Dneska mi kamarát položil zásadnú otázku. Čo si myslím o novo spustenom video-portáli od Azetu, ktorý ašpiruje na lídra Slovenského trhu v zdieľanom videu. U nás je už celkom zaužívaný, známy a populárny portál ceknito.sk, ktorý som dodnes navštívil asi len raz.
U našich susedov to je portál Stream.cz, v ktorom má prsty Patrick Zandl a ktorý je jednotkou na Českom trhu. V zahraničí to je potom samozrejme YouTube a množstvo iných. Azet samozrejme vycítil istú možnosť ľahko sa presadiť pri veľmi mizernej konkurencii a to hlavne vďaka svojim terajším návštevníkom. Nemusím snáď pripomínať, že Azet.sk patrí medzi najnavštevovanejšie portály na Slovensku, vďaka svojím unikátnym 1 200 000 návštevníkom mesačne. Práve tieto čísla dávajú Azetu pocit istoty, že sa na tomto trhu môže stať lídrom a to za veľmi krátku dobu.
Existujú však aj iné aspekty (aspoň pre mňa) a to bezpečnosť. U Azetu som si zvykol, že nič závratné nemôžem očakávať. Uvedomil som si to pri tvorení veľkého testu bezpečnosti známych webov na Slovensku a v Čechách, pričom na odpoveď som musel čakať dva týždne. Nie som však sám, kto našiel chyby na tomto portáli. Emerovi sa podarilo odhaliť bezpečnostnú zraniteľnosť, ktorá umožňovala vstup do administrácie katalógu. On sa však nedočkal poďakovania vôbec a to je jeden z dôvodov, prečo som sa rozhodol ignorovať ľudí v Azet.sk a tieto informácie im dopredu neoznámiť. Pre tých, ktorí by sa radi v komentároch dohadovali o právnom dôsledku Full Disclosure môžem povedať len toľko, že náš právny systém tento pojem nepozná a jediná možnosť je ísť podľa trestného práva a tam prajem každému veľa šťastia :). Dôvody už poznáte, poďme k portálu.
Video Albumy, Zabezpečenie
Dizajnovo je portál veľmi príjemný (vieme prečo ;), aj keď páni z Azetu opäť predviedli kvalitnú prácu a odstránili tie lepšie prvky z originálu, ale veď je to ich dizajn, no nie?). Funkčne tiež patrí k zaujímavejším, nie však k vyspelejším. Príkladom môže byť aj takmer štandardný prehrávač videí, ktorý je bežne “dodávaný” s Adobe Flash. Portál je však len v Beta verzii a tak je pravdepodobné, že jeho funkcie sa budú len zlepšovať (a bezpečnosť opäť len chátrať). Napriek tomu som mal z portálu veľmi dobrý pocit, aj keď jeho obsah tvorí majoritné teenagerská komunita, ktorá má akési zvláštne záľuby a chúťky (žeby som už moc zostarol?). Páčia sa mi aj bezpečnostné prvky, ktoré nedovolia užívateľovi, ktorý nepatrí medzi kamarátov uploadera zhliadnuť takto označené video. Je to štandardná súčasť každého takéhoto portálu, preto som nebol nijak prekvapený, že aj Azet pristúpil k tejto možnosti.
Ako zdravo zvedavej osobe mi to nedalo a chcel som práve to video vidieť (vôbec ma nezaujímalo kvôli obsahu), preto som nazrel trošku do čriev portálu. Ako som predpokladal, debuggovať aplikáciu (web) nebude treba, získať dáta by dokázalo aj malé dieťa. Aké dáta? Nuž napríklad priamu adresu, odkiaľ je video poskytované prehrávaču. Čo ma však mierne zarazilo, že autori nemysleli na bezpečnostný prvok zamedzenia prístupu osobám, ktoré nemajú dané video vidieť.
