Я задумал содержание этого блога около месяца назад. Продолжаю писать по плану, внося лишь незначительные правки по ходу. Почти закончил — скоро вы избавитесь от меня и сможете вернуться к своей привычной рутине на сайте.
В предыдущих постах я упоминал, что нашёл три аккаунта Веры. Оказалось, ошибся: один из профилей, который я сначала принял за её, принадлежал совсем другому человеку. К такому выводу я пришёл из-за нескольких признаков — яростной защиты Веры, неспособности различать эмоции, статуса матери двоих детей и проживания в том же районе.
Хотя аккаунт был в режиме "недоступен для поиска и неактивен", я всё же воспользовался багов на сайте, чтобы проверить фото — и женщина на снимке даже близко не напоминала Веру. Если быть точным, она была вдвое меньше.
Раз уж я не упомянул её имени раньше, не вижу причин делать это сейчас. Но всё же приношу ей заочные извинения — в первую очередь для собственного спокойствия. Читателям тоже прошу прощения за непреднамеренное введение в заблуждение.
Администрация Maybe.ru уже уведомлена об этой проблеме в коде сутки назад — вместе с рекомендациями по исправлению.
Это не взлом - это "особенность платформы".
Но спасибо, что переживаете за мою уголовную репутацию.
Только не останавливайтесь на достигнутом - верю, однажды вы скажете что-то осмысленное )
Нормальному человеку не приходит в голову мысль дергать за ручки квартир, чтобы найти незапертую и проникнуть внутрь. Точно это вы сделали с чужим профилем, хотя владелец повесил шильду " не активен", что равносильно профиль закрыт.
Как разработчик, я проводил стандартные проверки безопасности после загрузки скриншотов на Maybe - хотел убедиться, что они действительно защищены. В процессе этого тестирования я обнаружил уязвимость и немедленно сообщил администрации, как это принято в IT-безопасности.
Это называется "ответственное раскрытие уязвимостей" - стандартная практика, которая помогает улучшать безопасность платформ для всех пользователей.
Ваше сравнение со взломом квартир не выдерживает критики: настоящий взломщик не станет возвращать ключи и объяснять, как проник внутрь. Именно так поступают злоумышленники - и именно так я не поступил.
К тому же, я прекрасно знал, что здесь водятся "чихуахуа-нападающие". Тем не менее, я публично заявил об уязвимости. Возможно, это что-то объясняет. Если нет - вы всегда можете пожаловаться на меня администрации сайта или даже в прокуратуру за... раскрытие бага, угрожающего безопасности пользователей.
администрация Мaybe не просила вас проводить стандартные и нестандартные проверки безопасности и раскрытие уязвимостей.
И, турецкий бульдог, помой грязные лапы, потому что они воняют воровством информации.
Плохая собачка! Надеюсь, ей сделали прививку от бешенства.
Давайте-ка вернём вас за забор, чтобы вы могли лаять оттуда.
А эти словечки оставим как есть - не будем удалять. Может, когда тренер шлёпнет вас газетой по носу, вы вспомните, почему так нельзя :D
Я представляю, как ты, потирая ручки, расправляя супергеройский плащ "белого хакера", написав в пятницу вечером письмо в стиле, достойного докладной записки в АНБ, отсчитывал секунды, пока аура этого же "белого хакера" позволит тебе написать это в бложике, чтобы стать героем Мейби.
Ну.. похоже героем ты не стал...
Но все равно спасибо. Интересно, что в старой версии такой особенности не было, а в новой была.
Видимо, когда-то я посчитал, что то, что юзер выкладывает себе в прицеп, не должно проходить процедуру шифрования, если анкета закрыта для поиска и просмотра.
Анкета закрыта, не прицеп. Не файлы прицепа.
если юзер хочет надежной конфиденциальности, чтобы картинки прицепа никому не были доступны, конечно лучший вариант - удалить их...
Вообще на Мейби не используется какое-то сильное шифрование.. даже в случае секретных фоток в прицепе. Это не биткоин.. и разработан сайт был в 2002 году с учетом технических возможностей того времени (есть крылатая фраза "Там, где вы учились, мы преподавали".).
Кроме того, шифрование способствует использованию сервиса в неблаговидных целях.. закладки, ципсо, и т. д. а тут так.. болтовня и знакомства.. Так предполагалось.
Тем не менее... спасибо за сигнал, и я конечно был бы за него больше благодарен, если бы он был совершен в менее кондовом стиле, и ради того, чтобы улучшить мейби, а не стать героем :)
Будет время, исправлю, короче, "страшный баг". Но таких "багов" еще оч. и оч. много.
