Поисковые машины и технологии → Безликость страниц с результатами поиска поисковых гигантов
Поисковых систем хоть и не много, но они есть, и они конкурируют за аудиторию. Не так давно Яндекс предложил обновленную страницу с результатами поиска, где поисковая строка запроса при прокрутке прилипала к верхнему краю окна браузера. Меня озадачил обновленный интерфейс отсутствием индивидуальности поисковой системы. Когда пользователь начинает прокручивать страницу, пропадает информация о том, где пользователь находится, нет ни логотипа, не корпоративных цветов. Предлагаю сравнить удобство страниц с результатами поиска различных поисковых систем, кто из поисковиков забоится о своих пользователях, и дорожит корпоративным стилем.
Информационная безопасность → Множественные CSRF уязвимости в крупнейших порталах Рунета из песочницы
Простите мне заголовок в стиле Securitylab, но факт остается фактом.
Сначала я планировал написать о CSRF уязвимостях, которые я нашел в одном из крупнейших порталов Рунета. Но оказалось, что этим уязвимостям подвержен не только этот портал, а большинство крупнейших ресурсов. О найденных проблемах я сообщил в соответствующие компании полтора месяца назад. Сейчас у меня снова появилось время и я посмотрел, что же уже закрыто. Оказалось, что за полтора месяца была закрыта только 1 уязвимость.
Т.к. уязвимости ещё рабочие, я напишу только где их нашёл и как их можно использовать. Через неделю обещаю выложить работающие примеры для чайников — чтобы воспользоваться смогли школьники и домохозяйки. Кто не спрятался — я не виноват.
Нагнетаю интригу: я искал уязвимости в Яндексе, Рамблере, Mail.ru, Вконтакте, ЖЖ и на других популярных ресурсах. Если не терпится узнать где и какие уязвимости я нашел — сразу переходите к разделу «Список уязвимостей».
Для понимания обнаруженных уязвимостей понадобятся хотя бы базовые знания о том, что такое CSRF. Если их нет — не расстраивайтесь, ниже я попробовал доступно это объснить (правда, по-моему, не получилось). Если вы и так в курсе, что это такое, или же наоборот, не собираетесь в этом разбираться — смело переходите к результатам моего поверхностного аудита.
Для начала имеет смысл почитать Википедию. Если читать по-английски лень (на русском языке в Википедии почти ничего по теме нет, на Хабре тема освещена чрезвычайно слабо), а узнать что-нибудь хочется, то вот краткоесодержание предыдущих серий описание этой уязвимости.
UPD: главный разработчие Liveinternet.ru не верит в существование CSRF. Раскрываю его уязвимости раньше обещанной недели. Здесь пример использования. Будьте внимательны, если у вас есть аккаунт в LiRu.
UPD 2: Работа уязвимости продемонстрирована, пример пока убрал.
UPD 3: Неделя прошла. Выкладываю работающие/работавшие примеры. Времени мало, поэтому пока не проверяю, что работает, а что нет. Буду признателен, если отпишете об этом в комментариях. Все вопросы, пожелания, предложения — в ответах к этому комментарию.
Рамблер, Mail.Ru, Liveinternet, Яндекс
Сначала я планировал написать о CSRF уязвимостях, которые я нашел в одном из крупнейших порталов Рунета. Но оказалось, что этим уязвимостям подвержен не только этот портал, а большинство крупнейших ресурсов. О найденных проблемах я сообщил в соответствующие компании полтора месяца назад. Сейчас у меня снова появилось время и я посмотрел, что же уже закрыто. Оказалось, что за полтора месяца была закрыта только 1 уязвимость.
Т.к. уязвимости ещё рабочие, я напишу только где их нашёл и как их можно использовать. Через неделю обещаю выложить работающие примеры для чайников — чтобы воспользоваться смогли школьники и домохозяйки. Кто не спрятался — я не виноват.
Нагнетаю интригу: я искал уязвимости в Яндексе, Рамблере, Mail.ru, Вконтакте, ЖЖ и на других популярных ресурсах. Если не терпится узнать где и какие уязвимости я нашел — сразу переходите к разделу «Список уязвимостей».
Для понимания обнаруженных уязвимостей понадобятся хотя бы базовые знания о том, что такое CSRF. Если их нет — не расстраивайтесь, ниже я попробовал доступно это объснить (правда, по-моему, не получилось). Если вы и так в курсе, что это такое, или же наоборот, не собираетесь в этом разбираться — смело переходите к результатам моего поверхностного аудита.
Для начала имеет смысл почитать Википедию. Если читать по-английски лень (на русском языке в Википедии почти ничего по теме нет, на Хабре тема освещена чрезвычайно слабо), а узнать что-нибудь хочется, то вот краткое
UPD 2: Работа уязвимости продемонстрирована, пример пока убрал.
UPD 3: Неделя прошла. Выкладываю работающие/работавшие примеры. Времени мало, поэтому пока не проверяю, что работает, а что нет. Буду признателен, если отпишете об этом в комментариях. Все вопросы, пожелания, предложения — в ответах к этому комментарию.
