Comments 194
Круто, что еще можно сказать. Но деньги конечно просто бешеные.
На тестирование столько же потратили бы.
Интересно, какого порядка сумму он заработал бы, продав уязвимость «налево»?
а кто сказал, что он вначале «налево» не продал?)
Ну, лет 10 ;-)
он бы эту сумму в сутки получал при правильном использовании. без особого риска кстати если правильно все делать
Научите!
*напишите статью.
Статья не совсем для хабра я думаю. Хотя если без всех подробностей, возможно напишу. Эх заминусуют меня только. тут же никто законы не нарушает, все правильные и честные.
Напишите-напишите, не заминусуют. Тут все честные, но ужасно любопытные.
а вы уверены что уязвимость легко эксплуатируема?
правильное использование это покупка гиганского хромотрафика затем инжект им а дальше что? винлок? сейчас на нем 60к не поднимаются имхо.
или вы бы что то поумнее предложили?
правильное использование это покупка гиганского хромотрафика затем инжект им а дальше что? винлок? сейчас на нем 60к не поднимаются имхо.
или вы бы что то поумнее предложили?
я не силен в эксплуатации уязвимостей, но прекрасно знаю финансовую сторону винлокеров, и при нормальном софте поднимают даже больше, правда на обнале теряют 50% примерно. траф по европе
многие продавцы загрузок пошлют клиента куда подальше если им предложат грузить локеры. лучше уж фейк ав или сокс боты
Уговорили, сегодня ближе к ночи попробую написать, вроде бы правила хабра не запрещают))
Это совсем не так просто — продать «налево» — если человек не занимается таким «бизнесом» давно и успешно.
UFO just landed and posted this here
Год работы с зарплатой в 5 к уе.
UFO just landed and posted this here
А мне наоборот (в смысле не жаль).
вы просто глупый идиот на понтах что ли? Как вам в голову пришло кого-то жалеть или судить по его субъективному восприятию денег? Подтираетесь 60к баксами в сортире? Ну так рассказывайте об этом гламурным чикам в клубах. Простите за резкий ответ, но подобные комментарии возмущают до глубины души. Отвратительно.
UFO just landed and posted this here
Есть много людей, которые не могут заработать 60к за полгода. Я вот, например, не могу. Может быть я не достаточно трудолюбив или умен или талантлив (ну или чего там еще) — но я такой, какой я есть. И мне обидно, когда кто-то говорит, что это, дескать, фигня а не сумма и вообще не о чем тут говорить и так далее. Вы ставите себя значительно выше окружающих. Возможно, Вы и вправду там находитесь (а может и нет), но для чего оскорблять людей, это подчеркивая?
UFO just landed and posted this here
UFO just landed and posted this here
Вы нашли что сравнивать: ~1650 долларов и 5000.
Хоть и для меня 60 тыс в месяц не является большой суммой, но я плачу другим за такую зарплату (а она у меня реально 5к): я работаю на две компании одновременно.
При этом у меня почти нет друзей, поскольку я не успеваю их завести (с другой стороны — я часто путешествую по собственному желанию).
И, честно говоря, для меня было удивлением узнать, что для Москвы зарплата в 2500 — выше среднего. Удивлением порой узнать бывает, что такую же зарплату мало кто может получать и, в большинстве, не знают как. Хотя, по факту, просто не пробуют или боятся.
Я бы не сказал, что у меня высший опыт, но мне не помешало это устроится в две загран. компании удаленно. Хотя, порой и бывают авралы, остаток времени, чаще всего, я провожу в одиночестве перед книжкой или на балконе.
Имхо, цена такова.
Поэтому так легко заработать такие деньги — не каждому дано.
Хоть и для меня 60 тыс в месяц не является большой суммой, но я плачу другим за такую зарплату (а она у меня реально 5к): я работаю на две компании одновременно.
При этом у меня почти нет друзей, поскольку я не успеваю их завести (с другой стороны — я часто путешествую по собственному желанию).
И, честно говоря, для меня было удивлением узнать, что для Москвы зарплата в 2500 — выше среднего. Удивлением порой узнать бывает, что такую же зарплату мало кто может получать и, в большинстве, не знают как. Хотя, по факту, просто не пробуют или боятся.
Я бы не сказал, что у меня высший опыт, но мне не помешало это устроится в две загран. компании удаленно. Хотя, порой и бывают авралы, остаток времени, чаще всего, я провожу в одиночестве перед книжкой или на балконе.
Имхо, цена такова.
Поэтому так легко заработать такие деньги — не каждому дано.
ты это я! увеличенная версия в перспективе ;(
Ну, поспорю немного. =)
Все-таки у меня есть не иллюзорная, а вполне реальная девушка, хотя сейчас у нас проблемы. По вашему резюме и блогу я этого не увидел, но не хотел обидеть.
+ работа у меня-таки удаленная и опыт несколько другой.
Хотя, было бы интересно с вами связаться.
Ах, да, я тоже веду свой блог/дневник, хотя на русском.
Все-таки у меня есть не иллюзорная, а вполне реальная девушка, хотя сейчас у нас проблемы. По вашему резюме и блогу я этого не увидел, но не хотел обидеть.
+ работа у меня-таки удаленная и опыт несколько другой.
Хотя, было бы интересно с вами связаться.
Ах, да, я тоже веду свой блог/дневник, хотя на русском.
Вашу ж мать… Вот вы пишете, что сумма премии составляет ваш годовой доход, и поэтому, мол, 60К — фигня. Хорошо, все за вас порадовались, кто-то даже позавидовал.
Только к чему это хвастовство? Если уж на то пошло, то мой годовой доход ещё выше вашего, однако я всё равно считаю, что 60К единоразово (за несколько недель работы) — это очень хорошая сумма. Не «космическая», как вы говорите (хотя никто кроме вас так и не говорил), но очень хорошая. Причём даже по западным меркам. А тут в большинстве своём собрались люди, проживающие на территории экс-СССР (причём изрядная часть — очень далеко от МКАДа), для которых данная сумма будет ещё более значительной. И этим вашим «если для вас 60к — «бешеные» деньги, а не просто крупная сумма, мне вас жаль» вы оскорбляете их всех.