Proof Of Concept
Tento fakt mi nedal a chcel som sa s Vami podeliť o ďalšiu fušerskú prácu z dielne Azet.sk. Zašiel som však mierne ďalej a vytvoril som skript ako POC, do ktorého keď vložíte URL adresu videa, bude vám vrátená priama adresa, kde je video uložené. To si môžete následne stiahnuť v dvoch kvalitách, medium a high.
Tu sa musím priznať, že pre POC som použil (ukradol) dizajn Martinovi Malému, ktorý vytvoril výborný projekt Jdem.cz. Nemal som akosi chuť sa hrať s dizajnovou stránkou skriptu a tak som siahol po prvom, ktorý mi napadol. Dúfam, že sa na mňa Martin za tento môj prehrešok nenahnevá.
Ale späť k Azetu. Ak si otvoríte zdrojový kód stránky, na ktorej je zobrazené video zistíte, že k videu sú pridávané nastavenia, ktoré sú načítavané z generovanej adresy. Príklad:
<object><embed src="http://videoalbumy.azet.sk/players/jw/mediaplayer.swf" width="480" height="370" allowscriptaccess="always" allowfullscreen="true" flashvars="config=http://videoalbumy.azet.sk/players/jw/plConf.phtml?h=iTytx7hQyvrmrtIs" /></object>Všimnite si červenou farbou zvýraznený text. Ten jasne hovorí, že sú konfiguračné údaje k videu načítavané z adresy “http://videoalbumy.azet.sk/players/jw/plConf.phtml?h=iTytx7hQyvrmrtIs“. Opäť si všimnite červený text, ktorý zvýrazňuje token, teda reťazec, ktorý bol priradený k danému videu. Tento token je samozrejme možné nájsť aj v adrese videa “http://videoalbumy.azet.sk/nazov/iTytx7hQyvrmrtIs/”. Keď navštívime konfiguračnú URL stránku pre dané video zistíme, že obsahuje tieto údaje:
<config><width>480</width> Opätovne zamerajte svoju pozornosť na červenou farbou zvýraznený text, kde môžete vidieť priamu adresu k súboru, ktorý sa načítava do prehrávača. Táto adresa odkazuje na video aj vtedy, keď užívateľ zvolí nastavenie zobraziť video len pre priateľov. Jedným takýmto videom je aj toto. Keď sa video pokúsite otvoriť, čaká vás varovná hláška “Nemáte prístup pre zobrazenie videa. Video je dostupné len pre priateľov užívateľa Palacink_a.“. To vám však nijak nebráni získať priamu adresu k videu, ktorá v tomto prípade pre high kvalitu je http://213.215.107.64. Takto jednoducho môžete dokonale obísť ochranu pred zobrazovaním videí cudzím osobám. Páni z Azetu boli pri tvorení bezpečnostných zásad portálu na obede (alebo chorí? :) ).
<height>370</height><allowscriptaccess>always</allowscriptaccess>
<allowfullscreen>true</allowfullscreen><searchbar>false</searchbar>
<autostart>true</autostart>
<file>http://213.215.107.64/video001/000/004/759f09227f0fa2f3df1e4921ff3b1de5-medium.flv</file>
<image>http://213.215.107.64/images001/000/004/v_759f09227f0fa2f3df1e4921ff3b1de510.jpg</image>
<recommendations>http://videoalbumy.azet.sk/players/jw/recommendations.phtml?idVideo=4966&
t=76427ea63ad74dd98341abf5d8d4f7c5</recommendations><linktarget>_self</linktarget>
<logo>http://62.168.117.253/o/77/images/videoalbumy/video-logo-beta-4.png</logo>
<streamscript>lighttpd</streamscript><abouttxt>VideoAlbumy</abouttxt>
<aboutlnk>http://videoalbumy.azet.sk</aboutlnk></config>
A na záver, ďalšie XSS vo vyhľadávacom formulári, ktorý pre spoločnosť pravdepodobne nepredstavuje žiadnu hrozbu, pretože “v zadnem pripade nejedna o bezpecnostni chybu, pouze kosmetickou na strane uzivatele“. To že páni z Azetu úplne odignorovali ošetrenie komentárov je už vedľajšie, persistant XSS ako vyšité :). Možno sa aj konkurencia zobudí a začne vám presmerovávať masívne užívateľov na svoje stránky.
