| 1.4, Аноним (4), 22:17, 06/11/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +5 +/– |
Надеюсь что все подобные счетчики яростно режутся uBlock'ом из коробки
| | |
| 1.5, Аноним (5), 22:22, 06/11/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +6 +/– |
Следующий уровень атаки - взлом Cloudflare? А впрочем даже если их всех взломают, макакам впрок не пойдёт и они продолжат подгружать говно с CDN без проверки хеша.
| | |
| |
| 2.14, Аноним (14), 01:19, 07/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
Флаг в руки "легко" разобраться с инфраструктурой типа CloudFlare.
| | |
| |
| 3.19, кульхаксор (?), 09:58, 07/11/2018 [^] [^^] [^^^] [ответить]
| +1 +/– | |
а зачем мне разбираться? Мне ж надо одну-единственную дырку найти, а не детально разобраться в технологии. А это делается совсем-совсем с другого конца.
| | |
| |
| 4.39, Всем Анонимам Аноним (?), 17:14, 08/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
Вы сравниваете с домашним сервером или мелким. Например, некоторые команды, которые Вы думаете только показывают данные, могут сломать вещи. Я уж молчу про вопрос где хранятся конфиги, как они обновляются (скорее всего в несколько стадий) и т.п.
| | |
|
| 3.30, Аноним (30), 17:08, 07/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
Большинство обменников работают через cloudflare, который митмит весь трафик (https шифруется до него и потом снова от него до сайта, для cf все прозрачно). Один недобросовестный сотрудник cf может положить весь рынок криптовалют.
| | |
| |
| 4.41, Всем Анонимам Аноним (?), 17:16, 08/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
Скорее всего top 10000 сайтов таки или иначе используют CDN, включая банки. Для этого CDN имеют PCI сертификвцию. Она хоть как-то сдерживает девелоперов, для которых слово безопасность нет в лексиконе.
| | |
|
|
|
| 1.6, Аноним (6), 22:23, 06/11/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +18 +/– | |
Привет сбербанку, который в online-банке использовал/использует счётчики от Google, Yandex и каких-то левых контор.
https://www.sberbank.com/ru/personal_policy
"в т.ч. с использованием метрических программ Яндекс.Метрика, Google Analytics, Firebas Google, Tune, Amplitude, Сегменто"
| | |
| |
| 2.7, Аноним84701 (ok), 22:51, 06/11/2018 [^] [^^] [^^^] [ответить]
| +2 +/– |
 > Привет сбербанку, который в online-банке использовал/использует счётчики от Google, Yandex
> и каких-то левых контор.
Ну дык, тут с одной стороны есть риск, что взломают вас (чисто технически) на вашем-же локалхосте – от чего ответственному манагеру ни холодно ни жарко, особенно когда можно отлично отбрехаться или (с минимальными потерями) назначить козла отпущения.
А вот с другой – есть возможность прямо здесь и сейчас собрать аналитику и сделать на этом денюжку малую на посещение красавиц (или красавцев) элитных. Кто же тут долго раздумывать будет?
| | |
| 2.9, Гентушник (ok), 00:09, 07/11/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
 Тоже охренел когда такую подставу обнаружил. Писал им в саппорт, но они это за потенциальную уязвимость не считают.
Хорошо хоть ublock зарезал все эти счётчики.
| | |
| |
| |
| 4.35, Гентушник (ok), 07:18, 08/11/2018 [^] [^^] [^^^] [ответить]
| +/– | |
> Ты сам вносил? Можно конфиг?
Я сам не вносил. Счётчики зарезали статические фильтры из вот этих вот подписок:
EasyList
EasyPrivacy
RUS: RU AdList
Peter Lowe’s Ad and tracking server list
А вообще, помимо вышесказанных подписок я использую правило динамической фильтрации
* * 3p-script block
Которое блочит все сторонние (по отношению к текущему домену) скрипты и всякие такие счётчики режутся ещё до применения статических фильтров.
Минус - половина сайтов ломается и приходится ставить
example.com * 3p-script noop
(правило ставится мышкой из меню ublock origin)
Ставить лучше именно noop а не allow, чтобы статические фильтры срабатывали.
| | |
| |
| 5.37, Урри (?), 14:48, 08/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Которое блочит все сторонние (по отношению к текущему домену) скрипты
> Минус - половина сайтов ломается и приходится ставить
С этой работой отлично справляется uMatrix. И "поломанные" сайты фиксятся двумя кликами мышки, без ручного внесение записей в список.
| | |
| |
| 6.40, Гентушник (ok), 17:14, 08/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
> С этой работой отлично справляется uMatrix. И "поломанные" сайты фиксятся двумя кликами
> мышки, без ручного внесение записей в список.
