наверно долго план разрабатывли..

Но, суть не в этом, суть в том, что пока отрубали сайт,
они только лишь сменили пароли тому, кто попался,
ничего и не исправив,

Если их грёбаные юристы ещё сработают, то я думаю этим творцам
(по крайней мере высшему руковдству надо будет занятся чем-нибудь другим, ибо с таким отношением (хотя бы взять первый камент сказочника) их теперь нигде не ждёт успех..

p.s. в любом случае большинство уже удалились (надюсь) ;)




consolamentor 21 июля 2008 20:37 #   в избранное

0  - +

Класс, а я просто не успел зайти — поздно почту проверил. Хорошо, что использую всегда уникальные пароли. Спасибо вам :-)




artyfarty 21 июля 2008 23:49 #   в избранное

0  - +

Да-да, тоже повёлся. Хорошо, что никаких своих паролей не доверил — слишком улыбала надпись о том, что пароли хранятся в зашифрованном виде.

Сейчас просто зашёл и удалил свой аккакунт, хорошо что кнопочку ещё не убрали. Нельзя хотеть так много доверия к себе, и так вот его профукать.




yaninna 22 июля 2008 00:50 #   в избранное

0  - +

Спасибо автору за информацию!!!
Очень не хочу удалять аккаунт, однако мой пост в "Новостях" с ссылкой на этот пост - удален, вот тута: http://www.bestpersons.ru/about/news/new…
]]>
<![CDATA[9c95126(семь)]]> eatart 21 июля 2008 17:06 #   в избранное
−2  - +

эх. 502. хотел зайти и вспомнить, регался там или нет (:










skazo4nik 21 июля 2008 17:14 #   в избранное

+5  - +

господа, чуть внимания.

В данном случае имела место уязвимость. Возможно, "публичный" способ указания на ошибки и более действенен для некоторых, но мы всё же предпочитаем вести корректный и этичный диалог и с пользователями, и с коллегами.

Тут упоминали Jaiku — только зазря, об ошибках саппорт был уведомлён, а исправлены они прежде, чем появился пост.

Личные данные пользователей, пароли к другим сервисам, не пострадали. Пароли восстановлены.

Мы принесли, и приносим извинения пользователям, которых затронул данный инцидент.

На сервисе ведутся дополнительные работы.




Ad_Astra 21 июля 2008 17:18 #   в избранное

0  - +

желаю удачи! И поменьше нервничать из-за всяких бандерлогов, которым лишь бы закидать нечистотами :)




dohlik 21 июля 2008 17:19 #   в избранное

0  - +

Если нет пострадавших, то можно сказать спасибо за найденную дыру и пригласить сотрудничать хабровчан в дальнейшем ;)
ИМХО словами про юристов Вы только испортите отношения.




skazo4nik 21 июля 2008 17:29 #   в избранное

−5  - +

раскрыть комментарий Господа, давайте жить по законам. Законам, которые "законы"; законам чести, этики.

Мы всегда готовы сотрудничать, для этого есть специальная форма на сайте. Сообщения в саппорт рассматриваются. Все сообщения. Оценивается важность предлагаемых нововведений (чаще всего это именно они) и принимается решение. Многие наши пользователи уже успели это ощутить.




payalnik 21 июля 2008 17:44 #   в избранное

0  - +

Я бы поблагодарил сообщившего о баге. Лучше я буду знать, что пароль засвечен, чем обнаружу проблемы с аккаунтами на какой-то из сетей, где он используется. А вам следует извиниться за потраченное мной время.




Gravitality 21 июля 2008 17:19 #   в избранное

+4  - +

Я думаю, был бы с вашей стороны гуманный жест - дать отбой юристам, чтобы не трогали "злоумышленника".




skazo4nik 21 июля 2008 17:31 #   в избранное

+1  - +

Я думаю мы все придём к разумному соглашению. Нам хотелось бы этого.




persibiz 21 июля 2008 17:40 #   в избранное

0  - +

Ну вот, другое дело, молодцы. ;)




Amamat 21 июля 2008 17:23 #   в избранное

0  - +

Удачной технической реабилитации! С этого и надо было начинать.




enlarge_your_brainis 21 июля 2008 17:28 #   в избранное

+1  - +

Срочное сообщие! Пост про Jaiku продолжает удерживаться в заложниках ЗЛОУМЫШЛЕННИКОМ! Боевые отряды юристов готовятся к решительным действиям по освобождению.
Пока никаких ТРЕБОВАНИЙ от ЗЛОУМЫШЛЕННИКА не поступало. Ожидайте известий.
-----
Пока носом не ткнули, вы даже извинений из себя выдавить не смогли. Ну чисто детство - написяли в штанишки и побежали жаловаться маме.