Ak by sa páni z Azetu pochlapili v krátkom čase a systém zmenili, tu je POC video. Upozorňuje, že obraz z videa, ktoré sa objaví na konci, nie je zachytený kvôli kodeku a nie kvôli nefunkčnosti tohoto POC. Video si môžete stiahnuť v originálnej kvalite napravo na spodku stránky (odporúčam, na webe publikovaná kvalita je strašná).
Záver
Ak aj vy máte vlastný portál a snažíte sa o poskytovanie kvalitných služieb, nikdy nezabúdajte na ochranu svojich užívateľov. Časom by vás mohla strata ich dôvery veľmi zamrzieť/zabolieť a konkurencii len zbytočne poskytnúť obrovskú výhodu. Preto si dajte vždy záležať na kvalite zabezpečenia vášho webu a nevytvárajte situácie podobné tejto aj za cenu, že by ste si mali zaplatiť odborníkov na bezpečnosť, ktorí vám pomôžu navrhnúť kvalitný bezpečnostný model.
Jednoduche a pekne. Tych chyb na Azete je za vagon… Skoda riesit, kvalita studentov ako pracovnej sily sa odraza na kvalite projektu.
BTW dnes som dostal odpoved od jednej holky ohladom jedneho deraveho servera a odpoved bola kratka a jasna, server mame zabezpeceny a vy ste nic nenasli. Takze ku problemu bezpecnosti sa stavaju velke, male firmy uplne rovnako. Kaslu z vysoka na nu. Asi by bolo nacase zverejnovat niekde root hesla ku serverom, nech sa firmy spamataju. ;)
Uz vidim ako sa budes chvalit tym, ze na zaklade tvojho clanku nieco opravili. Pritom projekt je vo faze beta a teda moze v konecnej faze vyzerat uplne inak.
A? Ja sa tym predsa nebudem chvalit, alebo mas pocit, ze som sa niekde niekedy chvalil tym, ze niekto opravil nieco, o com som pisal? Je mi to jedno. Diletantizmus v podani Azet.sk ma zabava, ale nezaujima. Ano, ja viem ze je beta. Zda sa, ze si urobil aspon jeden projekt vo svojom zivote a vies o security viac ako my tu vsetci dokopy ;)
Aj ja musim pochvalit dizajn (je naozaj cisty),
potom co som pocul ako vyzeralo zadanie a approving proces,
tak to dopadol este dost dobre ;-) gj
Hura, konecne aspon jeden moj prispevok bol potvrdeny. To sa mi tu stalo prvykrat. Je pravda, ze tentoraz som nemala ziadny argument na obhajobu toho portalu, ale pominule razy ked som napisala nieco co ta zhodilo, tak si to nedokazal uverejnit.
Dakujeme za upozornenie.
Co sa tyka videi pre priatelov a sukromnych videi, od spustenia videoalbumov nebola moznost si taketo video pridat. Videa, ktore tam momentalne su sukromne boli takto zaradene administratormi.
Na zabezpeceni pracujeme.
Azet
osobne by ma tiez zaujimalo ako mate riesene autorske prava. povodne som myslel, ze to budu alba uzivatelov – niekto si da video z bbq a pod.
ale uz pri prvom kliku som videl aspon 5 veci ktore porusovali autorsky zakon ( alizee, timbaland, simple plan, nejake videa z OC. )
trinity: uhm, silne o tom pochybujem. komentare, ktore ma zhadzuju osobne a nie su vulgarne normalne pustam, staci si precitat tych 100 v clanku o 22 mil portali. ak vsak mas chabu argumentaciu, utocis vulgarizmami a podobne veci, potom komentare nepustam, predsalen je to moj blog a nenecham sa urazat kazdym nimandom ;) keby boli tvoje komentare vecne, urcite by presli
skye: k tomuto moc co dodat nemozem, asi len :) odporucam prejst vasmu timu cely portal, je tam toho viac nez dost (nemyslim video, ale cely azet).
