Comments 146
Правильно поступил парень. Пайпал вообще крайне странная организация. У них подобной тупизны — вагон. Кто хоть раз сталкивался с беспричинным баном аккаунта и его восстановлением, тот в курсе.
UFO just landed and posted this here
Как это не работает в Украине?
Я уже 4 месяца оплачиваю свой сервер на digitalocean с помощью paypal. Все хорошо работает.
Я уже 4 месяца оплачиваю свой сервер на digitalocean с помощью paypal. Все хорошо работает.
Не работает. Оплатить через привязанную к пейпалу карту можно, а все остальное — зась. Получить бабло, перечислить на карту (кроме как через рефанд) и т.д. — йок. Т.е. грубо говоря, для покупателя пейпал подходит, для продавца — нет.
А, на вывод я не пробовал. Ниже мой вопрос игнорируйте тогда :)
В Беларуси примерно такая же ситуация, официально привязать карту нельзя, но умные ребята додумались привязывать карту указывая Литовский адрес.
В результате ввод и вывод средств работает нормально (проверено на личном опыте, хоть и на незначительных суммах).
Из основных минусов:
— иногда приходится разъяснять продавцам почему мой адрес доставки отличается от адреса в PayPal (решалось обычно отправкой скана нескольких страниц паспорта)
— в том же ebay к аккаунту нельзя привязать аккаунт Paypal (т.к. адреса должны совпадать)
— кроме того не все карты можно привязать (вот это самая большая загадка лично для меня так точно).
В результате ввод и вывод средств работает нормально (проверено на личном опыте, хоть и на незначительных суммах).
Из основных минусов:
— иногда приходится разъяснять продавцам почему мой адрес доставки отличается от адреса в PayPal (решалось обычно отправкой скана нескольких страниц паспорта)
— в том же ebay к аккаунту нельзя привязать аккаунт Paypal (т.к. адреса должны совпадать)
— кроме того не все карты можно привязать (вот это самая большая загадка лично для меня так точно).
Что за феерический бред? У вас вообще похоже, пейпал акка нет. Я вот тоже живу в РБ и пользуюсь услугами ПП уже 4 года. Имею сказать следующее:
1. Продавцам пофиг на то, как выглядит адрес доставки. Тем более на сканы паспорта. Они либо шипят, либо нет на адрес, отличный от акка пейпал.
2. У меня все привязанно и адреса разные. Что я делаю не так? Мало того, у меня на ибей несколько адресов доставки, на разных людей.
Прежде чем публиковать свои «откровения» на тему " ПП в Белоруссии", в следующий раз, пожалуйста, сначала заведите аккаунт и поработайте с ним годик-другой.
1. Продавцам пофиг на то, как выглядит адрес доставки. Тем более на сканы паспорта. Они либо шипят, либо нет на адрес, отличный от акка пейпал.
2. У меня все привязанно и адреса разные. Что я делаю не так? Мало того, у меня на ибей несколько адресов доставки, на разных людей.
Прежде чем публиковать свои «откровения» на тему " ПП в Белоруссии", в следующий раз, пожалуйста, сначала заведите аккаунт и поработайте с ним годик-другой.
1. Сорри, если вы считаете что это так, то пусть будет по вашему, я уже делал заказы из примерно более чем двух десятков различных магазинов, несколько раз приходилось отсылать скан. Скриншот письма тому подтверждение
2. Вероятно неправильно я сформулировал, да, у меня также Paypal залинкован по адресу mail. Но в случае с регистрацией через Литву, если не ошибаюсь, то не получится стать «verified PayPal member».
Ну и в добавление к первоме пункту в правилах на ebay есть вся необходимая информация по поводу адресов ( в частности адреса регистрации, доставки и оплаты)
FYI: аккаунт использую более года так точно, точную дату регистрации искать не стал
Скрытый текст
2. Вероятно неправильно я сформулировал, да, у меня также Paypal залинкован по адресу mail. Но в случае с регистрацией через Литву, если не ошибаюсь, то не получится стать «verified PayPal member».
Ну и в добавление к первоме пункту в правилах на ebay есть вся необходимая информация по поводу адресов ( в частности адреса регистрации, доставки и оплаты)
Скрытый текст
FYI: аккаунт использую более года так точно, точную дату регистрации искать не стал
1. Проехали. Я посчитал, что речь идет о продавцах на ибей. Там другая ситуация.
