Comments 78
UFO just landed and posted this here
Я им как-то написал, что счетчик лайков (скроллинг цифр) криво отображается при нестандартном DPI, а они мне ответили, что не оптимизируют сайт под разные масштабы.
+7
Они вообще такой ерундой не занимаются, как оптимизация под конкретные платформы, им проще плашку вывести «Загрузите православный браузер», чем пытаться баги под IE и оперу фиксить.
0
Перешел на сайт автора данной статьи, bluzir.me/blog/2%27 как такой человек имеет право тут чтото писать?
-19
Мне льстит, что разработчик VK ищет уязвимости в моем блоге, вместо исправления собственных
+13
Мы работаем над исправлением тех уязвимостей, информация о которых доходит до нас, только с открытием программы на h1 у мы начали налаживать правильный подход для получения информации о них. А вы критикуете не разобравшись. Мы открыли информацию о выплатах на h1, при этом на сколько я знаю среди того что мы обработали – ничего с реальным применением не прислали (но большую часть заявок мы пока не успели обработать), но выплатили уже 2000$, что не может считаться жлобством со стороны ВК как ни крутите
-8
UFO just landed and posted this here
Мы недавно писали им по поводу проблемы с капчей внутри виджетов. Исправили довольно оперативно.
Видимо зависит от разных факторов.
Видимо зависит от разных факторов.
0
Еще в Августе прошлого года писал им о странном баге с юникодом в мобильной версии сайта. Сказали, что исправят, а воз и ныне там:
Моб. версия:
Моб. версия:
+2
Не вся информация доходит, до разработчиков, просто представьте количество тикетов для техподдержки, сейчас ведется редизайн, который исправит подобные несерьезные косяки, там архитектурно система слоев не очень правильно написана, ее переписать нужно.
-6
Решение очевидно: если администрации не нужны сообщения об уязвимостях, или она не хочет за них платить — то не стоит ломиться в закрытую дверь, а предложить информацию тем, кому она нужнее.
+84
хм… а продажа уязвимостей в даркнете не наказуема разве?
0
Ну… например, можно потопить группу по типу «подслушано», если рассказать людям, что теперь можно видеть автора поста и так далее=)
+11
UFO just landed and posted this here
Ну, тогда возникает вопрос, как декларировать доходы от продажи уязвимостей…
+2
Сделать парсер всех неудовлетворенных девушек из разных групп, и продавать эту информацию на специальных форумах различным альфачам?
+8
Вряд ли в США вас накажут, если вы предложите эту информацию АНБ, например. Надо просто смотреть по юрисдикции.
0
Мне кажется, если я буду продавать уязвимости вконтактика АНБ, живя в России, то меня осудят за государственную измену (=
+2
Так я же говорю, смотрите по юрисдикции. Живете в России — предложите информацию ФСБ.
+5
Боюсь, это не так выгодно ;)
+2
UFO just landed and posted this here
Опишите статью, под которую попадает продажа уязвимости.
0
Ну так я потому, что я не знаю такой статьи, но сомнения по этому поводу имеются.
В порядке бреда: при жалении суд наверняка может упустить момент продажи и будет формулировка аля «гражданин А, получив инструкции от гражданина Б, совершил преступление предусмотренное статьями...» им пойдет горе-продавец как соучастник преступления.
В порядке бреда: при жалении суд наверняка может упустить момент продажи и будет формулировка аля «гражданин А, получив инструкции от гражданина Б, совершил преступление предусмотренное статьями...» им пойдет горе-продавец как соучастник преступления.
0
Для соучастия надо знать про готовящееся предступление. Незаконный доступ к ЭВМ и изготовление вредоносных программ не покрывают информацию об уязвимости.
Я не вижу ни одной статьи (кроме «резиновых» хулиганства и экстримизма), которые можно было притянуть к продаже информации об уязвимости.
Я не вижу ни одной статьи (кроме «резиновых» хулиганства и экстримизма), которые можно было притянуть к продаже информации об уязвимости.
+1
Так как бы в суде-то будут бить по морде, а не по паспорту. Вероятно, это будет соучастие в этом самом незаконном доступе к ЭВМ. А строить из себя целочку и рассказывать, что ты знать не знал, что в даркнете обитают злые дяди и даже не подумал, что они дают тебе денежек с целью сделать что-то нехорошее — курам на смех.