Если вы этого не понимаете, то мне вас действительно жаль. И, кстати, если они свою финансовую ситуацию изменить могут, то вы свою свинскую сущность — уже вряд ли И поэтому вы достойны жалости вдвойне.
Только к чему это хвастовство? Если уж на то пошло, то мой годовой доход ещё выше вашего, однако я всё равно считаю, что 60К единоразово (за несколько недель работы) — это очень хорошая сумма. Не «космическая», как вы говорите (хотя никто кроме вас так и не говорил), но очень хорошая. Причём даже по западным меркам. А тут в большинстве своём собрались люди, проживающие на территории экс-СССР (причём изрядная часть — очень далеко от МКАДа), для которых данная сумма будет ещё более значительной. И этим вашим «если для вас 60к — «бешеные» деньги, а не просто крупная сумма, мне вас жаль» вы оскорбляете их всех.
Если вы этого не понимаете, то мне вас действительно жаль. И, кстати, если они свою финансовую ситуацию изменить могут, то вы свою свинскую сущность — уже вряд ли И поэтому вы достойны жалости вдвойне.
UFO just landed and posted this here
>>Не «космическая», как вы говорите (хотя никто кроме вас так и не говорил), но очень хорошая.
>Вы же сами привели мой коммент: «Если для вас 60к — «бешеные» деньги, а не просто крупная сумма». Вроде русским языком сказано — крупная сумма.
Ну так я могу и другой коммент привести. Там тоже русским языком сказано:
>Во-первых, я не оскорблял никого
Оскорбили, причём даже не заметили. Причём не заметили даже после того, как я указал, чем именно вы их оскорбили. Что, собственно, и является отличным индикатором свинской сущности: оскорбить по ходу дела, не заметить и не иметь даже желания оглянуться и подумать.
Так что я вас не оскорбил, а «выразил своё мнение, не более того. Комментарии на то и созданы, чтобы каждый мог выразить свое мнение.»
>ты — полное дерьмо, раз решил таким образом проявить себя.
Спасибо, услышать такое от вас — комплимент. Значит, я не зря тут распинаюсь и надежда всё-таки есть.
Мне вообще очень, очень важно, какого обо мне мнения именно вы. Я теперь неделю спать ну буду, думая, как же мне вернуть ваше к себе расположение.
>Мне вот до тебя дела нет — не достоин вообще никакого внимания.
Длина вашего мне ответа отлично показывает, как вам «нет до меня никакого дела» и как я «не достоин внимания» :-D
>Вы же сами привели мой коммент: «Если для вас 60к — «бешеные» деньги, а не просто крупная сумма». Вроде русским языком сказано — крупная сумма.
Ну так я могу и другой коммент привести. Там тоже русским языком сказано:
Так вот, в данный момент меня удивляет, что it-спецы, представленные на хабре, считают, что 60к — космическая сумма и предел мечтаний
>Во-первых, я не оскорблял никого
Оскорбили, причём даже не заметили. Причём не заметили даже после того, как я указал, чем именно вы их оскорбили. Что, собственно, и является отличным индикатором свинской сущности: оскорбить по ходу дела, не заметить и не иметь даже желания оглянуться и подумать.
Так что я вас не оскорбил, а «выразил своё мнение, не более того. Комментарии на то и созданы, чтобы каждый мог выразить свое мнение.»
>ты — полное дерьмо, раз решил таким образом проявить себя.
Спасибо, услышать такое от вас — комплимент. Значит, я не зря тут распинаюсь и надежда всё-таки есть.
Мне вообще очень, очень важно, какого обо мне мнения именно вы. Я теперь неделю спать ну буду, думая, как же мне вернуть ваше к себе расположение.
>Мне вот до тебя дела нет — не достоин вообще никакого внимания.
Длина вашего мне ответа отлично показывает, как вам «нет до меня никакого дела» и как я «не достоин внимания» :-D
>Причём даже по западным меркам
Емнип, в «Расплате» (которая с Гибсоном), возня из-за сопостовимой суммы заварилась…
Емнип, в «Расплате» (которая с Гибсоном), возня из-за сопостовимой суммы заварилась…
60к$ — с вашей предлагаемой зарплатой в 50к — это уже 3 года работы, если не потратить при этом ни копейки, с учётом того что ещё кушать порой надо, ходить не в лохмотьях, проплачивать коммунальные услуги (а это ещё только необходимый минимум) — это уже 4-5 лет.
Это не говоря уже про то что в регионах зарплаты меньше, порой значительно, и например в Питере, и уверен даже что в Москве — только из института такую сумму сразу не получишь, что тем не менее не значит что студент/молодой специалист, или специалист из провинции при этом жалок.
Так что может эта сумма и недостаточно хороша чтобы её показывали в фильмах про кокаин, и дипломат она целиком не заполнит, однако же если собирать её нужно на протяжении такого времени — кому-то она может показаться недостижимой, и уж безусловно ответить на это «мне вас жаль» — верх хамства. Засим — мне вас жаль.
Это не говоря уже про то что в регионах зарплаты меньше, порой значительно, и например в Питере, и уверен даже что в Москве — только из института такую сумму сразу не получишь, что тем не менее не значит что студент/молодой специалист, или специалист из провинции при этом жалок.
Так что может эта сумма и недостаточно хороша чтобы её показывали в фильмах про кокаин, и дипломат она целиком не заполнит, однако же если собирать её нужно на протяжении такого времени — кому-то она может показаться недостижимой, и уж безусловно ответить на это «мне вас жаль» — верх хамства. Засим — мне вас жаль.
UFO just landed and posted this here
для меня это ваще копейки срсли. довольны? :D
господин, а вы случаем не в госдуме работаете? или пенсонном фонде, а может в минфине?