С магазинами вообще сложно. Они выдумывают собственные правила и умудряются доколупаться даже до платежей напрямую картой.
2. Насколько я понял, вы говорили о адресах доставки на ибей и ПП.
Три адреса, на трех разных человек, все из Белорусии. Никаких проблем. В случае, если продавец шипит только на paypal adress, как правило, они имеют ввиду тот адрес, который им пришлет ПП в квитанции на платеж. А в случае платежей через ибей, туда будет подставлен Primary shipping address из вашего ибей-аккаунта. В чем тут проблемы у вас?
С магазинами вообще сложно. Они выдумывают собственные правила и умудряются доколупаться даже до платежей напрямую картой.
2. Насколько я понял, вы говорили о адресах доставки на ибей и ПП.
Три адреса, на трех разных человек, все из Белорусии. Никаких проблем. В случае, если продавец шипит только на paypal adress, как правило, они имеют ввиду тот адрес, который им пришлет ПП в квитанции на платеж. А в случае платежей через ибей, туда будет подставлен Primary shipping address из вашего ибей-аккаунта. В чем тут проблемы у вас?
Уточняйте вашу фразу «не работает».
Работает, но только в режиме read-only ;-))
Работает, но только в режиме read-only ;-))
UFO just landed and posted this here
То же самое происходит, когда спрашиваешь, почему забанили аккаут — одни отписки шлют. Мне в итоге позвнили, правда — считай, повезло. Многие с ними месяцами так «продуктивно» переписываются.
Эм… Дейстительно — почему вы решили, что не работает? Я уже пару лет, если мне память не изменяеть, с украинских карточек плачу отлично (ВАБ и Альфа)
А какой вы ожидали получить ответ на подобный вопрос? Мне кажется, в данном случае, техническая поддержка может лишь констатировать факт и добавить что-нибудь вроде «мы работаем над этим».
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
UFO just landed and posted this here
НАСА отчиталась, почему она не будет строить Звезду Смерти.
Ответить на такой простой вопрос — дело 10 минут, еще 2 минуты занести в шаблоны саппорта.
Ответить на такой простой вопрос — дело 10 минут, еще 2 минуты занести в шаблоны саппорта.
По моему НАСА просто продолжило стеб в хорошей манере, если вообще не они этот стеб и организовали.
Отвечать же каждому встречному на тупые вопросы, это занятие которое может занять вечность.
Да, вопрос, почему paypal не работает в Украине тупой.
Отвечать же каждому встречному на тупые вопросы, это занятие которое может занять вечность.
Да, вопрос, почему paypal не работает в Украине тупой.
UFO just landed and posted this here
Привлекать всех встречных и поперечных — задача сервисов навроде пэйпола, именно с пользователей они имеют свой доход. Грамотная работа с корреспонденцией — один из способов оного привлечения.
Поэтому — да, каждому встречному и поперечному, максимально вежливо на вопрос любого уровня тупизны: это они для клиентов (и что даже важнее — благодаря клиентам), а не клиенты для них.
Поэтому — да, каждому встречному и поперечному, максимально вежливо на вопрос любого уровня тупизны: это они для клиентов (и что даже важнее — благодаря клиентам), а не клиенты для них.
Ответили не НАСА, а член конгресса США. И ответил он в рамках программы, которую утвердило правительство.
Они могли и должны были первый раз ответить сами и дать инструкции первым линиям, как в дальнейшем отвечать первому встречному на такие вопросы.
UFO just landed and posted this here
UFO just landed and posted this here
Вопрос «почему?» вообще довольно часто, как я заметил, вызывает недоумение: мол, вот вам факт, зачем вам причины-то знать, это же ничего не изменит все равно… Несколько раздражает порой.
По поводу тупизны, недавно пытался оплатить через paypal посылку в shipito, но так как ящик Shipito расположен не в России, а в Калифорнии, оплатить посылку они мне не дали.
Вопрос: какое дело платежному сервису, куда я отправляю свои посылки, если за операцию они получают свой процент?
Может быть я не прав и кто-нибудь объяснит причину такой несправедливости?