0
нет. Наказуема только продажа уязвимости с несоблюдением должных мер предосторожности.
0
Нельзя так делать, от слова никогда :)
Тогда уж лучше раскрывать подробности уязвимости только по факту оплаты (см. например habrahabr.ru/post/258513/). Хотя ту идею, кстати не мою, хабрасообщество местами почему-то оценило гораздо менее одобрительно (шантаж и злостное вымогательство).
Тогда уж лучше раскрывать подробности уязвимости только по факту оплаты (см. например habrahabr.ru/post/258513/). Хотя ту идею, кстати не мою, хабрасообщество местами почему-то оценило гораздо менее одобрительно (шантаж и злостное вымогательство).
0
Откуда информация о том, что уязвимости не нужны и что ВК не готовы платить за них, неужели вы думаете, что это то, на чем у нас есть желание экономить, особенно учитывая то, что для компании данные суммы не являются большими?
Дело в том что налетела куча мудаков и начала клянчить деньги либо за мелкие проблемы, за которые станно ожидать больше 100$ либо за баг который был давно, и о котором репортило в разное время человек 100, потому что он вылез гдето на форуме, что теперь мы всем должны всем школьникам способным перепостить запись с форума в интерфейс поддержки по 10000$ выплачивать, серьезно?
Дело в том что налетела куча мудаков и начала клянчить деньги либо за мелкие проблемы, за которые станно ожидать больше 100$ либо за баг который был давно, и о котором репортило в разное время человек 100, потому что он вылез гдето на форуме, что теперь мы всем должны всем школьникам способным перепостить запись с форума в интерфейс поддержки по 10000$ выплачивать, серьезно?
-15
Можно ли ссылаться на второй абзац, как на позицию VK, озвученную одним из представителей социальной сети?
+6
Мне одному показалось, что сейчас автора поста прямым текстом мудаком обозвали?
Ну, назвался представителем компании, зачем такие вольности в словах допускать?
Ну, назвался представителем компании, зачем такие вольности в словах допускать?
+5
либо за баг который был давно, и о котором репортило в разное время человек 100
А как вы доказываете тот факт, что ошибка уже была найдена? Есть какой-то публичный багтрекер, где можно посомтреть на наденые ошибки? Иначе получается, что абсолютно про любую найденую уязвимость можно сказать, что её уже кто-то нашел…
+5
То есть 100 человек в течении 8-ми месяцев или больше писали вам об одном и том же баге, а вы не реагировали?
+7
UFO just landed and posted this here
Это наши реалии. Этим «еропейская/американская» приличная компания отличается практически от любой «нашей».
Отношение к клиенту пофигистское. Я уже давно не вКонтакте.
Отношение к клиенту пофигистское. Я уже давно не вКонтакте.
-1
Да ни фига она не отличается. Это общемировые реалии.
+9
Это как сравнить яндекс с газпромом. Есть технологич. компании а есть обычные, им можно.
0
Во-первых, всё равно нельзя. Головотяпство есть головотяпство.
Во-вторых, а что технологические компании? То же самое, что и в обычной среде: есть нормальные вроде Яндекса, а есть вот такое вот.
Во-вторых, а что технологические компании? То же самое, что и в обычной среде: есть нормальные вроде Яндекса, а есть вот такое вот.
0
Психологическое восприятие подобных ситуаций может быть неоднозначным.
В мою бытность студентом у нас на факультете каждый студент, хоть чуть-чуть разбирающийся в компьютерах, пытался их взломать, получив доступ к правам администратора или к аккаунтам других студентов. В ход шли и средства социальной инженерии, и самодельное вредоносное ПО, и эксплуатация уязвимостей системы. Но обычно успешные хаки заканчивались безобидно: подшучивания друг над другом, копирование решений к лабораторкам и т.д. Преподы эту активность где-то даже поощряли, а найденные дыры в безопасности ОС — фиксили на месте. Обид на юных «хакеров» не держали никаких.
