Платформа HackerOne, дающая возможность исследователям безопасности информировать разработчиков о выявлении уязвимостей и получать за это вознаграждения, получила отчёт о собственном взломе. Одному из исследователей удалось получить доступ к учётой записи аналитика по безопасности компании HackerOne, имеющего возможность просмотра закрытых материалов, в том числе со сведениями об ещё не устранённых уязвимостях...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=51977
> в дальнейшем планируют заменить на привязку [сессионных ключей] к устройствам пользователяЭто как ещё?
Так же как гугл фингерпринтит и узнаёт тебя даже в приватной вкладке. Для примера: в приватной вкладке можешь зайти в транслейт; выставить необычное направление перевода; перевести предложение или фразу; закрыть переводчик; закрыть приватную вкладку; закрыть браузер; подождать N минут; открыть вкладку и открыть транслейт; с удивлением обнаружить выставленное ранее направление перевода. У меня это сработало даже на разных профилях в FF на одной и той же виртуалке через день.
У меня без приватной вкладки всё забывает, жутко не удобно. Ты уверен, что это не evercookie какой-нибудь?
Уверен. FF с CanvasBlocker, uBlock, запрещённым Flash и DRM на win8 в виртуалке. За этим IP ещё с десяток таких же машинок (реальных и виртуалок). Пробовал даже с чистым профилем. Запоминает, скотина, хоть ты тресни.
херь какая-то...у меня белый статический айпишник и даже с ним нефига не запоминает...
отключи 3rd party cookies и почисти все что у тебя сейчас есть
момент интересный - требует исследования
>FF с CanvasBlocker, uBlock, запрещённым Flash и DRM на win8 в виртуалке.есть 50 млн пользователей стокового FF на стоковой винде и есть несколько тысяч пользователей (если привязать это к IP, сразу станут единицы) с CanvasBlocker, uBlock, запрещённым Flash и DRM на win8 в виртуалке. Интересно, как же он тебя определил...
> единицы) с CanvasBlocker, uBlock, запрещённым Flash и DRM на win8 в виртуалке. Интересно, как же он тебя определил...Ага, совсем никакого намёка на ответ :D
>У меня это сработало даже на разных профилях в FF на одной и той же виртуалке через день.Это очень странно. Не имеет смысла использовать фингерпринтинг для пугания пользователя такими трюками.
а это и не совсем фингерпринтинг.. это весьма дешёвый трюк определяющий всех анонимов с определённой подсети как одного пользователя.. когда все анонимы подсети оказываются одним человеком складывается впечатление что мы его как-то запомнили..
нулевой имей
Открыл приватную вкладку, транслейт. Языки: авто - русский.
Переключил русский - хинди, перевел фразу, закрыл приватную вкладку.
Новая вкладка, транслейт. Языки: авто - русский.
ФФ, АдБлок, Убунту.
Ищите проблему на вашей стороне.Вот на айпаде мне Гугль в тамошнем КакБыХроме запоминал каждый запрос к Гуглю и потом выводил его в подсказку, это да. Даже если запрос был сделан в приватном окошке.
Не сработало. Даже без закрытия браузера всё равно не запомнил выбранные языки (испанский - английский).
Метаданные из свойств браузера с привязкой к IP.
элементарно хранить дополнительный ключик в localStorage
берем какую-нибудь производную от него и от пришедшего в хидерах nonce
и шлем в хидерах обратно
варианта дофига.. главное не лажануть с реализацией
Пожарный поезд сгорел.
В ситуации нет ничего необычного. Nobody's perfect. No silver bullet.
Эксперты просто могут профессиональнее обнаружить и исправить косяки.
В том числе и свои собственные.
хорошо что он эту сессию какому то ламеру отправил а не куда то где бы оно реально пригодилось)
> какому то ламеруПодгорает, что получил двадцатку тысяч не ты, а кто-то дургой?
ты не понял о чем я просто наверное, я про ситуацию говарю, мне вобще фиолетово на эти двацатки считай мало иннтересно
Наоборот, так не интересно. Хотя о других ситуациях мы бы вряд ли узнали.
так откупились за 20000. Дёшево. И, конечно, никак не проверить, что раньше не пересылалось подобное. "Утверждают", ну-ну.
Менеджеры в банках миллионы бонусом получают. А тут столько на кону стояло, а бонус - копейки.
У кидди чуть не случился большой праздник. Почти фестиваль)Будь этот "исследователь" слегка менее принципиальным и порядочным, и кому-то бы настал большой кирдык. Внезапно. Например, Пентагону, который значится среди /постоянных?/ клиентов)) Ну, и ХакерВан уж точно получил бы апперкот по репутации.
> слегка менее принципиальным и порядочным... А не в этом ли суть, быть порядочным и принципиальным? Я рад, что так получилось, это правильное поведение.
Трусость, из которой человек придумал вежливость, нужна только для того, чтобы люди друг друга не поубивали. Если нет угрозы жизни - незачем быть порядочным и принципиальным
> нет угрозы жизни - незачем быть порядочным и принципиальнымпсихология гопника в одном предложении.
На самом деле есть достаточно причин, чтобы быть порядочным и принципиальным, первая из которых - не чувствовать постоянную угрозу жизни среди себе подобных.
> психология гопника в одном предложении.Антрополог Дробышевский утверждает, что наш общий предок был более похож на человека, чем на обезьяну. В частности, почти не имел выделяющихся клыков и вел себя не агрессивно.