***
Раскройте рты, сорвите уборы — По улице чешут мальчики-мажоры.
Раскройте рты, сорвите уборы — На папиных Волгах — мальчики-мажоры.
***
Извините, просто при прочтении вашего коментария в динамиках звучала эта самая песня ДДТ.
Раскройте рты, сорвите уборы — По улице чешут мальчики-мажоры.
Раскройте рты, сорвите уборы — На папиных Волгах — мальчики-мажоры.
***
Извините, просто при прочтении вашего коментария в динамиках звучала эта самая песня ДДТ.
UFO just landed and posted this here
I'm 99%.
Скромнее надо быть.
Здесь в комментах, ИМХО, просто собрались люди с разных сторон Уральской горной цепи. Для меня конкретно, ЗП больше чем 600 вечно зеленых, уже сумма (получаю 500), при чем работая не по специальности, и сумма в 60к это очень серьезная сумма, как для меня так и для тех кто минусует ваши посты и посты человека на чью сторону вы встали.
Просто в большинстве городов находящихся дальше 200км от МКАД и Финского залива на эти пресловутые 60к можно купить двухкомнатную квартиру и сделать ремонт, а у многих уж поверьте мне нет личного жилья.
Просто в большинстве городов находящихся дальше 200км от МКАД и Финского залива на эти пресловутые 60к можно купить двухкомнатную квартиру и сделать ремонт, а у многих уж поверьте мне нет личного жилья.
>Если для вас 60к — «бешеные» деньги, а не просто крупная сумма, мне вас жаль.
можете прямо сейчас в прямом эфире пожалеть всю страну, ведь для большинства ее жителей $60k — это суммарный доход за 5-10 лет жизни, а то и больше.
можете прямо сейчас в прямом эфире пожалеть всю страну, ведь для большинства ее жителей $60k — это суммарный доход за 5-10 лет жизни, а то и больше.
~1 800 000 руб
Квартира в моем городе…
Две двухкомнатные в моем =) (город милионник)
храенсебе в моем 270к челов и 1 800 000 это одна квартира правда трешка, и в нормальном районе
В нормальном районе можно и за 100к найти у нас, но если не привередливый, то за 60 можно две двушки купить без проблем, причем не на окраине и не в худшем районе.
Москва вам завидует.
Как справедливо заметил мой знакомый американец когда я сетовал на высокие цены, если бы не они, то столица давно бы была населена миллионами людей из различных бедных стран, а вместо бутово которым так любят пугать, был бы действительно какой-нибудь страшный гетто из нац. меньшинств, как это происходит повсеместно у них в сша или европе. В общем сказал — радуйся.
Видимо это было когда-то очень давно, ибо сейчас москва и так ими заселена — это и азеры всех мастей, и африканцы, которых становится все больше(у меня около дома их общага например).
PS: ничего не имею против этих людей, просто вывод про цены какой-то странный.
PS: ничего не имею против этих людей, просто вывод про цены какой-то странный.
Ну это не «заселение». Заселение это когда коренное население как минимум меньше половины, а часто и гораздо меньше, 30%-5%. У нас нет таких проблем даже близко.
Как раз что-то про 30% писали недавно ;)
По сведениям 2003 года, приведённым в статье «Геноцид» Миронова, в Москве русских (вместе с украинцами и белорусами) насчитывается ≈4 200 000.
Государство будет претендовать на 30% этого дохода в виде налогов, или на 35% если считать, что это приз.
А распиарили на весь интернет…
PS: могу немного путать, давно читал подробности.
А распиарили на весь интернет…
PS: могу немного путать, давно читал подробности.
В моем на 350к однушку в дерьмовом районе… :(
Только на хабре в топике о Google Chrome может вестись обсуждение стоимости квартир :)
Хабаровск. Минимальная цена за однокомнатную 30 квадратов.
Кстати, вопросец, деньги получил он наличкой (счет в банке) или акциями с запретом их продажи 3-5 лет?
Жаль, что нет подробностей уязвимости.
Уже и без разницы — Chrome автоматически обновляется… в отличие от некоторых остальных продуктов. за что ему (Chrome) огромный плюс :)
Может на Винде и да, но у меня на Debian ни кто сам, автоматический не обновляется без моего ведома и разрешения.
Какая разница пофиксили или нет, про саму уязвимость интересно почитать.
Самое смешное, работать в Гугл менее выгодно чем сесть на выходных и поковыряться в исходниках Хрома.
Только, уметь надо ковыряться!
Можно скооперироваться, один работает в гугле и создает уязвимости, другой их раскрывает, деньги пополам:)
После второй (если не первой) такой уязвимости вас раскроют.
UFO just landed and posted this here
Ну почему же, даже 30к за один раз неплохо
Не думаю, что программисту из гугла это было бы выгодно. Тем более нужно быть хорошим спецом (хороший спец → достойная оплата), чтоб умышленно допустить уязвимость, которую никто не заметит.
Тому, кто находит — неплохо, а тому, что создаёт — хреново. Да, он единоразово получает 30К, но зато теряет охрененную работу.
Гуглу просто решить такую проблему, нужно выплачивать вознаграждения из зарплаты своих программистов
«один работает в гугле» — легко сказать.
Туда еще фиг устроишься, а если уж получится, то вряд ли захочешь терять такое место, ради каких-то 30 тысяч единовременно :)
Туда еще фиг устроишься, а если уж получится, то вряд ли захочешь терять такое место, ради каких-то 30 тысяч единовременно :)
Удивительная хитрость: взять хорошую статью, перести только часть (зато можно не указывать, что это перевод), заодно лишив читателя пары полезных ссылок на саму уязвимость. На всякий случай снять с себя ответственность указав невзрачную ссылку на оригинальную статью.
кстати, нету ли его на Хабре?
Конечно нету! Человек не бездельем занят.
Конечно нету! Человек не бездельем занят.
