November 2019

S M T W T F S
      12
34 5 678 9
10111213141516
17181920212223
24252627282930

Navigation

Page Summary

Style Credit

Expand Cut Tags

No cut tags

Маша и Медведь – До весны не будить

dil: (Default)
[personal profile] dil
Friday, June 5th, 2009 02:39 pm

“про девочку Машу, которая никому не дает покоя, и в первую очередь – своему другу Медведю”

Это я один такой испорченный, что неправильно понимаю название и описание третьей серии нового российского мультфильма?

Оригинал этой записи в личном блоге.

Tags:
Flat | Top-Level Comments Only

[identity profile] samuel-smith.livejournal.com
Wednesday, September 23rd, 2009 03:00 pm (UTC)
Смею думать, что всем похуй.

Во первых - тысячелетний боян, практически все секьюрити сканеры про это знают, и, например, ни 1 серьезный платежный гейтвей без PCI DSS сканирования, которое обязательно включает в себя этот тест к себе подключиться не даст. Но даже если и нашли мы куски мягких как вата исходников фронтенда - и что? Только совсем уж отсталые хранят пароли или ключи в репозитории (скорее наоброт - сразу запихивают диры с ними в свнигнор, ибо нефиг), а скорее всего мы увидим кучу унылого чуть более чем полностью кода, который общается с мисклом и мымкешом, невероятно важно, да.

А совет автора делать svn export - вообще бесподобен, ага. В большинстве случаев свн используется как раз как метод распространения кода (в том числе и на кластерах), и сделав svn export (что, кстати, раз в 10 медленнее чем find . -name \.svn -type d|xargs rm -rf) мы напрочь лишимся того, ради чего с ним и связались.

[identity profile] dil.livejournal.com
Wednesday, September 23rd, 2009 03:01 pm (UTC)
боян-не боян, а вон сколько сайтов на этом попались..

[identity profile] samuel-smith.livejournal.com
Wednesday, September 23rd, 2009 03:18 pm (UTC)
если вы сделаете сканирование, например, ССЛ сайтов на предмет поддержки Weak Ciphers (при том, что SSLv1 вообще давно должен был сдохнуть) то тоже можно найти много чего интересного. В том числе и в банковской сфере. Опять же - TRACE не вырублен у кучи серверов и много чего еще. Или вот, например, непатченных пхплистов которые легким движением скрипта превращаются в спаммергейт до сих пор по этим вашим интернетам установлено несчетное количество. Т.е. как по мне - прицепились к наименьшему злу, которое скороее даже не "уязвимость", а мелкий косяк.

Совсем недавно писал плагин для контроля одного отнюдь не дешевого рейда от сегейта. Данные было удобнее получать по HTTP (в снмп не все было) и я написал на курле простенькую обертку, которая логинилась, сохраняла session cookie, после чего запрашивала нужные мне данные. Во время отладки плагина я решил проверить что будет если ввести неправильный пароль (для корректной отработки ошибки) и моему удивлению не было предела когда я получил все данные! Разбор полетов показал всю гениальность быдлокодеров из сигейта - при неправильном пароле они честно дают http код 302 redirect, а прямо за ним - весь текст запрашиваемой страницы! броузер, понятное дело его уже не отображает, а вот курлу + pcre на это наплевать, из-за чего все и продолжало работать.

Написал в суппорт сигейта, причем как кастомер (американская контора), тикет висит без ответа более месяца. Мне кажется, что получение исходников фронтенда (которые чаще всего и так открыты)- много меньшее зло.

[identity profile] dil.livejournal.com
Wednesday, September 23rd, 2009 03:22 pm (UTC)
так никто и не говорит, что это какой-то rocket science. вопрос не в ней самой, а в том, что на этом попались не криворукие пионэры с phpшными форумами, а серьезные компании, которые казалось бы, должны за этим следить

[identity profile] shadowtramp.livejournal.com
Wednesday, September 23rd, 2009 03:41 pm (UTC)
Для услиения эффекта авторы статейки несколько раздувают и передёргивают ;-)

[identity profile] dil.livejournal.com
Wednesday, September 23rd, 2009 03:48 pm (UTC)
что именно?

я вот уже после опубликования статейки стянул с одного из проектов Яндекса .svn/entries

[identity profile] shadowtramp.livejournal.com
Wednesday, September 23rd, 2009 04:23 pm (UTC)
получены корни веб морды некоторых ресурсов
"Некоторых ресурсов" - довольно громко. Про то, что именно было полученно, тоже несколько преувеличенно.

Тут другой, на самом деле, момент важен: defensive development в зоне ru так и не стал правилом. Как ты понимаешь, следствия у этого заметно более неприятные, нежели возможность прочитать некоторое количество файлов шаблонов вёрстки.

[identity profile] dil.livejournal.com
Wednesday, September 23rd, 2009 04:26 pm (UTC)
там всё-таки немножко больше, чем шаблоны. у некоторых и исходный код скриптов, и параметры доступа к базам, и логины разработчиков, и некоторые прочие тонкости, которые не то, чтобы совсем секретны, но развешивать их на всеобщее обозрение не стоило

[identity profile] shadowtramp.livejournal.com
Wednesday, September 23rd, 2009 04:32 pm (UTC)
Так про "не стоило" я и не возражаю совершенно!

[identity profile] dil.livejournal.com
Wednesday, September 23rd, 2009 04:33 pm (UTC)
ну а в чем преувеличение-то?

[identity profile] shadowtramp.livejournal.com
Wednesday, September 23rd, 2009 04:37 pm (UTC)
Эм, проехали?
Flat | Top-Level Comments Only