persibiz 21 июля 2008 17:41 #   в избранное

0  - +

Вам не надоело? ;) В первый раз это было смешно, а в третий уже как-то не очень, знаете ли. И меньше злорадства, все мы люди.




romanser 21 июля 2008 17:33 #   в избранное

+5  - +

Включить сайт и оставить на нём XSS как и было - это смело.
Парни, я начинаю вами восхищаться




payalnik 21 июля 2008 17:45 #   в избранное

−1  - +

Ужас какой




romanser 21 июля 2008 17:54 #   в избранное

+3  - +

Правда-правда. Кто не успел утром - еще может успеть зайти на указанный тут выше профиль и подарить свои куки от сайта кому получится.




payalnik 21 июля 2008 18:02 #   в избранное

0  - +

Он вот сюда шлет? http://9c951267.ru




romanser 21 июля 2008 18:11 #   в избранное

+1  - +

точно




payalnik 21 июля 2008 18:13 #   в избранное

0  - +

Ну вот, дали еще одну подсказку, ждем и надеемся.
Жесть, жесть, надеюсь, вы мой пароль не станете юзать...




dohlik 21 июля 2008 17:15 #   в избранное

+1  - +

Помнится, в одной очень хорошей книге по IT-безопасности автор привел в пример созданный им сайт, в котором при регистрации в анкете было одно необязательное поле - "посещаемые пользователем сайты". У большинства юзеров пароли на указанных сайтах совпали с используемым на этом подставном.

Но уж хранить где-то в интернете свои пароли - увольте. Это даже не закопать книжку с записями в укромном месте, а дать ее незнакомцу на улице и договориться о встрече через неделю.




Gravitality 21 июля 2008 17:17 #   в избранное

0  - +

Best Person пора переименоваться в Best Programmers.




Kirax 21 июля 2008 17:30 #   в избранное

+2  - +

Когда я вижу на каком-то сервисе просьбу ввести пароль с другого сервиса, я сразу закрываю окно броузера.
]]>
<![CDATA[9c95126(семь)]]> westfild 21 июля 2008 16:48 #   в избранное
+3  - +

Во первых - не сообщив заранее администрации ресурса об найденных ошибках и не дав им хотя бы суток на исправление багов, автор топика поступил, как последняя скотина. Не ошибаются только те, кто ничего не делает. Да - это сильный косяк со стороны БП, но писать такие посты - ещё большее блядство, чем то, которое себе позволили в бестперсон, проигнорировав минимальные требования в отношении безопастности данных клиентов.
Второе - в комментах слышно столько сарказма по поводу лажака со стороны бестперсонс, что становится стыдно за хабралюдей. Не нужно изгаляться над чужими неудачами - чести вам это не делает.

Мне похрен на карму - я не мог промолчать в этой ситуации.










WanderingStar 21 июля 2008 16:53 #   в избранное

+1  - +

Да ну что ж вы сразу к карме все сводите? Это второстепенно. Оно конечно каждый имеет право на собственное мнение, но вот со "скотиной", как мне кажется, вы поторопились... Автор же не описывал способов использования уязвимости. Оно то конечно "умному и намека достаточно", но кажется мне, что при публичном подходе к проблеме устранена она будет гораздо быстрее. "Простимулировали верблюдов скипидаром" (с) Вот это что-то из той же серии...




westfild 21 июля 2008 16:57 #   в избранное

+1  - +

Автор своим топиком просто блокировал работу ресурса - вот что он сделал. А то, что он не выложил скриптов - так их полно готовых в сети. Обладая информацией, что есть XSS уязвимость и работает она из профиля - не нужно быть семи пядей во лбу, что бы начать стричь пороли уже через 10 минут после поста, так что в БП правильно сделали, что отрубили свой сервак.




WanderingStar 21 июля 2008 17:12 #   в избранное

0  - +

Отрубили, исправили, включили. Если вы считаете этот простой самой большой потерей для БП в этом случае, то, мне кажется, вы ошибаетесь. Репутация здесь дороже.
Что же до самого прецедента, то я не считаю себя в праве одобрять поступок автора или называть его скотиной, как это сделали вы. На мой взгляд ситуация несколько неоднозначная - как у первого, так и у второго решения есть свои плюсы и минусы.




westfild 21 июля 2008 17:18 #   в избранное

0  - +

Автор мог запостить этот пост уже после того, как ошибки были исправлены, но он этого не сделал. Он сразу начал выкладывать все нюансы организованной атаки.
Кстати, никто и не сказал, что воровство чужих паролей, а автор топика в открытую об этом говорит, по российскому законодательству предусматривается срок. Не боится?
Что же касательно вырубания сервиса БП - так это они молодцы, что смогли так оперативно всё пофиксить, но иногда всё оказывается куда сложнее и простой мог затянуться на много часов.