Найдена еще одна полная уязвимость в Chrome и вторые $60000 получил некий Pinkie Pie.
Уязвимость еще не исправлена.
Уязвимость еще не исправлена.
В результате ПО от Google содержит меньшее количество ошибок, чем аналоги от конкурентов.
После таких заявлений неплохо бы и подтверждающие цифры предоставить. Я вот лично вижу обратное: с каждым годом число выплат за найденные в Хроме уязвимости растёт, т.е. дыр находят всё больше и больше. Т.е. чем больше людей подключаются к поиску — тем больше дыр находится. Растёт количество найденных дыр, понимаете? Не уменьшается (что было бы показателем того, что их всё меньше и находить их всё труднее), а растёт.
Так код же постоянно пишется, функциональность расширяется, вполне логично что баги находят. Вот если заморозить код, то тогда да, будет как вы описали.
Так код же постоянно пишется, функциональность расширяется, вполне логично что баги находят. Вот если заморозить код, то тогда да, будет как вы описали.
Речь не об этом. Речь о голословном утверждении о том, что Хром более безопасен, чем остальные. Если говорить о чисто технических багах, то уровень одинаков у всех браузеров, а если говорить об утечке личных данных, то Хром вообще наименее защищённый браузер, т.к. Google собственно сама сбором этих данных и занимается.
Что в Opera реализовали ASLR/DEP/NX/StackCheck? Во всё поверю, кроме DEP. К тому же в Opera нет ни песочницы, ни разделения процессов.
ASLR и DEP поддерживается с марта 2009 года (Opera 9.64):
www.opera.com/docs/changelogs/windows/964/
Разделение процессов в первую очередь призвано улучшить стабильность, например, не ронять весь браузер со всеми вкладками, а только проблемную вкладку. Правда, при этом фактически в памяти работает столько копий chrome, сколько открыто вкладок, но, как говорится, who care?
Песочница — хорошая маркетинговая фишка, которая, впрочем, отнюдь не является панацеей:
www.webplanet.ru/news/security/2011/05/10/chrome_sandbox_pwned.html
virusinfo.info/showthread.php?t=94323
И я всё-таки ещё раз хочу указать: если остальные браузеры прилагают усилия для того, чтобы сохранить личные данные пользователя исключительно для него самого, то Хром собственно только этим и занимается — передаёт максимум информации о пользователе в Google.
hacker-lab.com/main/70-do-not-track-ili-pochemu-google-chrome-reshil-otkazatsya-ot-slezhki-za-polzovatelyami.html
www.opera.com/docs/changelogs/windows/964/
Разделение процессов в первую очередь призвано улучшить стабильность, например, не ронять весь браузер со всеми вкладками, а только проблемную вкладку. Правда, при этом фактически в памяти работает столько копий chrome, сколько открыто вкладок, но, как говорится, who care?
Песочница — хорошая маркетинговая фишка, которая, впрочем, отнюдь не является панацеей:
www.webplanet.ru/news/security/2011/05/10/chrome_sandbox_pwned.html
virusinfo.info/showthread.php?t=94323
И я всё-таки ещё раз хочу указать: если остальные браузеры прилагают усилия для того, чтобы сохранить личные данные пользователя исключительно для него самого, то Хром собственно только этим и занимается — передаёт максимум информации о пользователе в Google.
hacker-lab.com/main/70-do-not-track-ili-pochemu-google-chrome-reshil-otkazatsya-ot-slezhki-za-polzovatelyami.html
Вообще, попробуйте просто размышлять логически.
На чём зарабатывает Google? На информации о пользователях. Сбор этой информации является основной «дойной коровой», грамотная эксплуатация собранной информации и позволяет Google зарабатывать свои миллиарды. Так что, по-вашему, Google выпустил Хром и тратит миллиарды на его продвижение, чтобы снизить свои доходы? Это как вообще? Нет, Хром так активно продвигается именно потому, что он является идеальным зондом, очень удобным сборщиком этой самой информации. Уже не надо тратить время и средства на разработку замысловатых средств сбора данных, работающих на чужой территории. Теперь есть своя, «нативная». И чем популярнее Хром — тем проще Google собирать данные.
Теперь, опять же рассуждая логически, подумаем — в чём цель всех «эксплуататоров уязвимостей»? Ведь просто взлом — не самоцель. Взлом нужен, чтобы получить доступ к персональным данным пользователя. И тут получается довольно циничная картинка: Google, естественно, старается по-максимуму закрыть бреши в своём браузере. Таким образом он давит на корню всех, кто покушается на данные пользователя. Но сам при этом оставляет за собой право иметь доступ к этим данным. Ничего не напоминает? А мне напоминает: когда, например, одна мощная преступная группировка давит на рынке наркотиков более слабые группировки (нередко — делая это весьма публично и с хорошим пиаром), но не для того, чтобы победить наркоманию, а чтобы убрать с этой золотоносной жилы конкурентов. И зарабатывать только самим.
Как ещё одно косвенное доказательство — Google Analytics. Посмотрите, какой объём данных можно узнать о пользователях сети с помощью этого общедоступного инструмента. При этом не нужно устанавливать на сайт никаких модулей — вся информация есть в Google и без этой лишней мороки. А теперь подумайте: если такой вид и объём данных для Google не представляет ценности (что его можно просто отдать всем бесплатно), то каков объём и качество собираемой информации, на которой Google строит свой бизнес?
На чём зарабатывает Google? На информации о пользователях. Сбор этой информации является основной «дойной коровой», грамотная эксплуатация собранной информации и позволяет Google зарабатывать свои миллиарды. Так что, по-вашему, Google выпустил Хром и тратит миллиарды на его продвижение, чтобы снизить свои доходы? Это как вообще? Нет, Хром так активно продвигается именно потому, что он является идеальным зондом, очень удобным сборщиком этой самой информации. Уже не надо тратить время и средства на разработку замысловатых средств сбора данных, работающих на чужой территории. Теперь есть своя, «нативная». И чем популярнее Хром — тем проще Google собирать данные.