Рамблер, Mail.Ru, Liveinternet, Яндекс
Спам (и антиспам) → Система фильтрации спама Rspamd из песочницы
Система Rspamd разрабатывается как основная система фильтрации спама в Рамблер-Почте. Однако же, изначально я планировал сделать систему, которая бы не уступала по возможностям, гибкости и качеству работы Spamassassin'а, однако была бы лишена основных его недостатков: чрезмерного использования регулярных выражений, слабой оптимизацией и общей задумчивостью работы, а также сравнительно неточной статистикой. Так созрела идея rspamd — системы, ядро которой было бы оптимизированно для фильтрации большого потока писем, которая была бы легко расширяема и использовала бы более совершенные алгоритмы статистики. Ядро rspamd написано на Си и использует событийную модель обработки сообщений (основанную на libevent). Расширяется rspamd путем написания плагинов и правил на языке lua. Сам проект с самого основания был Open Source (под BSD лицензией) и сейчас расположен на bitbucket.
Подкасты → «Рунет сегодня», 25 июля 2011 года. Эксперты выпуска: Антон Носик, Мария Черницкая
В студии «Финам FM» — cтартап-менеджер Антон Носик и генеральный директор агентства контекстной рекламы iConText Мария Черницкая. Вместе с ведущим, Максимом Спиридоновым, они анализируют наиболее значимые действия главных, по оценке редакции программы, компаний-ньюсмейкеров Рунета за первые полгода. Это «Яндекс», «Rambler — Афиша», Mail.ru Group, «ВКонтакте», Facebook и Google.
прослушан 634 раза
Подкасты → «Рунет сегодня», 27 июня 2011 года. Эксперты выпуска: Сергей Котырев, Николай Турубар
В студии «Финам FM» — главный редактор издания Nomobile.ru Николай Турубар и генеральный директор компании Umisoft Сергей Котырев. Вместе с ведущим, Максимом Спиридоновым, они обсуждают уход русского подразделения «Немецкой волны» из радиовещания в цифровое пространство, предварительную информацию по открытию регистрации доменов первого уровня, совпадающих с названиями компаний, оценку количественных показателей Рунета профильным министерством, предполагаемое изменение планов Юрия Мильнера относительно инвестиций в российские стартапы, запуск социальной торговой площадки «Главмаркет» в «Одноклассниках» и переход «Рамблера» на поисковый движок «Яндекса».
прослушан 291 раз
Perl → Yet Another Perl Podcast #7: Интервью с Алексеем Капрановым
В гостях у YAPP Алексей Капранов (kappa) — perl-гуру, cpan-автор, адепт метода такахаси, стартапер.
В выпуске участвовали santeri и kappa
[RSS | лента на rpod.ru | twitter]
В выпуске участвовали santeri и kappa
[RSS | лента на rpod.ru | twitter]
прослушан 115 раз
ASP.NET MVC → OpenID, OAuth и другие плюшки
Зачем нужен OpenID
Вот бывает так, заходишь на сайт любимый, а там ссылка на другой сайт, а там статья ну очень интересная и главное – полезная – и хочется добавить комментарий, типа «Молодцы!» и чтобы добавить комментарий, нужно зарегистрироваться, а чтобы зарегистрироваться нужно ввести «Имя», «Фамилия», «Логин», «Email», «Email еще раз», «Пароль», «Снова Пароль», «Прочитал правила и согласен со всем что тут будет происходить» и «Капчу». И жмакаешь «Зарегистрироваться», а тут бац – «Логин» — занят, и поля «Пароль», «Снова Пароль», «Капча» — стерты. Ну вот так. Вводишь другой свой логин (который второй, и не главный и не любимый) и снова пароль, снова снова пароль (постите) и капчу, и бац – всё ок, только забыл снова поставить галку «Прочитал правила...». Ну ладно, прошел еще раз круги ада, на мыло вышло письмо, активировал аккаунт, так, а где там была статья, да и ну их, не молодцы они, ну т.е. молодцы ну и хрен с этим, знают и так.
Проведите эксперимент, в вашей любимой почте сделайте поиск по слову «activate» — вот примерно столько вы регистрировались на сайтах.
А с другой стороны думаешь, а давайте упростим, и делаешь простое добавление комментария: «Имя», «Email», «Сообщение» — причем «Email» можно не вводить. Через 3 месяца заходишь, а там – СПАМ! Ладно, почистил – и ноль эффекта, спам продолжает, добавил капчу – ну вроде ок, но потом снова как-то они ее обходят. И внимание(!) – вводим регистрацию… Ой!
Но есть (УРА!) – OpenID.
Блог компании GreenfieldProject → #poSEEDelki в декабре: идеи, мотивация, инвестиции
Отгремел двухдневный и многолюдный Harvest, и мы возвращаемся к более «камерным» форматам – неформальным встречам предпринимателей #poSEEDelki, где всегда выступают интересные докладчики, а люди могут вынести на обсуждение свои бизнес-идеи. В декабре пройдут два таких события: 1-го числа в новом офисе Rambler Дмитрий Степанов расскажет о выборе инвестора стартапом, а 13-го мы вновь поедем в Сколково.Начало зимы мы отметим в новом офисе Rambler/Афиши. Когда мы делали встречу в Яндексе, Григорий Бакунов назвал Rambler «умирающим». И мы хотим сами оценить, насколько он далек от правды.
Блог компании GreenfieldProject → Встреча poSEEDelki в Яндексе
10 ноября впервые в московском офисе компании «Яндекс» прошли #poSEEDelki – неформальная встреча предпринимателей, организуемая компанией GreenfieldProject, на которой представители «Яндекса» рассказали, как им удалось сохранить в крупной компании присущий стартапам дух творчества, и приоткрыли некоторые подробности внутренней кухни. А на традиционном обсуждении новых бизнес-идей от участников были представлены сразу семь проектов.