ayslix: nuz, kedze je azet len lokalna autorita a nie ako youtube medzinarodna, tak pravdepodobne nijak. na ceknito su plne diely simpsonovcov v cestine, to hovori za vsetko ;)
oooo: chcelo by to spisat a urobit nejake udanie, nech konecne robia v tej policii nieco poriadne. .. kdeze som videl ten form mpaa ? :)
Som vedel ze niesom debil, ked som hladal nieco ako “zobrazit video len priatelom” a som to nenasiel.
oooo: nie, moje komenate boli vecne a bez vulgarizmov, jedine co tam bolo a teda napacilo sa ti to bolo, ze som vyvratila tvoje tvrdenia, ktore nemali s realitou nic spolocne. A je jasne, ze ty si mozes napisat, ze take kometnare pustas, ale nie je to pravda.
V tomto pripade mas plnu pravdu nemaju to osetrene a nemyslim, ze im bude dlho trvat aby to osetrili.
ahoj, este daj navod na to, ako hacknut albumy :-)
no, napr ja ( a len ja a oooo ) mam v maily uplne vsetky komentare ktore tu boli postnute ( mail mi dojde hned ako ho napises cize predtym nez ho niekto zmaze) a hladanie nicku trinity ukazalo len tento post, ked som hladal ip, to same.
Tak tu sa ponuka viac moznosti, vyberam tu najpravdepodobnejsiu, maily z pred polroka uz mas zmazane. Ak nie, tak je to dalsia moznost. Vtedy vam nefungovalo zasielanie na mejl. Alebo dalsia moznost, stranka nefungovala tak ako mala a aj napriek tomu, ze vypisalo, ze komentar caka na potvrdenie, tak sa vam nezapisal do databazy. Jedine pri prvej moznosti ostava tvorca tejto stranky “dokonaly”. Ale kedze si napisal, ze mas vsetky komentare… domysli si sam.
presne nic im nehovorte ” velke” firmy maju vo zvyku nedakovat a neopovedat
trinity: ale slecna (snad si slecna :) ), co to tu na mna hras. mam maily od 99, od kedy mam the bat. tvoje komentare boli absolutne scestne, ale ked inak nedas, preco nie :)
Vacsi na z tychto XSS su trivialne a absolutne nevyuzitelne, ani sa necudujem, ze ti spolocnosti neodpovedali. Len tak dalej, mozno raz objavis aj ameriku ;-).
bol komentar k clanku o velkom bezpecnostnom teste. K tomu ti poviem asi tolko, nevies co je XSS, nemas najmensiu potuchu ako ho vyuzit, ale reci mas plne usta. Ak sa mylim, na nasom fore najdes priklady low bugs, predves svoje schopnosti pri praci DOM (dufam ze aspon najdes co ta skratka znamena).
Dalsi komentar bol reakciou na ten predosli
Negativne prispevky sa tu mazu ;-) hihi. Lamky online :-).
a ten uz nemal absolutne ziadnu hodnotu. naco by som pustal taketo lame komentare? ked uz si taka vsevedkyna, predved svoje schopnosti v ramci bezpecnosti, rad sa necham poucit o tvojich znalostiach ecma a aplikovani na xss flaw ;).
a aby som nezabudol, prestan laskavo pouzivat moju domenu ako svoj identifikator v komentaroch. nechapem zmyslu, preco to robis. ak mas pocit, ze sa ti tu krivdi, alebo ze su tu zle informacie, tak ich necitaj, ja ti ich predsa nenutim.
tomas: nuz, co narobis. takych je bohuzial majoritny pocet.
fero: na to tu nie som. som tu na to, aby som upozornoval na zasadne bezpecnostne chyby. na azet nechodim, chodit nemienim. ak mate zaujem, najdite si zranitelnosti sami
heh.. pekna skryta reklama napisana v Zavere :-D ale co uz, mas pravdu.
vyhlasujem zbierku pre ooooo, nech nam da navod ako hacknut albumy :D
Co uz dodat,zabezecenie azetu chabe bolo ,je a asik aj bude,a i ked to je len beta verzia,tak uz tie zakladne veci ako XSS by mali byt uz zabezpecene,velky portal ako azet by si nemal dovolit ohrozit svojich uzivatelov ci ich sukromie a odvolavat sa na to ze to je len beta verzia …Howgh
škoda, aj ja som tuto chybu objavil (v pondelok) a to mam 15 rokov a mohol som mať z toho biznis.