Теперь, опять же рассуждая логически, подумаем — в чём цель всех «эксплуататоров уязвимостей»? Ведь просто взлом — не самоцель. Взлом нужен, чтобы получить доступ к персональным данным пользователя. И тут получается довольно циничная картинка: Google, естественно, старается по-максимуму закрыть бреши в своём браузере. Таким образом он давит на корню всех, кто покушается на данные пользователя. Но сам при этом оставляет за собой право иметь доступ к этим данным. Ничего не напоминает? А мне напоминает: когда, например, одна мощная преступная группировка давит на рынке наркотиков более слабые группировки (нередко — делая это весьма публично и с хорошим пиаром), но не для того, чтобы победить наркоманию, а чтобы убрать с этой золотоносной жилы конкурентов. И зарабатывать только самим.
Как ещё одно косвенное доказательство — Google Analytics. Посмотрите, какой объём данных можно узнать о пользователях сети с помощью этого общедоступного инструмента. При этом не нужно устанавливать на сайт никаких модулей — вся информация есть в Google и без этой лишней мороки. А теперь подумайте: если такой вид и объём данных для Google не представляет ценности (что его можно просто отдать всем бесплатно), то каков объём и качество собираемой информации, на которой Google строит свой бизнес?
>Таким образом он давит на корню всех, кто покушается на данные пользователя. Но сам при этом оставляет за собой право иметь доступ к этим данным. Ничего не напоминает? А мне напоминает: когда, например, одна мощная преступная группировка давит на рынке наркотиков более слабые группировки
Извините, вы в адеквате?
Гугл использует персональные данные в рамках пользовательского соглашения, которое пользователь заключает с ним добровольно. Корыстная цель — легальная и очень простая: заработать на рекламе. Последствия для пользователя — более релевантная реклама.
Те, кто будет эксплуатировать уязвимости, делают это тайно и без ведома пользователя. Корыстная цель — преступная и многоликая. Последствия для пользователя — целый спектр, от участия в ботнете и рассылки спама до увода данных кредитных карт и прямого финансового убытка.
Вам не кажется, что ситуации как бы слегка различаются, м?
>Вообще, попробуйте просто размышлять логически.
Хотелось бы, чтобы вы тоже попробовали.
А я подумал логически, и я прекрасно понимаю: за последние пару лет (по данным StatCounter) Хром не только догнал, но и обогнал Оперу в России, активно догоняет на Украине, почти догнал в Казахстане, кое-какие подвижки видны и в других бывших республиках экс-СССР, где доля Оперы была традиционно очень высока (про долю в мире я молчу). И останавливаться на достигнутом, похоже, не собирается (при том, что ещё 2 года назад его доля была около 5%), тогда как доля Оперы продолжает неуклонно снижаться. Всё это понятно и даже где-то печально, но до грязных передёргиваний опускаться всё равно не нужно.
Извините, вы в адеквате?
Гугл использует персональные данные в рамках пользовательского соглашения, которое пользователь заключает с ним добровольно. Корыстная цель — легальная и очень простая: заработать на рекламе. Последствия для пользователя — более релевантная реклама.
Те, кто будет эксплуатировать уязвимости, делают это тайно и без ведома пользователя. Корыстная цель — преступная и многоликая. Последствия для пользователя — целый спектр, от участия в ботнете и рассылки спама до увода данных кредитных карт и прямого финансового убытка.
Вам не кажется, что ситуации как бы слегка различаются, м?
>Вообще, попробуйте просто размышлять логически.
Хотелось бы, чтобы вы тоже попробовали.
А я подумал логически, и я прекрасно понимаю: за последние пару лет (по данным StatCounter) Хром не только догнал, но и обогнал Оперу в России, активно догоняет на Украине, почти догнал в Казахстане, кое-какие подвижки видны и в других бывших республиках экс-СССР, где доля Оперы была традиционно очень высока (про долю в мире я молчу). И останавливаться на достигнутом, похоже, не собирается (при том, что ещё 2 года назад его доля была около 5%), тогда как доля Оперы продолжает неуклонно снижаться. Всё это понятно и даже где-то печально, но до грязных передёргиваний опускаться всё равно не нужно.
Извините, вы в адеквате?
К моему сожалению — да.
Вам не кажется, что ситуации как бы слегка различаются, м?
Слегка — да, различаются.
А я подумал логически, и я прекрасно понимаю: за последние пару лет (по данным StatCounter) Хром не только догнал, но и обогнал Оперу в России<b/lockquote>
Это здесь при чём? Мы же не доли обсуждаем.
Так это тапок в сторону Opera. Где, например, реализация аналога Tracking Protection Lists как в IE9? Что рассуждать о том, какой плохой Google, если Opera от этого самого Google никак не защищает бедного пользователя?
Если человек параноик, то он либо не будет пользоваться Chrome, а перейдёт на свободные альтернативы типа Firefox, Chromium и т.п., поставит ScriptNo/Adblock/Ghostery, спрячется за VPN и с концами. И делать ему на огороженных Opera/Chrome/IE/Safari нечего.
Если человек параноик, то он либо не будет пользоваться Chrome, а перейдёт на свободные альтернативы типа Firefox, Chromium и т.п., поставит ScriptNo/Adblock/Ghostery, спрячется за VPN и с концами. И делать ему на огороженных Opera/Chrome/IE/Safari нечего.
Где, например, реализация аналога Tracking Protection Lists как в IE9?
Content blocking имеется в Opera с июня 2006 года (Opera 9), причём, данная система блокирует доступ даже в том случае, если пользователь случайно сам инициирует переход на заблокированный сайт (например — кликнув по замаскированной ссылке). И это не говоря уже о гибкой системе управления и обработки Cookies (с апреля 2003, Opera 7.10), блокировки всплывающих окон (декабрь 1997, Opera 3.0) и возможности отключения реферрера (февраль 1997, Opera 2.12).