SeRgimm 21 июля 2008 16:57 #   в избранное

+1  - +

Он говорил о том, что так не поступают в подобной ситуации. Это все равно что обнаружить у рядом стоящего человека расстегнутую ширинку и начать во всю глотку орать об этом всем вокруг, а потом обьяснить это: "я просто хотел чтоб все получили урок и не забывали застегивать ширинку!"




stoopid 21 июля 2008 17:02 #   в избранное

0  - +

вот здесь голый сотрудник БП показывает пальцем на расстёгнутую ширинку




cyberzx 21 июля 2008 21:36 #   в избранное

0  - +





romanser 21 июля 2008 17:03 #   в избранное

0  - +

Вас не смущает, что оправдывают bestpersons только люди, работающие там или сидящие в соседнем офисе?




nileriver 21 июля 2008 17:06 #   в избранное

0  - +

Про оправдания никто не говорит. Облажались так облажались. Речь идет о этике вашего поступка. Тут несколько разных мнений было о том этично вы поступили или нет. =) И все достаточно аргументированные.




westfild 21 июля 2008 17:08 #   в избранное

0  - +

Здесь никто их не оправдывает - это глупо, т.к. косяк налицо и большой косяк, что тут скрывать. Я говорю про этичность поступка автора топика.




SeRgimm 21 июля 2008 17:08 #   в избранное

0  - +

Это вы с чего взяли?




Aist 21 июля 2008 17:13 #   в избранное

0  - +

Лично мне просто близко это, когда твой проект (проект, за который ты ответсвеннен) ломают и делают это как-то вот так, демонстративно. Это вдвойне неприятно.
Я не работаю в БП и сижу, вроде как, далековато от них (правда, не знаю, где они сидят, может реально в соседнем офисе?) :)




enlarge_your_brainis 21 июля 2008 17:16 #   в избранное

0  - +

Ну дык, а что им ещё делать? Не пособствовать же ЗЛОУМЫШЛЕННИКУ? А то юристы быстро найдут виноватых и лишат премии там. Или работы :-).




cyberzx 21 июля 2008 21:37 #   в избранное

0  - +

оправдание тут не причём. а вот поступок автора топика действительно низкий.




WanderingStar 21 июля 2008 17:23 #   в избранное

+1  - +

Экую вы аналогию привели. Давайте я вам другую покажу: едем мы значит в транспорте и видим у мужчины через 4 сиденья бумажник из кармана торчит. И здесь у нас 2 выхода. Первый - пока мы тихо так шепчем "мужчина... нет, не вы... и не вы - ну то что справа от вас - толкните его пожалуйста" кто-то более ушлый уже утягивает этот бумажник и выходит на ближайшей остановке. Ну и второй - мы громогласно объявляем, что у человека который сидит на таком-то сиденье и одет в такую-то одежду из кармана торчит бумажник. Ну да - все посмотрели и подумали: "Лох", но вместе с тем мужчина остался со своими деньгами и все кто его лохом посчитал потянулись в своим бумажникам, проверили - а на месте-ли ну и затолкали поглубже...
Разницу улавливаете?




SeRgimm 21 июля 2008 17:26 #   в избранное

+1  - +

Разницу улавливаю, пример не в тему, у автора поста была возможность по тихому сообщить админам БП а в вашем примере вы вывернули ситуицию наизнанку.




WanderingStar 21 июля 2008 17:39 #   в избранное

+1  - +

Значит не улавливаете. Ваш пример тоже совсем не в тему был. Ибо не учитывал одного момента - это ваш мужик с расстегнутой ширинкой не предлагал всем к нему в ширинку деньги засовывать и не обещал их там безопасно хранить.