Ale nič už…
chvosty: to ma celkom zaujima, aky biznis by si z toho mal. zeby som sa mal od teba co ucit? :)
satan: vobec nie. na konci je jasne napisane, akukolvek firmu, najlepsie nie mna ;)
asi by som na tú stránku dal adsense alebo etarget
… aby si zarobil tak 20, 30sk ? :)
nj aby mal na lizatko
Trinity: pal na azet smiesko
ehmo: pekna pracicka ;-)
Zdar
chvosty: mne je jasne, ze po precitani niecoho takehoto musis mat pocit ze som prave zarobil na svoje prve lietadlo, ale usitujem ta, ze tie sumy su radovo v korunach a nepokryju cloveku ani len zivotne naklady. u mna to pokryva hosting a nieco viac, co mi samozrejme staci
Neviem o čom sú tie techniky popísane vyššie, ale robíte dobrú robotu :)
Je sranda sledovat ako sa vozite na ucet azetu… No faktom je, ze ked sa mi nieco nepaci, tak to nepouzivam, a nie nielen sa donekonecna na sluzbu stazujem.
Ale to je asi iba vecou nazoru.
Co sa tyka toho, ze Ti odpovedali na upozornenie “az” za 2 tyzdne.. Podla mna je to celkom v pohode. Ved, staci podla slovenskych zakonov odpovedat do 30 dni, nie? Myslim, ze toto celkom dobre splnili a skratili na polovicu.
trinity je niekto z velkosveleho admin teamu azetu? :))
azet je uplne marny aj co sa tyka socialneho fungovania z uzivatelmi , clovek sa tam nema na co a na koho odvolat, kontakt je tam len na prevadzkovatela, ktory nema nic spoloce s administratormi podla ich vlastnych slov, tresty sa tam rozdavaju bez podlozenia, anonymne, proste admini si tam hrabu na svojom vlastnom piesocku ked ich niekto hneva a neda sa to ani riesit :)). to osobne mna sralo viac v dobe, ked som tak rok dva dozadu azet obcas este navstivil…
velmi pekny clanok, standartka na tento blog :).
PMacko: vidim ze si vobec nepochopil o com clanok je. a takisto o com je tento blog. cielom je upozornovat na bezpecnostne nedostatky zle zabezpecenych serverov/sluzieb. a asi si tiez neuvedomujes ze ak si zakaznikom azetu tak sa to tyka aj teba. asi by si nebol moc nadseny keby ti niekto ukradol tvoje osobne informacie – v tomto pripade pozeral tvoje sukromne videa ;-)
Ja si osobne myslím, aj napriek všetkým okolnostiam, pre ktoré by niekto odo mňa očakával opak, že autor článku (a blogu vôbec) robí svoju prácu dobre. Myslím si, že na niektoré veci by sa malo poukazovať nahlas a ukázať, čo je zle. Osobne si myslím, že svet by nešiel smerom zlepšovania sa, keby to tak nebolo a každý sa len ticho hral na svojom piesočku.