Все это не имеет никакого отношения к TPL. Всё вами перечисленное работает либо в ручном, либо в полуавтоматическом режиме.
Все это не имеет никакого отношения к TPL.
А вы вообще разбирались, как работает TPL?
Вот здесь есть на русском, если что:
habrahabr.ru/blogs/ie/113881/
Конечно разбирался. Работает он без вмешательства пользователя. Достаточно загрузить готовые списки и готово, TPL работает. Подобным образом работаю популярные расширения типа Ghostery. Достаточно поставить в Opera это расширение, как сразу станет понятно, что интегрированные костыли, мягко говоря, малоэффективны и сложны для настройки, так как требуют от пользователя понимния, что тут нужно блокировать, а что нет.
Будем спорить о разнице в реализации?
Вы спрашивали про аналог — я его вам показал. Списки можно как готовить вручную (что, IMHO, намного правильней и надёжней — как показывает практика), так и добавлять готовые.
Пользователь обязательно должен понимать, что он делает и каков будет результат. Это позволяет добиться ещё одной очень важной цели — пользователь понимает, как всё вернуть «как было». В противном случае на форумах неизбежен снежный ком обсуждений несуществующих проблем, появившихся в результате того, что «а я просто файл себе установил — посоветовали в интернете, а теперь не открываются важные для меня страницы».
Вы спрашивали про аналог — я его вам показал. Списки можно как готовить вручную (что, IMHO, намного правильней и надёжней — как показывает практика), так и добавлять готовые.
Пользователь обязательно должен понимать, что он делает и каков будет результат. Это позволяет добиться ещё одной очень важной цели — пользователь понимает, как всё вернуть «как было». В противном случае на форумах неизбежен снежный ком обсуждений несуществующих проблем, появившихся в результате того, что «а я просто файл себе установил — посоветовали в интернете, а теперь не открываются важные для меня страницы».
Будем спорить о разнице в реализации?
Почему бы и нет? Вы говорите о том, что Google плохой, следит за всеми с помощью 100500 счётчиков, так что Opera SASA делает для того, чтобы огородить пользователей от страшного и ужасного Google? Майкрософт предлагает при стартовой установке браузера включить TPL и загрузить списки фильтров слежения. Другое дело, что это полная фигня, которая нихрена ни от какого слежения толком не защищает, но всё же? Вы в самом деле думаете, что пользователь разберётся в названиях куки-файлов типа judsjjIJRUJFNE%7-12jdlksfj, которые торчат в настройках для сайтов в Opera? В TPL об этом думать не надо, потому что за юзера уже подумали специалисты из Abine, TrustWave или как их там.
а я просто файл себе установил — посоветовали в интернете, а теперь не открываются важные для меня страницы
Я уверен, что инженеры Opera не дураки, ибо браузер здоровский и быстрый, и уж модель защиты браузера от расширений они продумали. Насколько я помню, без явного разрешения пользователя расширения не могут работать в приватном режиме и на зашифрованных страницах. На Chrome глюки диагностируются всегда запуском в режиме инкогнито без расширений. Если глюка нет, то проблема в 99% случаев в расширениях.
Вы в самом деле думаете, что пользователь разберётся в названиях куки-файлов типа judsjjIJRUJFNE%7-12jdlksfj, которые торчат в настройках для сайтов в Opera?
Нет, там всё проще. «Принимать Cookies», «Не принимать Cookies», «Не принимать Cookies третьих сторон», «Спрашивать» и т.д. и т.п.
На Chrome глюки диагностируются всегда запуском в режиме инкогнито без расширений. Если глюка нет, то проблема в 99% случаев в расширениях.
Вы даже не представляете, сколько страшных незнакомых слов для обычного пользователя прозвучало в этой вашей фразе. :)
Нет, там всё проще. «Принимать Cookies», «Не принимать Cookies», «Не принимать Cookies третьих сторон», «Спрашивать» и т.д. и т.п.
Вы не понимаете схему работы TPL/Ghostery. Такие настройки, как вы указали, есть и в Chrome. А в MSIE их даже больше.
Вы даже не представляете, сколько страшных незнакомых слов для обычного пользователя прозвучало в этой вашей фразе. :)
Если человек не знает этих слов, то с большой вероятностью на приватность ему наплевать и сидит он за MSIE 6. У нас другая целевая аудитория.
Вы не понимаете схему работы TPL/Ghostery
А мы говорим совсем о другом — о «страшном» управлении Cookies.
Отлично, а реализации CSP и STS (Strict Transport Security) когда ждать?
Касательно копий Chrome, то в теории всё плохо, а на практике у Opera не всё так радужно.
Песочница не панацея отнюдь, только вот с ней куда проще жить, чем без неё. Притом примеров обхода песочниц куда больше, чем один Chrome, стоит вспомнить ту же JRE. Только вот все сходятся во мнении, что эксплойт замутить для ПО без песочницы куда проще, чем для ПО с оной.
И хватит про этот Do Not Track. Это маркетинг в разы более мощный, чем басни о песочнице.
Касательно копий Chrome, то в теории всё плохо, а на практике у Opera не всё так радужно.
Песочница не панацея отнюдь, только вот с ней куда проще жить, чем без неё. Притом примеров обхода песочниц куда больше, чем один Chrome, стоит вспомнить ту же JRE. Только вот все сходятся во мнении, что эксплойт замутить для ПО без песочницы куда проще, чем для ПО с оной.
И хватит про этот Do Not Track. Это маркетинг в разы более мощный, чем басни о песочнице.
Касательно копий Chrome, то в теории всё плохо, а на практике у Opera не всё так радужно.
Чтобы оценивать работу с памятью в Opera, нужно сначала хотя бы почитать что-то на тему. Opera хранит в памяти по возможности всё, что было вольно или невольно загружено пользователем во время сессии. И даже когда пользователь закрывает страницы — в памяти всё по-прежнему сохраняется до закрытия Opera. Именно так достигается скорость возврата к предыдущим страницам или к недавно закрытым. И если размер памяти позволяет — Opera максимально эту возможность использует.