Вопрос: какое дело платежному сервису, куда я отправляю свои посылки, если за операцию они получают свой процент?
Может быть я не прав и кто-нибудь объяснит причину такой несправедливости?
Мне, видимо, повезло с PP — ни разу не банили :) Однако, саппорт у них уж точно странный: обращался к ним несколько раз по разным вопросам, и ни разу не получил сколь-нибудь вразумительного ответа.
Абсолютно согласен. Уже как год мои редкие попытки зарегистрироваться заново после пожизненного беспричинного бана не заканчиваются успехом. Регистрировался уже и с других IP, с другой почтой — каким-то образом таки просекают. К счастью есть другие способы оплаты, но не везде конечно. Тот же e-bay теперь закрыт для меня. Чёрт!
Ну так, неспроста самая известная картинка Пейпаловского саппорта выглядит так
Интересно, подаст ли PayPal в суд на этого парня?
Если они считают тех, кому нет восемнадцати, фактически никем, то как они выиграют суд у никого (при адекватности судьи)? :)
Так он никто, если деньги ему платить. А вот если от него деньги получать — тут всё сразу играет другими красками :)
Судья Германии это учтет.
Дада, Европа — рай земной.
Нет не рай, но за своих они биться будут, а в Германии довольно хорошое правосудие в плане защиты простого люда.
только недавно на хабре эту тему поднимал )
плюсую.
плюсую.
Было бы прекрасно проиллюстрировать ваши слова реальным делом, в котором транснациональная корпорация проиграла бы «простому человеку» (одному, а не целой «общественности»). Познакомив меня с подобной историей, вы опровергните мой скепсис и я не буду выказывать его так однозначно впредь.
Я тоже задался таким вопросом, но сходу с корпорациями не нашел. Но с самими судами — запросто (http://translate.googleusercontent.com/translate_c?depth=1&hl=ru&rurl=translate.google.com&sl=de&tl=ru&u=http://www.bverwg.de/presse/pressemitteilungen/pressemitteilung.php%3Fjahr%3D2013%26nr%3D49&usg=ALkJrhjCQh5k3JbqnhQALB2MNvf-yn47rQ)
Если кратко — присудили компенсацию за чрезмерно длительное рассмотрение дела в судах.
Если кратко — присудили компенсацию за чрезмерно длительное рассмотрение дела в судах.
мне почему-то прочиталось:
в Германии довольно хорошое правосудие в плане защиты от простого люда.
в Германии довольно хорошое правосудие в плане защиты от простого люда.
Вспомнилось:
Отличие школ Ландау и Бора (а в некотором смысле – школ во главе с ЛИЭ и с ИЛЭ) хорошо прослеживаются в таком эпизоде. «Когда Нильс Бор выступал в ФИАН, то на вопрос о том, как удалось ему создать первоклассную школу физиков, он ответил: «По-видимому, потому, что я никогда не стеснялся признаваться своим ученикам, что я дурак…». Переводивший речь Нильса Бора Е.М.Лифшиц донёс эту фразу до аудитории в таком виде: «По-видимому, потому, что я никогда не стеснялся заявить своим ученикам, что они дураки…» …Сидевший в зале П.Л.Капица глубокомысленно заметил, что это не случайная оговорка. Она фактически выражает принципиальное различие между школами Бора и Ландау, к которой принадлежит и Е.М.Лифшиц»
Отличие школ Ландау и Бора (а в некотором смысле – школ во главе с ЛИЭ и с ИЛЭ) хорошо прослеживаются в таком эпизоде. «Когда Нильс Бор выступал в ФИАН, то на вопрос о том, как удалось ему создать первоклассную школу физиков, он ответил: «По-видимому, потому, что я никогда не стеснялся признаваться своим ученикам, что я дурак…». Переводивший речь Нильса Бора Е.М.Лифшиц донёс эту фразу до аудитории в таком виде: «По-видимому, потому, что я никогда не стеснялся заявить своим ученикам, что они дураки…» …Сидевший в зале П.Л.Капица глубокомысленно заметил, что это не случайная оговорка. Она фактически выражает принципиальное различие между школами Бора и Ландау, к которой принадлежит и Е.М.Лифшиц»
Формально, в Европе PayPal — не просто какая-то там американская контора, а очень даже европейский банк PayPal (Europe) Sàrl et Cie SCA, Luxembourg.