Napríklad si vezmime staznosti.sme.sk, ktoré mnohé firmy inšpirujú k tomu, aby sa k zákazníkom správali ústretovo a dobre, lebo nechcú riskovať nepopulárne zverejnenie na staznosti.sme.sk.
no ta chyba s tým videom. je uz zazehnana.. pokec tu beta verziu troska posunul vpred.
iank ohladne albumov sa tam da polemizovat nad tym ze ked ćekujem foto po jednej tak sa naklikam aby som sa dostal spät na nadhlad fotiek v tom danom albume v ktorom som bol.. da sa to robit tak ze kliknem zas na odkaz FOTOALBUMY ale za musim hladat ten dany album co som chcel a to je dost chore.. pred tymto upgradom to bolo tak aby bolo dobre:) dam spät a som na nadhlade.
su aj horsie veci
Warning: mysql_pconnect() [function.mysql-pconnect]: Too many connections in /opt/data/web/azet/sk/videoalbumy/inc/functions.inc on line 113
Zdravim autora clanku aj diskutujucich. Narazil som na tento clanok a rozhodol som sa reagovat.
V podstate clanok popisuje vec o ktorej sme pri spusteni sluzby vedeli. Z toho dovodu sme pri spusteni nespristupnili (ani teraz este nie je pristupna) moznost zamknutia videa (pre seba, alebo priatelov). Autor pravdepodobne sam taketo video nepridal.
Co sa stalo?
Momentalne nastavit video len pre priatelov / vlastnika mozu len nasi admini, ktory kontroluju videa / obsah a zamykaju ten, nevhodny. T.j. uzivatel ho zverejnil a zamkli sme ho my. V tomto pripade sa nedeje nic vazne, kedze autor sam si zelal povodne zverejnenie videa a my sme len jeho zobrazovanie obmedzili, lebo video povazujeme za nevhodne. T.j. autor clanku narazil na takto zamknute video nasimi adminmi.
Moznost videa zamknut ho pre priatelov alebo pre uzivatela samotneho este len dokoncujeme. T.j. este spustena nie je. Mala by byt dostupna do konca mesiaca. Vtedy bude osetrene nie len ziskanie linky tak ako je popisane, ale aj to, aby aj v pripade ziskania linky, nebolo video dostupne. T.j. osetrujeme pristup k videu priamo na stream serveri.
Errorova hlaska hovori o priateloch prave z dovodu, ze nasi admini pouzivaju na zamknutie podobny priznak ako uzivatel, no sam uzivatel si toto video zamknut nevie / nemoze.
Ak sa nahodou podobna reakcia objavila hore, tak prepacte, ale skutocne som necital celu diskusiu :)
peter: uhm, pekne vyhovorky. som na to vcelku zvedavy. budte radi, ze som nepopisal vsetky sql injection, ktore mate na azet.sk. kazdopadne vyhovorit sa pri startupe ze ste o tom vedeli a ze vam to bolo jedno je celkom gol, na slovensku vam to vsak prejde bez najmensich problemov, to predsa vieme vsetci. rad sa pozriem na portal o mesiac, dva, tri, pat a uvidime, co nove ste vyrubili. btw je celkom sranda, ze si nespomenul XSS, ktore boli v diskusii, co bolo povedzme ehm, viac nez zaujimave :)
Ano, keby bol svet plny takychto security expertov, daleko by sme to nedotiahli. Totiz vsetci by svoj cas marnili nekonecnym zabezpecovanim aplikacii pred vsetkym moznym aj nemoznym a dalsi by vymyslali nove a nove sposoby, ako to obist a vyvoj aplikacii by siel do prdele ….v prospech desktopovych…kecam, prehanam, ale bezny pouzivatel internetu z toho nema nic.
Niekde som taketo spravanie – hladanie dier na weboch videl prirovnane k chodeniu so sperhakom po bytoch a skusanim. a potom hned po najdeni vykricim celemu svetu:”aha, tu je diera …preto nechajte si odo mna otestovat web na bezpecnost”. Neviem, ci ta dotknuty majitel bytu bude povazovat za SECURITY EXPERTA, alebo sa ti nepokusi jednu vrazit.
Bol som vo svajciarsku a tam si mozes nechat otvorene auto v lete a vetrat, mozes nabijat mobil na stanici a odist …a krajina sa ma dobre, pretoze ludia sa staraju v prvomrade o svoju pracu a v druhom rade ako prechcat druhych.
