Pull to refresh

Comments 62

UFO just landed and posted this here
А я недавно туда вернулся. Стало приятным сюрпризом, что во-первых теперь могут оставлять отзывы заказчики с которыми работаешь не через БС, а во-вторых теперь не препятствуют обмену контактами. Хотя не пользовался ими несколько лет, как раз по озвученной вами причине.
Репутацию так просто не восстановишь, а у этих ребят ее нет после таких закидонов. Я после того, как мои ЛС стали читать, подправлять или удалять, просто ушел оттуда как заказчик. Тем, кто может себе позволить такое, доверия нет.
А я ушел, после того как их арбитраж вернул все деньги заказа откровенно кинувшему меня заказчику, несмотря на все доказательства выполненной работы и махинаций заказчика.
Репутация репутацией, но есть ли у них конкуренты, которые по количеству заказов хотя бы достаточно близко к ним приблизились? Я то к ним вернулся не от хорошей жизни, а потому что на других биржах не было столько заказов.
есть ли у них конкуренты, которые по количеству заказов хотя бы достаточно близко к ним приблизились

Конечно, oDesk, например. С иностранными заказчиками работать сложнее из-за языка, зато куда более выгоднее из-за курса. Потом, когда-то у Internet Explorer'a не было конкурентов, но «можно бесконечно долго обманывать одного человека, можно непродолжительное время обманывать большое количество людей, но нельзя постоянно обманывать всех». © Авраам Линкольн
Видимо мне надо было уточнить, что интересует только Российские биржы (подразумевал это априори). Я как правило договора заключаю, поэтому с иностранцами в этом плане работать сложнее (а точнее я даже не знаю как :)) и такие биржи даже не рассматриваю. А в этом случае у fl.ru просто нет конкурентов.
Еще несколько таких дыр и появятся :)
Ну его хоронят уже много лет, а он что-то всё никак…
Есть ли какие-нибудь способы защитить свою информцию на этом сайте своими силами, или только не выкладывать файлы?
Своими силами не использовать этот сайт.
Выкладывать шифрованные архивы. Пароль можно в личке передать.
Следующая новость про fl: «В открытом доступе личная переписка пользователей»
После слива базы пользователей, на сколько помню, тоже не было реакции.
Даже уведомлений пользователям не удосужились прислать о том, что надо бы пароли сменить. habrahabr.ru/post/251487/
Так у фирмы политика такая, замалчивать, разве это удивительно?
UFO just landed and posted this here
Тут вопрос не столько в бизнесе (хотя есть правда в ваши словах, есть) сколько в самом сайте. У них всё так… через запасной интерфейс…
Он у них штатный, а не запасной.
Думал что после того как Valdik спалил тему с рефером, то это быстро пофиксят.
не тут то было, на данный момент воз и нынче там.

Файлы: 2970 шт (дублей ~20шт. или с хешированием у них проблема).
Объём: 1.3 ГБ
Средняя скорость загрузки: 500Кб/с

Уже интерес пропал, они не сопротивляются, да и база эта нафиг не нужна как таковое, так разминка :(
да и база эта нафиг не нужна как таковое
Возможно на этом тезисе они и строят свою защиту.
Эффект Неуловимого Джо в действии
Например, показывать эти документы только авторизованным пользователям.

Могу поспорить, что следующий фикс будет в том чтобы показывать документы только авторизованным пользователям, но при этом все документы всем пользователям. Какая-то заплатка на заплатке на заплатке.
По защитой административного кодекса хорошо, это неправомерный доступ, значит статья, значит все ок у них…
я такой ход мысли вижу
Нее, если сайт сам позволяет получать данные, то какой тут неправомерный доступ?
а кто говорит, что брать можно?
Закон, например?

Под неправомерным доступом к охраняемой законом компьютерной информации следует понимать самовольное получение информации без разрешения ее собственника или владельца. В связи с тем что речь идет об охраняемой законом информации, неправомерность доступа к ней потребителя характеризуется еще и нарушением установленного порядка доступа к этой информации.