Наверняка немецкий судья должен будет учесть и это.
Наверняка немецкий судья должен будет учесть и это.
А тут нету состава преступления — парень им честно отправил репорт, они не выплатили вознаграждения => НЕ считают это багом => ничего парень не нарушал — т.к. данный результат был предусмотрен by design.
Всё правильно сделал.
Получить через родителей/друзей нельзя?
Парень вероятно хотел отметиться в «почётном списке», так скажем, вообщем вполне стандартное пожелание, да и в случае с трудоустройством даже тыкнуть туда нанимателя — большой плюс, поэтому давать такую халяву друзьям не резон (хз какие они друзья), а вот сколько ему оставалось до 18 лет… вот это вопрос. Хотя конечно долго ждать в такой ситуации тоже чревато проигрышем «по всем фронтам», а таким способом он хоть и денег не получил, зато шикарно отметился в истории PayPal'а xD
Одним словом, ждём обратной реакции, но надеюсь всё пройдёт по-уму.
Одним словом, ждём обратной реакции, но надеюсь всё пройдёт по-уму.
Денег не получил, да и в добавок закон нарушил. «Идеальный» кандидат для нанимателя…
Хотя конечно его реакция понятна, но не вполне адекватна. Нужно быть более сдержанным и принимать правила игры.
Хотя конечно его реакция понятна, но не вполне адекватна. Нужно быть более сдержанным и принимать правила игры.
Ну снова придирки к словам, прошу прощения за такую прямоту, но это лишь пример. Первое, что пришло в голову. Может он вообще просто таким образом поднял ЧСВ… нам отсюда не видно всей картины.
UFO just landed and posted this here
Вот Mozilla — молодец в этом деле.
Как я говорил, когда мой четырнадцатилетний брат нашел баг в Firefox, никаких вопросов с выводом денег не было. Я просто дал свои реквизиты счета и все. В "почётном списке" было указано именно его имя.
Как я говорил, когда мой четырнадцатилетний брат нашел баг в Firefox, никаких вопросов с выводом денег не было. Я просто дал свои реквизиты счета и все. В "почётном списке" было указано именно его имя.
Вообще это PayPal в идеале должен париться по поводу того, как отблагодарить парня — если есть какие-то реальные препятствия с выплатой вознаграждения тем, кому нет еще 18, то проблема должна быть у PayPal'а, и они должны ее решать, а не кидать таким вот образом. Ведь наверняка если подойти к этому вопросу не со стороны бюрократии, а со стороны решения конкретной проблемы, то можно ее решить так, чтобы все остались довольны.
Кто хочет, ищет возможности, кто не хочет — ищет причины (с).
Кто хочет, ищет возможности, кто не хочет — ищет причины (с).
Скупердяи ИМХО, или же просто не поверили ему
Всё мне кажется гораздо банальнее: парень попал на оператора, которому оставалось 15 минут до конца рабочего дня, вот он и пропустил мимо ушей. Думаю у такой компании найдется десяток килобаксов студенту =)
PS опубликована уязвимость в Fri, 24 May 2013 18:38:44 +0200, я понятия не имею насчёт того в каких часовых поясах это происходило и какой рабочий график у операторов, но если учесть один и тот же часовой пояс, и график работы «до 18.00», студент как раз после отказа один час думал «что бы такого сделать плохого»… ну и запостил всё это дело.
Элементарно, Ватсон!
PS опубликована уязвимость в Fri, 24 May 2013 18:38:44 +0200, я понятия не имею насчёт того в каких часовых поясах это происходило и какой рабочий график у операторов, но если учесть один и тот же часовой пояс, и график работы «до 18.00», студент как раз после отказа один час думал «что бы такого сделать плохого»… ну и запостил всё это дело.
Элементарно, Ватсон!
Ха, это как история с багом gmail, когда мне приходили письма к некому e.quand (мой equand).
Сначала я думал, что это спам и удалял письма, как оказалось прошерстив хедеры (с DKIM и SPF bank of america) — это не спам, а письма к какому-то китайцу в США, мне попадались его паспортные данные, данные на авто, письмо от банка и страховок и другие данные (о том что и кто у его подруги родился и когда отмечать будут), даже фотографии некоторые. На лицо полный leak персональных данных (правда в 2009-2012 гг.)