Но однажды нашелся студент, который раскопал в интернете информацию об одной уязвимости линукса, скачал эксплойт, с его помощью взломал один из центральных серверов и потер на нем содержимое винта. Типа «убедительная демонстрация». И вот этот поступок уже перешел границу. Преподам пришлось потратить уйму времени на восстановление сервера при том, что у юного хакера не было никакой необходимости в такой «жестокой» демонстрации своего успеха. К тому же, это была не его личная заслуга, а чужие разработки. И этого студента уже никто по головке не гладил, у него испортились отношения с компьютерными преподами. Да и я этот поступок не одобрил. По мне так: нашел уязвимость — продемонстрировал взлом с минимальным ущербом — сообщил преподам. Или: нашел уязвимость и тихо используешь для себя, не мешая другим работать.
В мою бытность студентом у нас на факультете каждый студент, хоть чуть-чуть разбирающийся в компьютерах, пытался их взломать, получив доступ к правам администратора или к аккаунтам других студентов. В ход шли и средства социальной инженерии, и самодельное вредоносное ПО, и эксплуатация уязвимостей системы. Но обычно успешные хаки заканчивались безобидно: подшучивания друг над другом, копирование решений к лабораторкам и т.д. Преподы эту активность где-то даже поощряли, а найденные дыры в безопасности ОС — фиксили на месте. Обид на юных «хакеров» не держали никаких.
Но однажды нашелся студент, который раскопал в интернете информацию об одной уязвимости линукса, скачал эксплойт, с его помощью взломал один из центральных серверов и потер на нем содержимое винта. Типа «убедительная демонстрация». И вот этот поступок уже перешел границу. Преподам пришлось потратить уйму времени на восстановление сервера при том, что у юного хакера не было никакой необходимости в такой «жестокой» демонстрации своего успеха. К тому же, это была не его личная заслуга, а чужие разработки. И этого студента уже никто по головке не гладил, у него испортились отношения с компьютерными преподами. Да и я этот поступок не одобрил. По мне так: нашел уязвимость — продемонстрировал взлом с минимальным ущербом — сообщил преподам. Или: нашел уязвимость и тихо используешь для себя, не мешая другим работать.
0
Ну логично. А тут это при чём? Автор никому не навредил.
+1
При том, что автор создал им дискомфорт. У многих людей логическое мышление не так развито, как у университетских преподавателей, поэтому они не могут понять, что на самом деле автор оказал им услугу и защитил от более крупных неприятностей. На поверхности лежит то, что автор нарушил их покой и вторгся в их жизненное пространство. Отсюда и агрессия.
0
Хорошо. А какое отношение это имеет к треду про разницу между русскими и западными компаниями? :-)
0
Кстати, описанная вами причина — не единственная и даже (по моему опыту) не главная. Есть ещё как минимум три:
— «то есть он нас, что, взломал? То есть совершил уголовное преступление? Пусть теперь сядет в тюрьму, куда полиция смотрит вообще»
— «это он на меня наехал, что ли? Типа, крутой, за лоха меня держит? Да я ему сейчас!..»
— «зачастую накрывшаяся премия безопасников сейчас намного для них важнее чем украденные пару миллионов долларов у компании через пару лет, когда они уже будут работать в другом месте»
— «то есть он нас, что, взломал? То есть совершил уголовное преступление? Пусть теперь сядет в тюрьму, куда полиция смотрит вообще»
— «это он на меня наехал, что ли? Типа, крутой, за лоха меня держит? Да я ему сейчас!..»
— «зачастую накрывшаяся премия безопасников сейчас намного для них важнее чем украденные пару миллионов долларов у компании через пару лет, когда они уже будут работать в другом месте»
+1
Приведу в пример Амазон. Kindle.
Девайс ломается здесь по вине пользователя (треснул экран).
Что делает амазон — меняет девайс бесплатно и берет на себя все расходы по доставкам в обе стороны.
Что делает вКонтакте? Морозится как мелкий жулик, делает вид что никаких договоренностей не было.
Человеческий фактор не отменить. Воспитание этого недоменеджера, который так себя ведет позорит всю компанию.
И таких недоменеджеров все ещё большинство на постсоветском пространстве. Почему именно тут, скажите пожалуйста?
Девайс ломается здесь по вине пользователя (треснул экран).
Что делает амазон — меняет девайс бесплатно и берет на себя все расходы по доставкам в обе стороны.
Что делает вКонтакте? Морозится как мелкий жулик, делает вид что никаких договоренностей не было.
Человеческий фактор не отменить. Воспитание этого недоменеджера, который так себя ведет позорит всю компанию.
И таких недоменеджеров все ещё большинство на постсоветском пространстве. Почему именно тут, скажите пожалуйста?