В Ublock Origin это делается точно так же :)
Там интерфейс почти одинаковый, разработчик ведь тот же.
| | |
|
|
|
|
| 2.20, нах (?), 10:06, 07/11/2018 [^] [^^] [^^^] [ответить]
| +2 +/– | |
хха, он там не счетчики использует, он там куда более интересные штуки использует - яндексу сливаются поля форм! То есть все, что не скринится явно - имена-отчества которые банки так любят "для предупреждения подмены сообщений", адреса, телефоны, местами куски номеров счетов.
ну а что вы хотите, им же нннннадо! (аж в жееппе свербит как надо) знать что за кнопки и в каком порядке вы нажимали, а скромный сбербанк, владелец двух десятков многоэтажных ни разу ни для клиентов предназначенных зданий в одной только Москве, где сидит с пол-миллиона офисных рабов, прикованных к мониторам - конечно же не может выделить собственных разработчиков подобных средств, это нестильно, немодно и не молодежно.
то есть там даже не нужно ломать яндекс или гугль, там достаточно подсунуть порно-линк эффективному менеджеру, взявшему работу на дом, чтобы он слил тебе пароль от яндексовой учетки. Где все будет в уже удобно обработанном виде, бери и пользуйся, и далеко-далеко от сберовской службы безопасности - если она у них вообще есть и работает, что сомнительно.
| | |
| 2.21, йцукен (??), 10:28, 07/11/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
Еще и карты геолокацию в открытом виде пересылают , покрайне мере сберонлайн, кроме этого сучится на касперовские сервера раскинутые по миру 443 1443 порта, что он там передает кто знает .
| | |
| 2.22, qwerty (??), 11:28, 07/11/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
А учитывая тот список разрешение на IOS/android в совокупности с касперским, следует пологать что после установки СбербанкОнлайн, Спербанк имеет все наши данные, фото, видео, геолокацию, переписку итд., и не нужно никаких счетвиков и прочего говна, достаточно установить сберокасперский ТРОЯН.
| | |
| |
| 3.29, нах (?), 15:29, 07/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
наивняк! В том и дело что их имеет не сбербанк, а все кто его имеет - от касперского до гугля.
ну и все кто поимели акаунты конкретных дубоголовых манагеров этого самого сбера.
| | |
| |
| 4.31, Аноним (31), 17:15, 07/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
> наивняк! В том и дело что их имеет не сбербанк, а все
> кто его имеет - от касперского до гугля.
> ну и все кто поимели акаунты конкретных дубоголовых манагеров этого самого сбера.
Ну, здесь имеется и некоторый положительный момент (для кого? ;)
Теперь сбербанк, когда вдруг может быть рак на горе свистнет, может сделать удивленное лицо, ковыряться в носу и пускать слюну говоря, что он то здесь ни при чем :(
Это все они, они и они...
| | |
| |
| 5.38, нах (?), 17:03, 08/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Теперь сбербанк, когда вдруг может быть рак на горе свистнет, может сделать удивленное лицо,
> ковыряться в носу и пускать слюну говоря, что он то здесь ни при чем :(
ты все еще слишком хорошего о них мнения, на самом деле - вот как надо:
https://www.rbc.ru/society/17/07/2018/5b4d0ed19a79475894dff274
утекли сканы паспортов? "Информация по этим ссылкам не содержит персональных данных клиентов Сбербанка и не несет для них никакого риска. Банк и его клиенты надежно защищены".
| | |
|
|
|
|
| 1.10, Анонимуз (?), 00:30, 07/11/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Варюсь в криптотеме и могу с полной уверенностью заявить, что 99% "взломов" криптобирж - это простое решение админа забрать все деньги и уехать в Рио-де-Жанейро, не более.
| | |
| 1.12, Аноним (12), 00:40, 07/11/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +/– | |
Вот тут все восхваляют uBlock, а недавний пример с mega.nz показал, что расширения тоже могут протроянить вне зависимости от репутации.
