November 2019

S M T W T F S
      12
34 5 678 9
10111213141516
17181920212223
24252627282930

Navigation

Page Summary

Style Credit

Expand Cut Tags

No cut tags

Маша и Медведь – До весны не будить

dil: (Default)
[personal profile] dil
Friday, June 5th, 2009 02:39 pm

“про девочку Машу, которая никому не дает покоя, и в первую очередь – своему другу Медведю”

Это я один такой испорченный, что неправильно понимаю название и описание третьей серии нового российского мультфильма?

Оригинал этой записи в личном блоге.

Tags:
Flat | Top-Level Comments Only

[identity profile] samuel-smith.livejournal.com
Wednesday, September 23rd, 2009 03:18 pm (UTC)
если вы сделаете сканирование, например, ССЛ сайтов на предмет поддержки Weak Ciphers (при том, что SSLv1 вообще давно должен был сдохнуть) то тоже можно найти много чего интересного. В том числе и в банковской сфере. Опять же - TRACE не вырублен у кучи серверов и много чего еще. Или вот, например, непатченных пхплистов которые легким движением скрипта превращаются в спаммергейт до сих пор по этим вашим интернетам установлено несчетное количество. Т.е. как по мне - прицепились к наименьшему злу, которое скороее даже не "уязвимость", а мелкий косяк.

Совсем недавно писал плагин для контроля одного отнюдь не дешевого рейда от сегейта. Данные было удобнее получать по HTTP (в снмп не все было) и я написал на курле простенькую обертку, которая логинилась, сохраняла session cookie, после чего запрашивала нужные мне данные. Во время отладки плагина я решил проверить что будет если ввести неправильный пароль (для корректной отработки ошибки) и моему удивлению не было предела когда я получил все данные! Разбор полетов показал всю гениальность быдлокодеров из сигейта - при неправильном пароле они честно дают http код 302 redirect, а прямо за ним - весь текст запрашиваемой страницы! броузер, понятное дело его уже не отображает, а вот курлу + pcre на это наплевать, из-за чего все и продолжало работать.

Написал в суппорт сигейта, причем как кастомер (американская контора), тикет висит без ответа более месяца. Мне кажется, что получение исходников фронтенда (которые чаще всего и так открыты)- много меньшее зло.

[identity profile] dil.livejournal.com
Wednesday, September 23rd, 2009 03:22 pm (UTC)
так никто и не говорит, что это какой-то rocket science. вопрос не в ней самой, а в том, что на этом попались не криворукие пионэры с phpшными форумами, а серьезные компании, которые казалось бы, должны за этим следить
Flat | Top-Level Comments Only