0
Потому что нельзя делать выводы на выборке из двух элементов. Выше я приводил пример с американским Старбаксом, который повёл себя куда хуже, чем Вконтакте в аналогичной ситуации — пригрозил уголовным преследованием за найденную уязвимость. Старбакс не на постсоветском пространстве находится, так что ваше правило не срабатывает.
Если говорить про ритейл, могу привести пример, как мне М-Видео скидку в 50% выписало за то, что у товара на чеке не тот ценник был указан. Дело было в Москве, вполне себе на постсоветском пространстве.
Если говорить про ритейл, могу привести пример, как мне М-Видео скидку в 50% выписало за то, что у товара на чеке не тот ценник был указан. Дело было в Москве, вполне себе на постсоветском пространстве.
0
«ВКонтакте» не платит пользователям за найденные уязвимости
+4
А теперь давайте сроки согласования данной штуки?
+4
Шутка про то, что ВК вместо денег даёт шоколадки «Баунти». Просто другие обычно указывают сумму.
+31
Мораль сей басни такова — не надо никуда обращаться, надо сразу статью на Хабре писать про уязвимость)
+23
Так говорили же в той теме, что о баге было заявлено до старта HackerOne.
Это что, если следуя логике автора Вконтакте должен сейчас выплатить всем, кто за все эти 10+лет сообщил о баге? У них конечно бюджет позволит это сделать, но найти информацию «кто первый это узнал» действительно сложно, используя только открытые источники, ведь действительно не было еще формы «сообщаю о баге первым»
Лично я считаю это стандартной практикой, когда ты сначала закрываешь кучу своих багов, всё проверяешь и вроде всё работает правильно, и когда уже ТЫ САМ(тестеры) не можешь найти ошибки, то запускаешь программу баунти-ревардов, чтобы найти другие ошибки.
Это что, если следуя логике автора Вконтакте должен сейчас выплатить всем, кто за все эти 10+лет сообщил о баге? У них конечно бюджет позволит это сделать, но найти информацию «кто первый это узнал» действительно сложно, используя только открытые источники, ведь действительно не было еще формы «сообщаю о баге первым»
Лично я считаю это стандартной практикой, когда ты сначала закрываешь кучу своих багов, всё проверяешь и вроде всё работает правильно, и когда уже ТЫ САМ(тестеры) не можешь найти ошибки, то запускаешь программу баунти-ревардов, чтобы найти другие ошибки.
+10
Школота негодует.
-17
Техподдержка сидит на аутсорсе, иногда из дома. Поэтому с ними вести переговоры об уязвимостях бесполезно…
+7
Да, вк очень не оперативно реагирует на баги. В API есть серьёзный баг с данными, они отдаются неправильно вообще!
Запостил в саппорт 23 мая 2015 в 16:26, после немного глупых вопросов с периодичностью ответа раз в неделю.
17 июн 2015 в 11:24 баг подтвердили и на этом история пока закончилась…
Запостил в саппорт 23 мая 2015 в 16:26, после немного глупых вопросов с периодичностью ответа раз в неделю.
17 июн 2015 в 11:24 баг подтвердили и на этом история пока закончилась…
0
А что за баг? Можете скинуть ссылку на него?
0
Ссылки нет, это переписка с саппортом. Суть бага не секрет, т.к. это видимо ошибка агрегаций:
Проблема с методом stats.get дублирование day с разными данными.
Через excute выполняется запрос вида:
Ответ: gist.github.com/intech/26fea833759bb9206868
Смотрите даты, они дублируются, но содержат разные данные:
2015-05-10
2015-04-27
2015-04-25
2015-04-18
Проблема с методом stats.get дублирование day с разными данными.
Через excute выполняется запрос вида:
var info = API.groups.getById({"group_id":"itg34","fields":"place,members_count,counters,start_date,finish_date,activity,contacts,verified,site"})[0]; return { info: info, stats: API.stats.get({"group_id":info.id,"date_from":"2015-03-23","date_to":"2015-05-22"}) };
Ответ: gist.github.com/intech/26fea833759bb9206868
Смотрите даты, они дублируются, но содержат разные данные:
2015-05-10
2015-04-27
2015-04-25
2015-04-18
+1
Sign up to leave a comment.
«ВКонтакте» не платит пользователям за найденные уязвимости