Однако письма не попадали постоянно, раз в месяц такой подарок был… До сих пор висят в ящике (хотя фото мне стерли кто-то из гугла)
В итоге решил я написать в гугл, что мол у Вас бага и vulnerability, я ее обнаружил, давайте мне что полагается. Ни ответа, ни привета, а письма прекратились…
Вот тебе и справедливость, когда могут тогда и награждают.
Сначала я думал, что это спам и удалял письма, как оказалось прошерстив хедеры (с DKIM и SPF bank of america) — это не спам, а письма к какому-то китайцу в США, мне попадались его паспортные данные, данные на авто, письмо от банка и страховок и другие данные (о том что и кто у его подруги родился и когда отмечать будут), даже фотографии некоторые. На лицо полный leak персональных данных (правда в 2009-2012 гг.)
Однако письма не попадали постоянно, раз в месяц такой подарок был… До сих пор висят в ящике (хотя фото мне стерли кто-то из гугла)
В итоге решил я написать в гугл, что мол у Вас бага и vulnerability, я ее обнаружил, давайте мне что полагается. Ни ответа, ни привета, а письма прекратились…
Вот тебе и справедливость, когда могут тогда и награждают.
это не баг, это фича. и то что вам приходило скорее всего действительно спам.
гмейл не отличает точек в имени.
т.е. ящики equand, e.quand, и даже e.q.u.a.n.d — все ваши. никто не сможет зарегистрировать ящик отличающийся от вашего только точками.
ссылка на описание в хелпе — support.google.com/mail/answer/10313?hl=en
гмейл не отличает точек в имени.
т.е. ящики equand, e.quand, и даже e.q.u.a.n.d — все ваши. никто не сможет зарегистрировать ящик отличающийся от вашего только точками.
ссылка на описание в хелпе — support.google.com/mail/answer/10313?hl=en
То есть bank of america мне Спамит?
Там фишка в том, что не хватало одной буквы в начале — l.
А email был у него с точкой (gmail предлагает разделять имя и фамилию таким образом, то есть le.quand@gmail.com его email).
Факт есть факт, почта с точкой не должна была мне поступать по rfc, не знал, что у гугла свои правила…
Там фишка в том, что не хватало одной буквы в начале — l.
А email был у него с точкой (gmail предлагает разделять имя и фамилию таким образом, то есть le.quand@gmail.com его email).
Факт есть факт, почта с точкой не должна была мне поступать по rfc, не знал, что у гугла свои правила…
Вас конечно же не затруднит привести ссылку на RFC, в котором написано, что «почта с точкой не должна была мне поступать»?..
Ещё лучше — конкретно на фрагмент с этой фразой.
Ещё лучше — конкретно на фрагмент с этой фразой.
tools.ietf.org/html/rfc822
. специальный символ, которые разделяет email на «атомы».
По сути, согласно RFC, equand и e.quand разные email и должны считаться именно так, потому что equand — один атом, а e.quand = «e quand» — два разных атома.
. специальный символ, которые разделяет email на «атомы».
По сути, согласно RFC, equand и e.quand разные email и должны считаться именно так, потому что equand — один атом, а e.quand = «e quand» — два разных атома.
UFO just landed and posted this here
Значит криво читаете, пункт 3.3. четко назначает точку "." special.
При этом atom = 1*<any CHAR except specials, SPACE and CTLs>
Далее
А word = atom / quoted-string
Так что раз нет quoted-string (а в моем случае его не было) то точка является таки разделителем на два атома, что соответствует другом адресу.
И собственно все почтовые серверы будут направлять почту в MDA с этим адресом, который ведет на разные ящики по дефолту (хотя это можно изменить).
При этом atom = 1*<any CHAR except specials, SPACE and CTLs>
Далее
address = mailbox ; one addressee
/ group ; named list
mailbox = addr-spec ; simple address
/ [phrase] route-addr ; name & addr-spec
addr-spec = local-part "@" domain ; global address
local-part = word *("." word)
А word = atom / quoted-string
Так что раз нет quoted-string (а в моем случае его не было) то точка является таки разделителем на два атома, что соответствует другом адресу.