Вывод: неагрессивность - признак человека. "Гопническое" поведение - признак обезьяны.
> был более похож на человека, чем на обезьяну.Внешне да.
> В частности, почти не имел выделяющихся клыков и вел себя не агрессивно.Это не помешало нашим предкам съесть всех мамонтов и усторить геноцид неандертальцам.
> Вывод: неагрессивность - признак человека. "Гопническое" поведение - признак обезьяны.Вывод неверный. На самом деле агрессивность/неагрессивность (тварь ли я дрожащая или...) зависит не от породы обезьяны, а от количества тестостерона, полученного в пренатальном/пуберантном периоде.
В фидошные времена была популярна теория рангов Протопопова. Вкратце, поведение [генетически детерминированное] зависит от двух параметров: ранг и примативность. Ранг(тестостерон) определяет как высоко особь может/хочет забраться по социальному древу, а примАтивность (близость к предкам-приматам) - способность критически анализировать своё поведение и не поддаваться на инстиктивные позывы залезть повыше, туда, где светлее и удобнее кидаться экскрементами в лузеров на нижних ветках.
>> нет угрозы жизни - незачем быть порядочным и принципиальным
> психология гопника в одном предложении.
> На самом деле есть достаточно причин, чтобы быть порядочным и принципиальным, первая
> из которых - не чувствовать постоянную угрозу жизни среди себе подобных.Психология интеллигента в одном предложении. А между тем, только винтовка рождает власть, и только те, кто не бояться грабить банки, становятся царями всея Руси.
Малшик, ты можешь себе воображать все что угодно, но если ты не знаешь что делать, - ты стоишь на месте. А некоторые из тех, кого ты обозвал "гопники", они, на твоем месте, делают шаг вперед.... и становятся царями. И делают Революции. И кроят Историю. А ты в это время будешь сидеть и скулить: "Варвара, волчица....", и думать "А может все так и надо? И великое предназначение интеллигенции...." В этом между вами разница.
> Малшик, ты можешь себе воображать все что угоднону ну ну, зачем так в позу вставать. Я уже понял что ты - "пролетарий".
Я не интеллигент, а скорее буржуин со своей компанией за бугром.> и становятся царями. И делают Революции. И кроят Историю
Кстати, об царях и истории: https://www.bitchute.com/video/9NDTj4oHPHKe/
Для того, чтобы "кроить историю" не нужно обладать высокими моральными качествами,
а вот для того, чтобы построить цивилизацию - пожалуй.Впрочем, оставайтесь пожалуйста при своём мнении, оно очень важно для нас.
Что это за высер про царей и историю? Сиди за бугром и не вякай, спинку потри своим новым царям. Буржуин он хах, бабуин ты эффенди. Чем же занимается твоя бабунская компани? Ролики про историю делает, так держать, оставайся при своем мнении, нам не него пофиг.
Гопнек не гопнек,но не раз замечал людей которым в кайф трахать мозг другим культурным людям. А именно злоупотреблять доверием, нависать, итд-итп, вот все такие на будте любезны, спасибо-пожалуйста, а по факту эти хитрожопые финтифлюшки сами гопники и есть, насилие это не только: Э, слы ты!сюда быра!ща в глаз! Таким только обозначишь что способен послать, сразу масочки свои кислые скидывают и под корягу недовольно квакать, типа фи как никультурна, а тут же просто не прокатило..
Гопники - лишь яркий пример слабого умственного развития, есть и другие примеры, когда люди не понимают, что заботиться о тех, кто рядом выгоднее, чем вытирать о них ноги и однажды проснуться с ножом в спине.
Есть конечно нюансы... но в целом.... в целом, не поспоришь!
>атака
>сами потеряли куку
>атакалюди, да что с вами не так?
> сами допустили переполнение буфера
> сами не поставили автоматчиков у дверей
> сами родилисьвсё так
Лол, HackerOne не может даже XSRF защиту реализовать. Во всех нормальных веб-фреймворках есть.
> нормальных веб-фреймворкахна стенку себе повешу
На его месте должен быть я!
Лол. Сапожник в сапогах, но сапоги без подошвы.
"Хакер и солонка", бесконечная франшиза
очередная победа вэб-технологий
20K и звание "исследователя" - чтобы тот не побежал раздавать увиденные "5%" на хакерских форумах? :)Такой себе "взлом". :-/
> реализована привязка сессионного ключа к IP-адресуНу блин...
> В дальнейшем привязку к IP планируют заменить на привязку к устройствам пользователя, так как привязка к IP неудобна для пользователей с динамически выдаваемыми адресами.
А, ну ок. А то с мобилки и вайфаев всяких подофигеешь перелогиниваться.
Кроче IP - мера временная, по горячим следам. Тада ок.
> реализована привязка сессионного ключа к IP-адресу и фильтрация сессионных ключей и токенов аутентификации в комментариях. В дальнейшем привязку к IP планируют заменить на привязку к устройствам пользователя,Искусственно созданная проблема, для того чтобы снять телеметрию с пользователей.
Не понял что он там консольной утилитой делал на своем сайте? Или там виртуальная мышина для тестов уяхвимостей через http отчеты выплевывает, которые он кописпастил?
Я вот тоже не очень понял, что это за "аналитик", который тестирует какие-то методики взлома в основной браузерной сессии.