И чем это решение лучше того, что Opera не разделяет процессы?
Тем более тут логика не совсем понятна. Если человек закрывает вкладку, то, вероятно, она ему больше не нужна, исключая случайности. Я, например, в день открываю и закрываю сотни вкладок, из которых лишь одну-две по случайности.
Тем более тут логика не совсем понятна. Если человек закрывает вкладку, то, вероятно, она ему больше не нужна, исключая случайности. Я, например, в день открываю и закрываю сотни вкладок, из которых лишь одну-две по случайности.
И чем это решение лучше того, что Opera не разделяет процессы?
Ничем. Работа с памятью вообще ничего не имеет общего с разделением процессов.
Тем более тут логика не совсем понятна. Если человек закрывает вкладку, то, вероятно, она ему больше не нужна, исключая случайности. Я, например, в день открываю и закрываю сотни вкладок, из которых лишь одну-две по случайности.
Логика тут проще некуда, и данная функция очень популярна у пользователей Opera.
Ничем. Работа с памятью вообще ничего не имеет общего с разделением процессов.
Разработчики Chrome, видимо, не в курсе, раз в своих гайдах выделяют целый абзац объяснений работы с памятью при разделении процессов.
данная функция очень популярна у пользователей Opera.
Которых две с половиной штуки, ага.
Разработчики Chrome, видимо, не в курсе, раз в своих гайдах выделяют целый абзац объяснений работы с памятью при разделении процессов.
Ещё раз: принципы работы с памятью в Opera и разделение процессов в Хроме — это разные вещи, они решают совершенно разные задачи.
Которых две с половиной штуки, ага.
На сегодняшний день браузерами Opera в мире пользуется более 270 миллионов человек. И каждый месяц прибавляется ещё больше 10 миллионов.
Ещё раз: принципы работы с памятью в Opera и разделение процессов в Хроме — это разные вещи, они решают совершенно разные задачи.
Так я и не спорю с этим. Я говорю о том, что ставить в минус потребление памяти вкладками Chromium нет смысла, потому что на уровне системы вкладки считаются свёрнутыми программами, и пока пользователь снова не вернётся к вкладке потребление памяти вкладкой будет уменьшаться. В Opera это невозможно, потому что система не в состоянии это определить, поэтому Опера может сожрать не меньше памяти, а то и больше, чем Chromium-браузеры.
На сегодняшний день браузерами Opera в мире пользуется более 270 миллионов человек. И каждый месяц прибавляется ещё больше 10 миллионов.
Хех, думаю, пользователям Opera Mini и Opera Mobile пофиг на то, как ведёт себя настольный браузер с вкладками =P
поэтому Опера может сожрать не меньше памяти, а то и больше, чем Chromium-браузеры.
Вы давали ссылку выше на сравнительный обзор — там цифры есть по Opera и Chrome. Хром всё-таки памяти занимает больше.
Хех, думаю, пользователям Opera Mini и Opera Mobile пофиг на то, как ведёт себя настольный браузер с вкладками
Отнюдь. Разве на мобильных устройствах возможность вернуться к ранее посещённой странице, не загружая её снова, не востребована? Ещё как востребована. Живой пример: перед посадкой в поезд метро загружаю последовательно несколько страниц БОРа: открываешь Бездну, как открылась страница — обновляешь её несколько раз. Пока едешь в метро — читаешь страницы, начиная с последней загруженной. Для перехода к предыдущей странице просто нажимаешь «Назад», и не важно — на станции ты или между станциями, есть сеть или нет.
Конечно, работа с памятью в мобильных версиях Opera не совсем то же самое, что на десктопе, но идеология, выбранная компанией в этой области, остаётся неизменной.
Вы давали ссылку выше на сравнительный обзор — там цифры есть по Opera и Chrome. Хром всё-таки памяти занимает больше.
Случаи разные. В одном случае все вкладки открыты, а в другом сначала открыты, а потом закрыты. В первом случае себя лучше ведёт Опера, в втором Кроум.
Разве на мобильных устройствах возможность вернуться к ранее посещённой странице, не загружая её снова, не востребована?
Наверное, востребована, раз в Opera её так усилено пилят. Только все эти 270 млн. к настольному браузеру имеют весьма посредственное отношение.
Случаи разные. В одном случае все вкладки открыты, а в другом сначала открыты, а потом закрыты. В первом случае себя лучше ведёт Опера, в втором Кроум.
Нет, дело не в случае. В Opera при закрытии страниц в памяти они остаются до тех пор, пока не закончится свободная память (в Opera по умолчанию автоматический режим использования памяти, но пользователь может и установить лимит самостоятельно), или пока Opera на будет закрыта. Именно поэтому сохраняется возможность мгновенного возврата к этим страницам без загрузки данных из сети.
Наверное, востребована
Не наверное, а точно. Причём, на мобильных устройствах эта функция более актуальна, чем на десктопе.
Отлично, а реализации CSP и STS (Strict Transport Security) когда ждать?
Поддержка STS есть в Opera 12 alpha
my.opera.com/desktopteam/blog/2012/02/10/core-dnt-mail-themes
CSP — технология находится в состоянии «неофициальный черновик», как только в W3C появится более-менее рабочий вариант — будет поддержка и в Opera.
Интересно, что стало с тем программистом, который эту уязвимость создал?
Взял кредит на 60000, наверно.
Он взял и исправил эту уязвимость.
Все уже увидели красивую схему?
Скажу по другому — 'Все увидели фундаментальную уязвимость в схеме награждения за уязвимости?'
p.s. Это очень замечательная практика — платить сообществу (а точнее 'правильным' хакерам) за уязвимости… просто если не заплатит гугл, то найдутся кто заплатит… только вот цели у них будут не такие добрые и светлые.