И собственно все почтовые серверы будут направлять почту в MDA с этим адресом, который ведет на разные ящики по дефолту (хотя это можно изменить).
UFO just landed and posted this here
+что_угодно — это по правилам.
Опять же в RFC указано это.
Только сейчас заметил, что code не отработало мои enter
Собственно вот и еще одна проблема только на хабре, когда что-то работает не интуитивно… :)
Опять же в RFC указано это.
Только сейчас заметил, что code не отработало мои enter
Собственно вот и еще одна проблема только на хабре, когда что-то работает не интуитивно… :)
UFO just landed and posted this here
+ не указан в special chars не является control char и space char соответственно может быть в local-part.
А про неразличие больших-маленьких — это только для postmaster (у него отдельный use-case есть).
Целый пункт про как раз-таки различие больших и маленьких — 3.4.7
local-part обязан различать их.
А про неразличие больших-маленьких — это только для postmaster (у него отдельный use-case есть).
Целый пункт про как раз-таки различие больших и маленьких — 3.4.7
local-part обязан различать их.
tools.ietf.org/html/rfc5233 вот тут про subaddressing.
Должен признать — я не верно понял вашу фразу. В контексте вашего сообщения мной она была прочитана так, как будто адреса с точкой — вообще вещь не правильная, и для них доставка вообще выполняться не должна. Исходя именно из такого пнимания я и задавал свой вопрос. Так что — в этом был не прав, каюсь.
Ну и чтоб два раза не вставать — 822й уже несколько лет как устарел.
А роутинг адресов с плюсом (+) тоже в каком-то из рфц таки описан, это к «Где там про +чтоугодно?» от mifki.
Ну и чтоб два раза не вставать — 822й уже несколько лет как устарел.
А роутинг адресов с плюсом (+) тоже в каком-то из рфц таки описан, это к «Где там про +чтоугодно?» от mifki.
Я больше склоняюсь к версии бюрократии: то есть сидит там state-machine-обезьянка на аутсорсе и смотрит входящие письма, действует по чётко описанному алгоритму, который говорит, что если нет 18, то посылать. Вот и посылает.
Обычно обезьянку можно обойти, обратившись уровнем выше. Чуть выше привыкли сами принимать решения, а не смотреть на инструкции.
Яндекс, кстати, платит тем, кому нет 18.
Так а уязвимость то закрыли в итоге?
"'<script>alert('habr')</script> — так тоже работает.
Уязвимость находится в поисковой форме и работает только при передаче через POST, так что использовать её в подобном виде невозможно.
Показательно и то, что парень не смог даже выщемить значимую часть, явно искал с помощью автоматического сканера.
Возраст здесь ни при чём, обычная желтуха раздутая из-за неудачной отписки.
Показательно и то, что парень не смог даже выщемить значимую часть, явно искал с помощью автоматического сканера.
Возраст здесь ни при чём, обычная желтуха раздутая из-за неудачной отписки.
XSS через POST = XSS + CSRF. Все возможно.
Делается пост запрос в скрытый фрейм, наш JS код в коде paypal, что мешает злоумышленнику теперь например перевести деньги от лица жертвы, или посмотреть его карточки визы и т.д.
Я позволю себе вклиниться, но мою XSS тоже не приняли, хотя да, уязвимость поправили.
До этого ждал 4(!) месяца, пока рассматривали заявку.
Тупо разводят людей.
До этого ждал 4(!) месяца, пока рассматривали заявку.
Тупо разводят людей.
UFO just landed and posted this here
Попросил бы запостить эту уязвимость старшего друга и получил бы деньги возможно…
Такой вопрос должны были решить индивидуально, а не следовать правилам. Странно, что у них нет ограничения по максимальному возрасту!
«To be eligible for the Bug Bounty Program, you *must not*:
… Be more than 59 years of age…
Сервис ПП, на самом деле, оставляет желать лучшего, уверен, что подобное отношение и во многих других отделах.
А пацан, может разозлиться и ткнуть их по слабому месту, может тогда они адекватно и отреагируют.
Пока к сожалению нет адекватной альтернативы или может, что-то подскажете?
«To be eligible for the Bug Bounty Program, you *must not*:
… Be more than 59 years of age…
Сервис ПП, на самом деле, оставляет желать лучшего, уверен, что подобное отношение и во многих других отделах.