Сайт обычными методами позволяет получать с него информацию? Позволяет, следовательно нарушение установленного порядка доступа информации тут нет. Если вы сами будите разбрасывать по улицам ксерокопии своего паспорта глупо обвинять кого-то кроме себя в нарушении ваших персональных данных.
Если у вас дверь в квартиру открыта, воровать из неё всё равно нельзя по закону и если воров найдут, то осудят. Другое дело, что несмотря на то что вас защищает закон, замок на двери — вещь нелишняя.
Осудят. Но — по другой статье, совсем по другой… Даже запросто условно будет.
кража со взломом — совсем другое дело.
Если ты сам оставил ноут на лавочке в парке, то глупо говорить «украли», правильно говорить «прое%%%ал». Закон чаще всего не защищает в случаях «сам дурак», даже если ты найдешь того кто взял твой ноут ему ничего не будет.
Это смотря с какой стороны и сколько получат следователь и прочие участники цепочки, нужны ли им в текущий момент палки и т. п.
Ну, это из другой оперы, если так рассуждать то посадить можно вообще любого, даже если он ничего не сделал.
Простите, что не в тему, мне это немного напоминает Сбербанк ОАО «Банк длинных очередей», который установил камеры прямо на клавиатуру ввода Пин-Кода (не скиминг). Вроде бы тоже конфиденциальная информация, однако банк не реагирует на это.
Например, показывать эти документы только авторизованным пользователям.
Проблема в том, что файлы доступны по прямому адресу.
Достаточно закрыть доступ к файлам по прямой ссылке.
А файлы отдавать по сгенерированной ссылке вида: fl.ru/dl.php?key=<строка на 32-64 символа>
Или, для удобства программистов: fl.ru/dl.php?id=<id файла>&key=<md5 файла>
И все.
Какая разница, если файлы доступны всем подряд? Тут не в прямой ссылке дело, а в том что она доступна тем кому не должна.
Если паспортные данные попадают в общий доступ, разве это не нарушает закон о защите персональных данных? Может быть просто написать заявление в прокуратуру, раз не хотят по-хорошему закрывать дыры?
Вот именно, что нарушает. Хотя Юля будет доказывать, что ссылки на паспорта уже выкладывали в другом месте =)
После того как будет подано заявление, Юля будет уже следователю доказывать… а это уже совсем другая история )
По идее нарушает, но тут надо почитать их ToS. Вдруг они, как РЖД пишут что-то типа «все предоставленные вами данные являются общедоступными» и т.д. и т.п. Тем не менее было бы любопытно посмотреть, как поведут себя РКН и FL в этой ситуации.
Более того, первый попавшийся — живой.
А вот в этом ключе новость достойна упоминания на всех газетах рунета.
«Поисковики проиндексировали логины/пароли от сайтов, которые заказывались на fl.ru».
Желтизна, конечно, но уж так до администрации fl.ru точно дойдет.
Кажется, только публикации на хабре заставляют администрацию вспоминать о бирже.
Несмотря на то, что закрыли доступ, в индексе все еще есть копии вот тут
сори, видимо проблемы с браузером. вот ссылка: go.mail.ru/search?d=0&g=0&site=st.fl.ru&q=%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D1%8C&rch=l&file=pdf&advs=1&sf=10
Почему fl.ru не может найти фрилансера-«ибешника»?
А лучше взять в штат хотя бы одного спеца по информационной безопасности.
А зачем? Сайт приносит очень неплохой доход, количество пользователей и заказов растёт.
А все эти дыры никакой роли не играют: шум затихает через 2-3 дня. Через неделю уже никто об этом и не вспомнит
Меня лень защищает от любопытства, что же на серверах лежит к которым пароли в открытом доступе.
Хоть в чем то я рад ей.
*Сарказм*
Скажите имя файла, может у меня есть, пришлю :D
Боюсь вам ссылку дать, они неугодных блокируют сразу.
Хотя fl отдает то 403, то 404, кэш поисковиков помнит все!
Включая логины и пароли из сообщений выше :(
Вы не поверите, но на одном из первых семинаров-сборов free-lance.ru, Антон Мажирин об этом говорил, так и есть. Может быть его с того времени переписали, не владею информацией.
С Google Docs та же история: всё, к чему открыт доступ по ссылке (по крайней мере, если ссылка была отправлена в скайпе — то точно), будет проиндексировано и может быть открыто через обычный поисковой запрос…
Sign up to leave a comment.

Articles