Пользователей онлайн: 297
Не зарегистрированы?
РегистрацияЭкспресс знакомства
Безопасность сайта
Добавлено: 2012-09-23 19:09
Авторсинеенебопростите, Вас так безопасность сайта волнует или ущемленное самолюбие Вашей барышни?
Добавлено: 2012-09-23 19:09
АвторDomSvВашему верху, барышня, по статусу не положено и претит интересоваться как там поживает самолюбие, настроение и т.п. его нижней?
Разница только в том, что за все свои слова, сказанные на форуме, я отвечаю самостоятельно, а не прячусь за спину Верха, как кошка, поджавшая хвост.
Добавлено: 2012-09-23 19:09
АвторсинеенебоОб этом, если Вы хотите, Вы можете поинтересоваться у него самого.
Разница только в том, что за все свои слова, сказанные на форуме, я отвечаю самостоятельно, а не прячусь за спину Верха, как кошка, поджавшая хвост.
Добавлено: 2012-09-23 19:09
АвторСильвестрПо ходу остался баг позволяющий удалять фото юзеров
Я ещё не знаю где находится эта дыра, но знаю как не допустить этого .
Очень скоро это прекратится ...
2) ГРАЖДАНЕ !!!! Я знаю что за мерзкий подлец удалял все ваши фото !!!!!
Этот негодяй, как оказалось - я
Так что звыняйте , я больше не буду
Смело заливайте свои фото :-)
🍌Всё будет банан 🍌
Добавлено: 2012-09-23 19:09
АвторDomSvкаким образом за свои слова самостоятельно может ответить человек, учетка которого на сайте забанена? Научите.
Добавлено: 2012-09-23 19:09 ( Ред. 2012-09-23 19:09 )
АвторсинеенебоАх если бы это было впервые. А еще можно писать сообщения от своего имени с Вашего аккаунта.
Произвольная цитата1) хватит сраться !!!
так мы же за любой кипишь кроме голодовки )))
Добавлено: 2012-09-23 20:09
Произвольная цитатавозмущению моему не было предела не в том что она нашла баг , а то КАК указала на это
Уважаемый Сильвестр. Моему возмущению в тот момент так же не было предела, так как на тот момент, если вы помните, состоялось массовое похищение эмейлов с вашей базы, и имел место отчаянный "мороз" с вашей стороны.
Если вам кажется, что получение неприятных угроз на почту - малая причина для переживаний, то еще несколько я озвучу таки лично, если вдруг заинтересуетесь.
Соглашусь, что с моей стороны была действительно допущена халатность - эмейл после регистрации сохранить. О чем жалею. Но самонадеянно утверждать, что "сами казлы" попросту было некрасиво.
Теперь по сути. Я в жизни не занималась целенаправленным взломом чего бы то ни было. Но статьи о безопасности той или иной реализации предпочитаю читать до того, как браться за нее. В частности, о том, что в директории должен лежать индексный файл я учила десятилетних детей на курсах )) А отсутствие таковых (по всему дереву сайта) обнаружила ну совершенно случайно.
Говорите, проблемы с безопасностью появились недавно... Нет, появился маньяк, и вы занялись таки устранением уязвимостей.
Говорите, сессии к айпи привязали.
Напрягаем орган здравомыслия. Для того, чтоб подменить идентификатор сессии, его нужно знать. Получить такой можно, например, поселив троян на компьютер пользователя.
для этого:
1) написать троян
2) подсунуть его нужному пользователю
Допустим, имея базу почтовых адресов, можно попытаться взять пользователя на дурака, прислав ему вкусненькую ссылку. Но для этого нужно еще и обойти антивирусники целевого пользователя, что многократно усложняет задачу 1. Поэтому:
3) пользователь должен быть халатным.
а халатного уж проще купить на фишинг.
Далее, есть неприменное условие.
4) Входить на сайт надо одновременно с целевым пользователем, пока он числится "онлайн".
А судя по рассылке, об этом писалось в других темах, жертвами стали пользователи, которые месяцами не входили на сайт.
Так что не туда вы тратили усилия.
Возможно, имело место указание id пользователя в куках (мне вот честное слово, было совершенно лень это проверять). Ну, тогда звыняйте, еще один взнос в копилку школьных дыр, наравне с индексными файлами. Надеюсь, вопреки ангельским глазам и рассказам о подмене сессии, вы действительно настоящую дыру устранили.
По поводу картинок. Вот не успела я это сообщение дописать. Заметила ваш белый платок, когда хотела скопировать фрагмент адреса фотографии, в котором могла закрасться ошибка. Промежуточный каталог из 5 или 6 цифр. Он?
Добавлено: 2012-09-23 20:09
Еще Вам повторю ))) Не о безопасности сайта речь то шла. Речь только о том, что нельзя было это отрицать ранее.
Ответил, так как показалось, что ко мне относится пост.
Ответил, так как показалось, что ко мне относится пост.
Добавлено: 2012-09-23 20:09 ( Ред. 2012-09-23 20:09 )
>Говорите, проблемы с безопасностью появились недавно... Нет, появился маньяк, и вы занялись таки устранением уязвимостей.
Именно . Проблемы с безопасностью возникают тогда, когда эту безопасность кто то нарушает ...
>Так что не туда вы тратили усилия.
Очень даже туда, ибо быра дыра позволяющая делать javascript иньекцию что позволяло тырять все куки юзера .
И если напрячь моск , то имея свежую ИД сессии, можно написать очень простой скрипт ,который тут же проникнет в акк юзера очень плотно ...
что касается троянов и фишингов , меня это мало волнует так как это как раз ответственность юзера , нужно быть осторожным в мети ...
про белый платок не проникся
Именно . Проблемы с безопасностью возникают тогда, когда эту безопасность кто то нарушает ...
>Так что не туда вы тратили усилия.
Очень даже туда, ибо быра дыра позволяющая делать javascript иньекцию что позволяло тырять все куки юзера .
И если напрячь моск , то имея свежую ИД сессии, можно написать очень простой скрипт ,который тут же проникнет в акк юзера очень плотно ...
что касается троянов и фишингов , меня это мало волнует так как это как раз ответственность юзера , нужно быть осторожным в мети ...
про белый платок не проникся
🍌Всё будет банан 🍌
Добавлено: 2012-09-23 20:09
АвторDomSvконкретный пример, раз уж такое заявляетеПроизвольная цитата1) хватит сраться !!!
так мы же за любой кипишь кроме голодовки )))
Добавлено: 2012-09-23 20:09
Произвольная цитатаимея свежую ИД сессии
Это безусловно. Но в темах речь шла о пользоваьелях, которые давно не входили. Что дыра была - это несомненно, и не одна )) Но, видимо, и не последняя.
Добавлено: 2012-09-23 20:09
И да. Почты-то как угнали?
Добавлено: 2012-09-23 20:09 ( Ред. 2012-09-23 20:09 )
АвторНе_Слезка :)И да. Почты-то как угнали?
Были бы все - был бы массовый спам великих размеров ...
Просто дыра с javascript'ом была с самого присамого начала сайта
И не известно как долго это чудило пользуется этой дырой ...
🍌Всё будет банан 🍌