Маша и Медведь – До весны не будить

[dil]

“про девочку Машу, которая никому не дает покоя, и в первую очередь – своему другу Медведю”

Это я один такой испорченный, что неправильно понимаю название и описание третьей серии нового российского мультфильма?

Оригинал этой записи в личном блоге.

Comments

[dil.livejournal.com]

боян-не боян, а вон сколько сайтов на этом попались..

[samuel-smith.livejournal.com]

если вы сделаете сканирование, например, ССЛ сайтов на предмет поддержки Weak Ciphers (при том, что SSLv1 вообще давно должен был сдохнуть) то тоже можно найти много чего интересного. В том числе и в банковской сфере. Опять же - TRACE не вырублен у кучи серверов и много чего еще. Или вот, например, непатченных пхплистов которые легким движением скрипта превращаются в спаммергейт до сих пор по этим вашим интернетам установлено несчетное количество. Т.е. как по мне - прицепились к наименьшему злу, которое скороее даже не "уязвимость", а мелкий косяк.

Совсем недавно писал плагин для контроля одного отнюдь не дешевого рейда от сегейта. Данные было удобнее получать по HTTP (в снмп не все было) и я написал на курле простенькую обертку, которая логинилась, сохраняла session cookie, после чего запрашивала нужные мне данные. Во время отладки плагина я решил проверить что будет если ввести неправильный пароль (для корректной отработки ошибки) и моему удивлению не было предела когда я получил все данные! Разбор полетов показал всю гениальность быдлокодеров из сигейта - при неправильном пароле они честно дают http код 302 redirect, а прямо за ним - весь текст запрашиваемой страницы! броузер, понятное дело его уже не отображает, а вот курлу + pcre на это наплевать, из-за чего все и продолжало работать.

Написал в суппорт сигейта, причем как кастомер (американская контора), тикет висит без ответа более месяца. Мне кажется, что получение исходников фронтенда (которые чаще всего и так открыты)- много меньшее зло.

[dil.livejournal.com]

так никто и не говорит, что это какой-то rocket science. вопрос не в ней самой, а в том, что на этом попались не криворукие пионэры с phpшными форумами, а серьезные компании, которые казалось бы, должны за этим следить

[shadowtramp.livejournal.com]

Для услиения эффекта авторы статейки несколько раздувают и передёргивают ;-)

[dil.livejournal.com]

что именно?

я вот уже после опубликования статейки стянул с одного из проектов Яндекса .svn/entries

[shadowtramp.livejournal.com]

получены корни веб морды некоторых ресурсов
"Некоторых ресурсов" - довольно громко. Про то, что именно было полученно, тоже несколько преувеличенно.

Тут другой, на самом деле, момент важен: defensive development в зоне ru так и не стал правилом. Как ты понимаешь, следствия у этого заметно более неприятные, нежели возможность прочитать некоторое количество файлов шаблонов вёрстки.

[dil.livejournal.com]

там всё-таки немножко больше, чем шаблоны. у некоторых и исходный код скриптов, и параметры доступа к базам, и логины разработчиков, и некоторые прочие тонкости, которые не то, чтобы совсем секретны, но развешивать их на всеобщее обозрение не стоило

[shadowtramp.livejournal.com]

Так про "не стоило" я и не возражаю совершенно!

[dil.livejournal.com]

ну а в чем преувеличение-то?

[shadowtramp.livejournal.com]

Эм, проехали?