Inac ako dopadol tvoj velky test bankovych aplikacii, ci coho, na ktory si sa chystal? Nejako som ho totiz nezaregistroval? Nejaka banka ti napisala recou pravnikov, ze by zverejnenie a nasledne skody mohli byt pripisane na tvoje tricko, alebo ti vsetci zaplatiti a taktne mlcis, na rozdiel od portalov?
Inac aj na facebooku, orkute, google aps, hocikde sa raz za cas vyskytuju XSS diery, takze to prechadza aj v dalekej a v internete rozvinutej amerike, nielen u nas ;-)
pri citani tohoto komentara som sa nezdrzal smiechu :)
prirovnavat security webu a bytu je celkom zcestne, ale na to treba trosku viac, aby to dotycny dokazal rozlisit. je to ako porovnavat jazdu autom a GTA (hra).
to co si opisal je asi najvacsia kravina aku som v zivote pocul (teda isto nie najvacsia, bolo ich uz dost, ale urcite patri medzie tie klasicke, ktore si zapisem do mojho notesu). svet je plny takychto security expertov, vid rsnake, pdp, jeremiah, aviv a tak par tisic dalsich, ale na to treba trosku sledovat svetovu security scenu. nebyt prave takychto ludi, tak uz nesurfujes po nete, pretoze by si sa po jeho zapnuti stal obetou nejakeho sikovnejsieho cloveka, ktory by ta obtiahol aj o gate.
som rad ze si bol vo svajciarsku, dufam ze si sa tu snazil tym pochvalit. pochybujem ze si jediny co tam kedy bol a podobne skusenosti su aj z inych krajin, kde su mraky security expertov. btw ten svajc je zaujimavy, ale to tebe ako odbornikovi hovorit nemusim.
ano, odkupili bezpecnostne testy. no a? :) ak ta to trapi, tak som dostal extremne dobre zaplatene, dufam ze nebudes moct mesiace spavat ;)
a ano, google ma obcas nejaku tu xss, dokonca aj facebook a kopec inyc, rozdiel je vsak v pristupe. tieto spolocnosti chapu zmysel osetrovania tychto zranitelnosti (narozdiel od teba), umoznuju ludom beztresne ich nachadzat a publikovat, pretoze vedia, ze sa im to vyplati. obmedzenci ako ty to vsak nikdy nepochopia, ale taky je zivot v tejto krajine :)
a na zaver, napisal som, aby si spolocnost nasla security konzultanta, nie vsak mna. ja o takyto job zaujem nemam, mam lepsie veci na praci, napriklad pisat FD ;)
tiez suhlasim s nazorom ze keby niet bezpecnostnych expertov tak si pustis net a si zaplaveny virusmi, nekonecnym spamom a utokmi presibanych ludi… ked uz nieco robim pre ludi tak nech je to poriadne {asi aj na ukor pohodlia}.
:-), dikyyy za prianie, tak som sa dobre vyspal, ze to musim davat do suvislosti s tvojim prianim. Mozno som za svoj zivot nasiel vo svojich a cudzich skriptochj viac dier, ako si tu ty celkovo publikoval, ale nie som sucastou ziadnej sceny, tak sa tym nezivim. Mozno som obmedzenec, ked sa zivim vyvojom, ked viem, ze experti v kazdom obore zarabaju viac. Byt vyvojar mi vsak pride hodnotnejsie a zaujimavejsie, ako plnic POST a GET premennych roznymi variaciami na script alert(1); /script. Zas je pravda, ked uz su na svete derave aplikacie, ktorych vyvojarov ani nenapadlo, ake vseliake finty sa mozu pouzit na kompromitaciu webu/navstevnikov, pripadne to nedopatrenim opomenuli, a na druhej strane su aj lumpovia vyuzivajuci tieto diery, tak maju vyznam aj taki, co na dieru poukazu.
roman: paci sa mi, ako si zmenil retoriku. to ze si nasiel viac zranitelnosti ako som ja publikoval ma tesi, ja som presiel dodnes tisickami, neoplati sa vsak o kazdej pisat.