Aist 21 июля 2008 16:53 #   в избранное

0  - +

Полностью согласен.
Я не верю, что при должном желании и наличии времени можно найти ошибки в любых приложениях. Да, начиная работать с критическими пользовательскими данными нужно понимать, что это накладывает дополнительные требования к безопасности, разработчики БП облажались. Но, как верно было замечено, не ошибается только тот, что ничего не делает.




stoopid 21 июля 2008 16:59 #   в избранное

0  - +

ой, а искать ошибки в jaiku, не позаботившись о собственной о безопасности пользователей, разработчики не поступили как последние... ну пускай предпоследние скотины?(важно донести до общественности о критических уязвимостях подобных сервисов)

и самое главное :)
тот, кому действительно "похрен на карму" о ней и не вспоминает.




westfild 21 июля 2008 17:04 #   в избранное

+1  - +

Про карму - возможно вы и правы.
А если по сути - то я не оправдываю БП, как вы могли заметить, а веду разговор про автора топика, который поступил крайне непорядочно.
Я понимаю, если бы БП был конкретным говноресурсом или вторым TOP4TOP, который не хаил только ленивый. На мой взгляд БП - очень классно сделаный сервис с нормальным будущим, хотя пользоваться им я никогда не буду по причине отсутствия у меня блогов, социальных аков и т.д.




Ad_Astra 21 июля 2008 17:01 #   в избранное

0  - +

Согласна абсолютно. Не ошибается только тот кодер, который пишет разве что хелоуволды на бейсике. Понимаю, авторам сервиса нелегко выдержать этот шквал негодования - но по крайней мере я в них верю. Ребята делают реально полезное дело (сама с радостью юзаю) - желаю им не сдаваться и делать это дело раньше на благо юзеров!




Ad_Astra 21 июля 2008 17:02 #   в избранное

0  - +

тьфу. делать ДАЛЬШЕ, разумеется. Пора спать :)




dime 21 июля 2008 17:39 #   в избранное

+3  - +

Как скоты поступают бп, растопыривая палтсы про "юристов" и ЗЛОУМЫШЛЕННИКА. Спороли херню, а наказать за это хотят постороннего человека, который им на это пальцем показал. Свинство с большой буквы. Вот за ЭТО,а не за ошибки (с кем не бывает) лично я никогда в жизни не воспользуюсь этим сервисом.




gkirok 21 июля 2008 17:03 #   в избранное

+5  - +

несколько неадекватная реакция: юристы, злоумышленники.
мне кажется следущий кто найдет уязвимость на бестперсон, не будет никуда сообщать в том числе на сам ресурс, ибо незахочет с такими связываться.
]]>
<![CDATA[9c95126(семь)]]> Aist 21 июля 2008 16:40 #   в избранное
+1  - +

Читаю комментарии и поражаюсь. Неужели на Хабре столько гениев, которые пишут без багов, которые видят на 10 шагов вперед, которые не совершают детских, на чей-то взгляд, ошибок? Откуда-то столько злорадства над БП... Я понимаю, конкуренты бы радовались, но так, сторонние люди испытывают какую-то, не понятную, мне радость.










WanderingStar 21 июля 2008 16:48 #   в избранное

+4  - +

Ну конечно же, никто не идеален... Но вот лично меня позлорадствовать потянуло не после сообщения о найденой уязвимости, а после комментария представителя о "злоумышленниках", "юристах" и прочем. Не с той стороны ребята к вопросу подошли, как мне кажется. Образно выражаясь - битву они проиграли, войну пока нет, но с таким подходом - это только дело времени.




Gravitality 21 июля 2008 16:50 #   в избранное

+3  - +

Когда хранят огромное количество паролей, то, политика безопасности должна быть архижесткая.
Как в швейцарском банке.
А если угонят один пароль от какого-нибудь сервиса закладок, например, не так критично.




SeRgimm 21 июля 2008 16:53 #   в избранное

0  - +

Вообще-то, как я понял, пароли юзеров к сервисам полностью защищены. romanser смог "увести" только несколько паролей к самому сайту.




Aist 21 июля 2008 16:57 #   в избранное

0  - +

То что кто-то использует один пароль на все сервисы - это не есть гуд и, пожалуй, сервис тут не виноват. Имея мой пароль от БП romanser врядли что-то получил, кроме моего пароля от БП. Хотя да, было забавно осознать, что и я попался на его "немного психологии". Человеку явно очень хотелось получить мой пароль :)




romanser 21 июля 2008 17:12 #   в избранное

+2  - +

"немного психологии" было применено ко всем активным пользователям сайта. По случайности, ограничений на спам на сайте тоже не существует.




Aist 21 июля 2008 17:17 #   в избранное

0  - +

Фигасе, как я смог попасть в число активных, когда был на БП последний раз ой как давно? Видать, выборка "жертв" велась не только по активности?




romanser 21 июля 2008 17:58 #   в избранное

0  - +

Активность определялась эвристически. И не слишком надежно.