Вопрос даже не в размерах… просто когда у человека нет выбора, а выбор делать приходится — то по любому будет выбрано 'Г...'
p.s. Это очень замечательная практика — платить сообществу (а точнее 'правильным' хакерам) за уязвимости… просто если не заплатит гугл, то найдутся кто заплатит… только вот цели у них будут не такие добрые и светлые.
Вопрос даже не в размерах… просто когда у человека нет выбора, а выбор делать приходится — то по любому будет выбрано 'Г...'
«Российский программист получил 60 тысяч долларов за найденную уязвимость Chrome»
Молодец. Честь и хвала!
Молодец. Честь и хвала!
UFO just landed and posted this here
Верно! Честь и хвала Российскому программисту Сергею Глазунову — побольше бы таких! Кто не сливает налево уязвимости, а делает вклад во всеобщую безопасность обычных пользователей. :)
UFO just landed and posted this here
Есть ненулевая вероятность, что айтишник выиграл себе смертный приговор: в Тюмени и за $10 000 могут с лёгкостью укокошить человека, что известно любому читателю криминальной хроники.
Давно в Тюмени-то были? )
Мицгол такой Мицгол.
Если нести в кармане. А если положить в банк или, более того, просто сразу же купить на них квартиру.
До банка еще донести надо…
Ему их не наличкой выдадут. Транзитный счет, текущий счет. Еще 10 или сколько то дней они должны отлежаться. Это бодяга на пару недель.
А я думал чемоданом привезут и в темной подворотне передадут крепкие парни в шляпах и плащах.
UFO just landed and posted this here
Вспомните еще «коробку из под ксерокса» :)
Всякое бывает. Я как-то лет 5 назад «прогуливался» по Новосибирскому Академгородку (включая его лесопарковые зоны :)) с рублёвым эквивалентом $25К в сумке %)
А отец в лихие 90-е как-то ехал из Новокузнецка до Павлодара (Казахстан) с двумя большими сумками налички (оплата за очередную партию поставленного угля). Знаете, такие сумки, в которые может спрятаться 7-летний ребёнок :)
Сейчас как вспомню — так вздрогну.
А отец в лихие 90-е как-то ехал из Новокузнецка до Павлодара (Казахстан) с двумя большими сумками налички (оплата за очередную партию поставленного угля). Знаете, такие сумки, в которые может спрятаться 7-летний ребёнок :)
Сейчас как вспомню — так вздрогну.
Ну, насчет Академгородка — не удивлен, у нас тут тихо более-менее))
В целом-то в Академе тихо (особенно в студгородке), но всё равно за годы моего обучения (1998-2003) как минимум четверо моих знакомых подвергались разного рода нападениям (только совсем близкие, про многих других могу попросту не знать):
1. Возле фонтана за «тройкой» (3-м общежитие) одному двинули в зубы и попытались отнять телефон — друзья успели подскочить (прямо из окна первого этажа выпрыгивали) и вломили как следует.
2. На тропинке от Цветного проезда до НГУ — двинули в морду и вырвали телефон. Найти не удалось.
3. Возле «Пропеллера» долбанули чем-то сзади по голове и попинали — минус телефон, множественные ушибы, сотряс. Найти не удалось.
4. Пришла «разбираться» лихая компания со Шлюза (где-то на дискотеке чего-то не поделили) — множественные ушибы, сотряс, госпитализация. Парням, правда, не повезло — их «передали» знакомымбанд влиятельным людям, так что нанесённый ущерб они в итоге компенсировали.
И это только студгородок и ближайшие окрестности, не затрагивая «Щ» и «Д».
1. Возле фонтана за «тройкой» (3-м общежитие) одному двинули в зубы и попытались отнять телефон — друзья успели подскочить (прямо из окна первого этажа выпрыгивали) и вломили как следует.
2. На тропинке от Цветного проезда до НГУ — двинули в морду и вырвали телефон. Найти не удалось.
3. Возле «Пропеллера» долбанули чем-то сзади по голове и попинали — минус телефон, множественные ушибы, сотряс. Найти не удалось.
4. Пришла «разбираться» лихая компания со Шлюза (где-то на дискотеке чего-то не поделили) — множественные ушибы, сотряс, госпитализация. Парням, правда, не повезло — их «передали» знакомым
И это только студгородок и ближайшие окрестности, не затрагивая «Щ» и «Д».
Т.е. машины, или, не дай бог, квартиры, в Тюмени продают только самоубийцы?
Мицгол приезжай к нам в Тюмень, смертный приговор тебе за длинный язык и без денег обеспечат ;)
>в Тюмени и за $10 000 могут с лёгкостью укокошить человека, что известно любому читателю криминальной хроники.
А любому зрителю НТВ известно, что в выходить из дома вообще опасно (вне зависимости от города проживания) — то НЛО похитит, то Понтий Пилат в видении явится собственной персоной.
А любому зрителю НТВ известно, что в выходить из дома вообще опасно (вне зависимости от города проживания) — то НЛО похитит, то Понтий Пилат в видении явится собственной персоной.
Вышел на крыльцо покурить. Проехало два лексуса, крузак и инфинити. И как они живут?
Не забывайте, Тюмень нефтяная столица. И кстати, Собянин (мэр Москвы) бывший глава Тюмени.
Не забывайте, Тюмень нефтяная столица. И кстати, Собянин (мэр Москвы) бывший глава Тюмени.
Это просто замечательно, когда человек имеет возможность быстро за честный труд получить много денег.
Рад за него, даже не представляю как он счастлив то :) И вдвойне радуюсь, что уязвимость нашёл наш соотечественник!
Судя по cve, имела место быть уязвимость типа xss в hcp:// протоколе в ie7, только через механизм плагинов хрома. Такие уязвимости нарушают зоны безопасности, и позволяют выполнять js в доверенной зоне. Песочницей такие вещи особо не проконтролируешь, вот и получается sandbox bypass
Sign up to leave a comment.
Российский программист получил 60 тысяч долларов за найденную уязвимость Chrome