jasne ze plnenie pages alertami je len white hack, keby si videl moznosti black hatu, inak by si hovoril.
tiez som bol vyvojar, dlho. dneska uz nie som, dneska uz som securitak. viem preco som do toho siel a bavi ma to. to ze mas proti tomu vyhrady akceptujem, ale je mi to jedno
ZNICTE UZ NIEKTO TEN PUBERTACKY AZET….JE TO NA HOVNO A SU TAM SAMI UCHYLACI…A PAR SLUSNYCH LUDI…MAL BY TO NIEKTO ” PORIESIT ” :-)
oooo: som strasne rada, ze si si nasiel cas a nasiel moje komentare, o ktorych si tvrdil, ze neexistuju, resp., ze boli ofenzivne. Vdaka, ze si ukazal, ze dokezes niekedy priznat aj svoju chybu ;-). Suhlasim, ten druhy komentar bol odveci, ale reagoval na nezverejnenie prveho.
Odporucam ti zahodit svoju obmedzenost a neurazat ludi co ti tu pisu. Ja som ta v ziadnom prispevku neurazila (okrem tohoto prispevku, co ale nie je urazka ale tvoja diagnoza), tak preco to robis ty. Nemas ani len paru kolko projektov a hackov mam za sebou ja. A uz som to asi niekde pisala, ale tvoj nehacknutelny seznam ma cuduj sa svete tiez chyby (najdeny za 10 minut po zverejneny tvojho clanku), ale ty si to mal zaplatene ako promo, takze vsetko ok, prachy hybu svetom.
Neviem uz kto ti tu pisal bo som sa bavila na tvojich odpovediach dalej, ale kedze videa boli priamo pristupne, tak nepotrebovali bezpecnost, bo boli tak ci tak stiahnutelne normalnou cestou, bez ziadneho hacku. Ale jasne, potreboval si uspokojit svoje ego tak si si hackol no dobre, aj to sem tam treba. Teraz ked uz videa je mozne zamknut tak si ich nemozes ani hacknut, co s tym teraz spravis? Hm. Asi nic.
No a aky si expert si ukazal na BarCampe, a ani za svet ti neslo nic hacknut, ten zivot je sfina co? :D
trinity: tak toto bolo viac nez zabavne. pravdu povediac, vacsine z tohoto komentu som neporozumel, lebo je napisany tak strasne obmedzenym a detskym sposobom, ze je len velmi tazko mozne vycitat z neho, co je jeho obsahom. vyzval som ta, aby si ukazala vsetky info (silne pochybujem ze si zena, uz podla ip). schyza funguje, no nie nadlho. neviem o akom sezname hovoris, ale okazdopadne, pre mna je to toto tvoj last komentar, hluposti mozes chodit pisat na pokec
ako sa da podla IP zistit kto je akeho pohlavia? :-/
nuz trinity zena nie je, kedze schizofrenicky vypisuje pod dalsimi nickmi. je to nejaky urazeny dev z azetu. kazdopadne, asi budem musiet azet riadne zahanbit, abyt si dal dotycny pokoj, co mi velky problem nerobi
Myslim, ze ked zacnes robit cenzuru, typu tento clovek sa mi nepaci, tak nebudes robit propagaciu vlastneho blogu.
insider: coby nie. prave o tom je blog, ze si tu mozem robit co chcem. a kedze sa dotycna osoba z azetu tvari, ze je vsetko ok, mozem sa na nich skvele vyblbnut, cim ich zhovadim natolko, ze budem svaty pokoj od podobnych komentarov.
Skvele vyblbnut si sa na nich mohol uz predtym nie? :-D Verim, ze dier tam je stale dost :-D. Len mam trochu pocit, ze niekto ta chcel vyprovokovat a tym si sa dal a tak si mu alebo jej alebo onomu :D dal zapravdu. No ale tesim sa na clanok o dierach azetu, hlavne ak sa ti podaria fotoalbumiky hehehe.
Hocijaké ine info by som uvítal nakolko ten POC už nefunguje asi. email maš.