Кто не знает, в фаерфоксе отлично работают списки блокировки от disconnect. Включать в настройках приватности.
Да, рекламу на Ютубе не режет, но это все же на 1 потенциально скомпрометированный источник кода меньше.
| | |
| |
| 2.13, Crazy Alex (ok), 01:09, 07/11/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
 ну да, только функциональность несравнима. Тогда логичный следующий шаг - links
| | |
| 2.25, Аноним (25), 14:00, 07/11/2018 [^] [^^] [^^^] [ответить]
| +2 +/– | |
>недавний пример с mega.nz показал
щас бы не отключать на три буквы "автоматическое обновление" с функцией "автоматической загрузки троянов"
| | |
|
| 1.15, Аноним (15), 02:59, 07/11/2018 [ответить] [﹢﹢﹢] [ · · · ]
| +1 +/– |
Тут любопытно то, что в службе статистики, много лет вравшей нам про долю IE, работают люди, компетентные настолько, что не могут мгновенно закрыть очевидную уязвимость.
| | |
| 1.17, Нанобот (ok), 08:04, 07/11/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –2 +/– |
 кто нибудь в курсе, можно ли запретить такому скрипту лазить по странице и менять её содержимое? может запускать его в iframe и подключать его как-то по особому?
| | |
| |
| 2.26, Аноним (26), 14:38, 07/11/2018 [^] [^^] [^^^] [ответить]
| +1 +/– |
Ты чо, виртуальных фантиков умным людям с техническим складом ума на пиво пожалел? Жадина!
| | |
| |
| 3.27, Нанобот (ok), 14:49, 07/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
> Ты чо, виртуальных фантиков умным людям с техническим складом ума на пиво
> пожалел? Жадина!
т.е. ты не знаешь? и пытаешься перевести разговор на тему моих личных качеств. ок, пнх.
| | |
|
| 2.36, Гентушник (ok), 07:27, 08/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
> кто нибудь в курсе, можно ли запретить такому скрипту лазить по странице
> и менять её содержимое? может запускать его в iframe и подключать
> его как-то по особому?
Можно его просто не запускать. Для блокировки есть множество разных расширений, например ublock origin.
| | |
| |
| 3.42, Нанобот (ok), 20:31, 09/11/2018 [^] [^^] [^^^] [ответить]
| –1 +/– |
>> кто нибудь в курсе, можно ли запретить такому скрипту лазить по странице
>> и менять её содержимое? может запускать его в iframe и подключать
>> его как-то по особому?
> Можно его просто не запускать. Для блокировки есть множество разных расширений, например
> ublock origin.
да я вобщем-то про серверную сторону спрашивал...может ли разработчик сайта прикрутить счётчик так, чтоб счётчик не мог делать ничего, кроме подсчёта посетителей?
| | |
| |
| 4.43, пох (?), 22:27, 09/11/2018 [^] [^^] [^^^] [ответить]
| +/– | |
может - если он и правда разработчик, нарисовать собственный счетчик для никому ненужного сайта, с кодом, располагающимся внутри самого сайта, не должно представлять для него ни малейшей проблемы.
хотя обычно для "собственных сайтов" и этого не требуется (случаи неудержимого желания подглядывать за индивидуальными движениями мыши пользователя оставим отдельно), есть логи и есть их анализаторы. К сожалению, эффективные менеджеры ничего о них не слышали, да и разработчиков никаких давно нет, есть кодошлепы, ctrlc/ctrlv, и хорошо если из ответа на stackoverflow, а не из вопроса.
| | |
| 4.44, Гентушник (ok), 22:34, 09/11/2018 [^] [^^] [^^^] [ответить]
| +/– |
> да я вобщем-то про серверную сторону спрашивал...может ли разработчик сайта прикрутить
> счётчик так, чтоб счётчик не мог делать ничего, кроме подсчёта посетителей?
Прикрутить какой-нибудь гугель-аналитик чтобы он не шастал куда не надо и не сливал данные гуглю? Вряд ли.
Зато разработчик может развернуть на своём сайте собственную систему аналитики, например piwik.
| | |
|
|
|
| 1.23, Аноним (23), 11:37, 07/11/2018 [ответить] [﹢﹢﹢] [ · · · ]
| –1 +/– |
О content security policy разработчики биржи не слышали, а он бы здесь помог.
| | |
|