А пацан, может разозлиться и ткнуть их по слабому месту, может тогда они адекватно и отреагируют.
Пока к сожалению нет адекватной альтернативы или может, что-то подскажете?
Забавно выглядит то, что PayPal не осознаёт где заканчиваются юридические заморочки, а где начинаются физические законы и реальность. Наличие бага — оно объективно независимо от возраста нашедшего и никакие писульки на их сайте этого не меняют. С тем же успехом можно было бы написать в документе "мы запрещаем электрическому току пропадать в розетке, если провод был перерезан лицом младше 18 лет" и основывать на этом систему бесперебойного питания дата-центра.
С палкой не хочется работать именно после таких случаев, примерно через неделю после обьявления баунти хантинга активную XSS-ку в основном интерфейсе — через довольно большое время ответили что она «не опасна» и не принята. Собтсвенно у гугла и яндекса с этим намного лучше — гугл отвечает в течение дня, также оперативно выводит на специалистов для обсуждения и не менее оперативно фиксит и платит, яндекс немного слоупочит, но тоже в целом неплохо :)
Любопытно, на что надеялся парень отправляя свой баг-репорт. В правилах же написано «с 18 лет». Или он надеялся, что компания офигеет от его крутости и сделает для него исключение?
UFO just landed and posted this here
Все же думаю, что он хотел в первую очередь славы, иначе бы ограничился отсылкой баг-репорта.
Не он требовал от PP денег, а PP заявила, что будет платить деньги за найденные уязвимости, но как только уязвимость нашли от своих слов отказалась.
Так что не в славе тут дело, а в том, что о компаниях, которые отказываются выполнять свои обязательства, в любом случае нужно сообщать миру.
Так что не в славе тут дело, а в том, что о компаниях, которые отказываются выполнять свои обязательства, в любом случае нужно сообщать миру.
Не, ну я не понимаю, в чем проблема! PP заявила, что выдаст вознаграждение любому
1) кто найдет уязвимость
2) кому больше 18 лет.
Условия не выполнены? Подросток может идти, а баг-репорт «я попрошу остаться».
1) кто найдет уязвимость
2) кому больше 18 лет.
Условия не выполнены? Подросток может идти, а баг-репорт «я попрошу остаться».
На странице программы ( www.paypal.com/us/webapps/mpp/security/reporting-security-issues ) нет ни слова про возраст. Про возраст придумали уже после того, как багрепорт был написан в соответствии с этой программой.
Гугл говорит нам, что на сайте paypal.com фразы из письма, которой прикрылся саппорт («Be less than 18 years of age.If PayPal discovers that a researcher does not meet any of the criteria above, PayPal will remove that researcher from the Bug Bounty Program and disqualify them from receiving any bounty payments.») просто нет.
Гугл говорит нам, что на сайте paypal.com фразы из письма, которой прикрылся саппорт («Be less than 18 years of age.If PayPal discovers that a researcher does not meet any of the criteria above, PayPal will remove that researcher from the Bug Bounty Program and disqualify them from receiving any bounty payments.») просто нет.
Зачёт!
К успеху идёт.
К успеху идёт.
Всё правильно сделал.
Robert Kugler, 17-летний студент из Германии
На всякий случай: школьник он, а не студент. Не нужно буквально переводить.
Да. Вспоминаю себя в 14-17 лет. Когда тебя государство реально ни во что не ставит. Ты даже чихнуть без согласия родителей не можешь. Столько было идей, амбиций и возможностей, но все упиралось «с разрешения родителей» или вообще просто «с 18 лет». Почти каждый день я пытался затащить мать или отца к нотариусу, но рабочее время родителей и нотариуса в нашем городке совпадало, а работали они в большом отдалении.
Забавно. Палка таки дернулась, после того как статья об этом попала на PCWorld + MSN Today… и сказали — чувак, ты не поверишь™ — этот баг уже открыли до тебя. А ты, весь такой плохой, всем рассказал, ай яй яй =)
seclists.org/fulldisclosure/2013/May/200 — тут подробнее.
seclists.org/fulldisclosure/2013/May/200 — тут подробнее.
Sign up to leave a comment.
17-летний подросток опубликовал 0day XSS в PayPal после того, как ему отказали в вознаграждении