Больше года часы, начал сыпаться экран. Отправил письмо, получил ответ:
Hello Sergey,
Thank you reaching out, and I'm sorry to hear about the issue with your watch.
We can't offer you a replacement unit as the warranty period has expired. For details about warranty coverage please visit: www.pebble.com/legal/warranty
While we can't replace your Pebble under warranty in this circumstance, we would like to offer you a discount on the purchase of a new watch.
If you are interested please let us know, and we will provide you with a limited time link that you can use to receive 10% off any non sale-priced item.
Best,
Justice
Изначально, в том числе в этом абзаце, написаны дико странные вещи на каком-то «журналистком языке» с такими формулировками, из которых фиг что поймешь. Что там эти приложения, при отправке ссылок на сервер после внутри сети их бродкастом рассылали? Или действительно сначала спуфинг был и в каких-то пакетах можно было выудить ссылки?
В общем я уже писал, технической престижности Иннополису данная статья не добавит, а только убавит :) Хоть и не сомневаюсь, что программа и преподаватели в университете сильные.
MitM — это любое внедрение между А(лисой) и Б(обом).
MitM SSL при серфинге с подменой сертификата (и пусть с варнингами) уже по какой-то причине не MitM?
О не, вот кому кому, ему точно сейчас не позавидуешь. Не хотел бы я быть на его месте.
В этом мнении сходятся в российских СМИ, но не на Западе, в обсуждениях в твиттере и разных чатах. Может «мои сообщества» и отдельные, но состоят они из тех, кто также находит, репортит и постоянно получает реварды от различных вендоров.
Ну как нет то? Тащить амазон ключи, где хранится приватный контент пользователей, брутить хэши админов и т.п.
Вообще этот случай давно обсудили в «багхант» сообществах и все придерживаются стороны ФБ. Адекватно надо оценивать свои действия.
Никто себе подобного не позволял и сначала думал и спрашивал вендора. А Wes технически молодец, но не более.
Wes просто не стал ждать ответа и поддался эйфории, быстрее стараясь разломать все подряд.
ФБ нормально платит, лично знаю случай и $15k за XSS. И ФБ всегда платит много выше, чем в среднем по рынку.
Единственный момент мне непонятный, почему написано, что ему заплатили 2500 (написано — за дубль), когда за дубли вообще не платят. И если это дубль — почему не был исправлен к этому моменту.
1) Об этом сказано прямым текстом в правилах — www.facebook.com/whitehat,
2) Чувак нагло сливал базу и брутил хэши, это прямое нарушение правил (это понятно любому). И уже попадает под заведение дела под него, все логично.
Жаль, что в СМИ форсируют версию, что это Facebook виноват (видимо, в борьбе за рейтинги).
Любой багхантер почитав ответ от FB — www.facebook.com/notes/alex-stamos/bug-bounty-ethics/10153799951452929?pnref=story поймет, что это Wes взял на себя слишком много.
По своему опыту скажу, не согласен с суммой (в оригинале пишут вообще, что это был дубль) — просто обсуди. Не раз бывало, что суммы после обсуждения увеличивались в 2-3 раза. Он, вроде, писал по этом поводу вопрос, но не стал дожидаться ответа и уже нарушил рамки допустимого.
Вот и узнали зачем Котовиц ушел из Securing в Google, не только баги в SSL пилить.
По теме — уже писал тебе и поддержу Бума, зачётно ) ресерчеры оценят.
Самсунг дает честное право отрепортить им баги и получить за это деньги (от $1000 — это намного выше среднего по рынку bugbounty). Так что я бы было бы круто, если бы другие производители присмотрелись к этому.
В хроме — «Request Desktop Site» и все ок. Более того, если был авторедирект на мобильную версию, то он запросит страницу до редиректа.
Инкогнито там тоже есть.
Было дело — искал себе сервер для игрового хостинга (WoW / CS). Сначала попробовал ресселеров — все закончилось плачевно (дикие лаги при обычной нагрузке, хоть и конфигурации были вполне себе). Потом прыгал от хостера к хостеру (искал на poiskvps.ru). В итоге последним оказался именно ваш хостинг (был тариф за 800р, с HDD). Вы единственные, которые устроили по всем параметрам, сервер выдерживал все нагрузки, пинг был минимальным (в т.ч. для игроков из СНГ, а не только из РФ) + низкая цена. Скоро снова вернусь к вам, очень рад, что дела у вас хорошо :)
Единственное, хотелось бы автоматического (инкрементального) бэкапа всего инстанса, да в другой бы ДЦ.
Нетбук IRU K1002S, серебристый стоил 17500 до ЧП, а в ЧП 68630.
В общем я уже писал, технической престижности Иннополису данная статья не добавит, а только убавит :) Хоть и не сомневаюсь, что программа и преподаватели в университете сильные.
MitM SSL при серфинге с подменой сертификата (и пусть с варнингами) уже по какой-то причине не MitM?
Так расскажите же, как? Хабр ведь он технический.
В этом мнении сходятся в российских СМИ, но не на Западе, в обсуждениях в твиттере и разных чатах. Может «мои сообщества» и отдельные, но состоят они из тех, кто также находит, репортит и постоянно получает реварды от различных вендоров.
Вообще этот случай давно обсудили в «багхант» сообществах и все придерживаются стороны ФБ. Адекватно надо оценивать свои действия.
Никто себе подобного не позволял и сначала думал и спрашивал вендора. А Wes технически молодец, но не более.
ФБ нормально платит, лично знаю случай и $15k за XSS. И ФБ всегда платит много выше, чем в среднем по рынку.
Единственный момент мне непонятный, почему написано, что ему заплатили 2500 (написано — за дубль), когда за дубли вообще не платят. И если это дубль — почему не был исправлен к этому моменту.
2) Чувак нагло сливал базу и брутил хэши, это прямое нарушение правил (это понятно любому). И уже попадает под заведение дела под него, все логично.
Любой багхантер почитав ответ от FB — www.facebook.com/notes/alex-stamos/bug-bounty-ethics/10153799951452929?pnref=story поймет, что это Wes взял на себя слишком много.
По своему опыту скажу, не согласен с суммой (в оригинале пишут вообще, что это был дубль) — просто обсуди. Не раз бывало, что суммы после обсуждения увеличивались в 2-3 раза. Он, вроде, писал по этом поводу вопрос, но не стал дожидаться ответа и уже нарушил рамки допустимого.
Это как раз сходится с тем, что для не .kz митмать трафик.
По теме — уже писал тебе и поддержу Бума, зачётно ) ресерчеры оценят.
И исправленную уязвимость. Значит, что они действительно смотрят репорты и исправляют, по мере возможности.
Может, стоило дождаться?
Инкогнито там тоже есть.
Единственное, хотелось бы автоматического (инкрементального) бэкапа всего инстанса, да в другой бы ДЦ.