А вот пока небольшой рассказ начала 2000-х. Может быть, ты его не читал.
---
День первый
Хакер приходит в общественную столовую и с возмущением обнаруживает, что солонку на столе может открутить кто попало и насыпать туда что угодно. Хакер приходит домой и пишет гневное письмо директору столовой: "Я, meG@Duc, обнаружил уязвимость солонки в Вашей столовой. Злоумышленник может вскрыть солонку и насыпать туда яду! Примите меры срочно!"
День второй
Директор среди прочих деловых писем, запросов о поставках еды и курьерских уведомлений получает письмо, и пожимает плечами: "Кому этот бред только в голову пришёл?"
День пятый
Хакер приходит в столовую, насыпает во все солонки яду. Погибает триста человек, директора три месяца таскают по судам и, в конце концов, оправдывают за отсутствием состава преступления. Хакер пишет письмо в стиле "ну что, видали?".
День 96-ой
Директор покупает специально спроектированные солонки с кодовым замком. Посетители столовой чувствуют, что они в этой жизни чего-то не понимают.
День 97-ой
Хакер обнаруживает, что дырки в солонках пропускают соль в обе стороны. И не только соль, а вообще всё, что угодно. Он пишет возмущенное письмо директору и ссыт во все солонки столовой. Триста человек перестают посещать эту столовую вообще, тридцать попадают в больницы с отравлением. Хакер вдогонку посылает директору смс-ку "Ну как вам?". Директора тем временем три месяца таскают по судам и дают год условно.
День 188-ой
Директор столовой клянется в жизни больше не работать ни в одной столовой, а тихо-мирно грузить лес в Сибири. Инженеры работают над новой солонкой с односторонним клапаном. Официантки тем временем изымают все старые солонки и раздают соль вручную.
День 190-ый
Хакер тырит солонку из столовой и изучает дома её устройство. Пишет гневное письмо директору: "Я, meG@Duc, стырил солонку и нахожу этот факт возмутительным! Любой может стырить солонку из Вашей столовой!" До этого непьющий директор читает письмо, идет домой и выпивает водки.
День 193-ый
Хакер обнаруживает, что все солонки в столовой прибиты цепями к столам. Он приезжает на очередной хакерский СПРЫГ и докладывает о своих успехах, получая там заслуженную награду за защиту интересов общества и потребителя. К счастью, директор ничего про это не знает и не сопьется раньше времени.
День 194-ый
В рамках дьявольски гениально продуманной операции хакеры всем СПРЫГом вламываются в столовую и высыпают соль из всех солонок себе в карманы. Хакер meG@Duc пишет возмущенное письмо директору, намекая на то, что никакой заботы о посетителях в столовой нет и любой гад может лишить честных людей соли в одно мгновение. Дозатор соли с авторизацией необходим просто позарез.
Инженеры в поте лица работают над новой солонкой, пока официантки опять раздают соль вручную. Директор уезжает в отпуск на Сейшельские острова и обедает только в номере, избегая столовых, ресторанов и баров.
День 200-ый
Посетители столовой с ужасом находят, что, чтобы насыпать соли, они должны подойти к официанту, предьявить паспорт, получить специальный 8-значный одноразовый код к солонке. Для получения перца процедуру следует повторить.
Я вижу, вы либо не поняли, либо неверно истолковали цель моего письма. Этот пост в блоге не был отчётом об уязвимости или попыткой геройства. Напротив, я написал его, чтобы облегчить совесть - извиниться заочно перед пользователем, которого ошибочно заподозрил. Но для последовательности объяснил, как пришёл к такому выводу. Из-за провокаций другого пользователя пришлось упомянуть технические детали.
Моя цель - не выпячивать уязвимости и уж тем более не использовать их. Мне незачем геройствовать на сайте, где я останусь от силы неделю. Я прекрасно понимаю, что этот ресурс никогда не позиционировал себя как образец высочайшей безопасности - да и не мог, это очевидно. Думаю, вы просто сфокусировались не на том.
Не проверял, но спасибо за исправление проблемы от имени 'аудитории'. Вижу, вы расшифровали мою 'записку в стиле АНБ' (хотя не представляю, как можно было описать баг ещё подробнее).
Вы - наш герой.
Видимо, я не учился там, где преподавали вы, иначе бы уже работал бухгалтером;)
Ладно, вродЬ реален. ПустЬ и ненадолго)
Пишите уже тогда, а то мало лЬ чо)
Мож у кого из нас инет заглушат или ноут сломается, или телефон и он всё важное пропууустит)))