Ad_Astra 21 июля 2008 17:08 #   в избранное

−2  - +

а потому что большинству публики самим написать что-то стоящее - пятую точу от дивана лень оторвать. А осадить "выскочек", которые таки взяли и чего-то добились, пусть и с неизбежными ошибками, погыгыкать по принципу "Акела промахнулся" - это все горазды :(




SeRgimm 21 июля 2008 16:45 #   в избранное

+1  - +

Позлорадствовать все горазды. У каждого сайта есть уязвимости, по мере работы они обнаруживаются и устраняются. Как говорится, кто не без греха, пусть первый кинет в меня камень.




SeRgimm 21 июля 2008 16:47 #   в избранное

+1  - +

т.е. "без греха" конечно )




foff4ik 21 июля 2008 17:03 #   в избранное

0  - +

* написал SeRgimm выглядывая из под 20 метровой горы кирпичей




SeRgimm 21 июля 2008 17:04 #   в избранное

0  - +

))
]]>
<![CDATA[9c95126(семь)]]> denton 21 июля 2008 16:34 #   в избранное
+7  - +

Пожалуй вставлю свои пять копеек. Я думаю стоило сначала написать в поддержку bestpersons.ru, сообщить об ошибке, дождаться ее закрытия, а потом уже писать пост. Все не без греха, но так подставлять людей думаю тоже не стоит.










nileriver 21 июля 2008 16:39 #   в избранное

+3  - +

А вот под этим подпишусь. Это называется "профессиональная этика".




WanderingStar 21 июля 2008 16:41 #   в избранное

+6  - +

C ними поступили так же, как они со своими пользователями. Если писать напрямую в саппорт - скажут спасибо, залатают одну конкретную дырку - и где уверенность, что подобных дыр там не останется? То есть конфиденциальные данные пользователей все еще под угрозой. Гласность - это хорошо. Многие выводы сделают - не только по данному ресурсу, но и вообще по безопасности в сети.




denton 21 июля 2008 16:56 #   в избранное

+1  - +

Ну, никто и не заставляет молчать — пиши, была дыра, нашел, такие нехорошие разработчики и т.п. Я отписал, дыру уже залатали, но на будующее думайте, стоит ли пользоваться.




alenge 21 июля 2008 16:41 #   в избранное

0  - +

а разработчикам сервиса стоит так подставлять людей?




romanser 21 июля 2008 16:45 #   в избранное

+3  - +

Шоковой терапией тут намного лучше лечится. И это урок не только bestpersons, а всем сервисам вообще. Стоит задуматься о хотя бы минимальной безопасности для данных пользователя.




gadub 21 июля 2008 16:48 #   в избранное

+1  - +

можно подумать, вы это написали, только чтобы "мир стал чуточку лучше"
покрасоваться ведь тоже хотелось, разве нет?




romanser 21 июля 2008 16:59 #   в избранное

+4  - +

Несомненно. "Тщеславие - мой любимый из грехов" (c)




Gravitality 21 июля 2008 16:48 #   в избранное

−1  - +

Я считаю что всё правильно сделал. Обычно, саппорт - нечто аморфное, до них не достучаться. Не всегда, естественно. А активно начинают шевелиться лишь тогда, когда петух жареный клюнет.
Да и сколько владельцев различного рода сервисов пересмотрят свою политику безопасности.




denton 21 июля 2008 17:00 #   в избранное

0  - +

А вы попробовали постучать? Я вас ни в коей мере не осуждаю, тем более bestpersons и сейчас ведут себя не слишком красиво, но просто привык именно к таким действиям при обнаружении ошибки.




Gravitality 21 июля 2008 17:08 #   в избранное

0  - +

Я не стучался к ним, т.к. ошибку нашёл не я.




denton 21 июля 2008 17:12 #   в избранное

0  - +

Пардон, меня смутила фраза «Я считаю что всё правильно сделал» и близость коментария romanser. Ну тогда вопрос к автору.




gkirok 21 июля 2008 16:53 #   в избранное

+5  - +

мне интересно а о "найденных XSS на самом Jaiku!" bestpersons сначала у себя написали или разработчикам сообщили ?




Gravitality 21 июля 2008 17:14 #   в избранное

0  - +

Действительно интересно.
Сказочник, ответь!




skazo4nik 21 июля 2008 17:17 #   в избранное

+1  - +

"Good evening!

While working on our project, I've found an error on your site. It can be used for XSS-attack. Just look at this - http://jaiku.com/login?..".

Это цитата из моего письма. Разработчики были уведомлены и исправили ошибку прежде, чем появился пост.




Gravitality 21 июля 2008 17:21 #   в избранное

0  - +

Спасибо.




yeleleo 21 июля 2008 16:37 #   в избранное

−1  - +

очень ново
]]>
<![CDATA[9c95126(семь)]]> Valez после моих объяснений)]]> <![CDATA[9c95126(семь)]]>