God mode ВКонтакте

    В ночь с 20 на 21 марта из-за ошибки в коде все пользователи ВКонтакте на четыре минуты получили служебные права. Мы закончили оценивать потери и отвечаем на злободневные вопросы.

    Что случилось?


    Случился фатально невнимательный merge ветки, в которой переделывали один из внутренних интерфейсов. В результате любой пользователь стал считаться сотрудником. В некоторых случаях — сотрудником со всеми существующими правами.

    У любого модератора есть все эти кнопки?


    Полного комплекта прав, со списком кнопок на весь экран, нет ни у кого. Мы разделяем уровни ответственности (да и работать с таким интерфейсом было бы неудобно).

    Есть люди, которые проверяют заявки на добавление вузов, есть переводчики, есть агенты поддержки и модераторы жалоб — у каждого отдела свой набор полномочий. Доступ к правам любого уровня сотрудник получает после подписания NDA. Все без исключения действия логируются. За применение магии вне Хогвартса предусмотрен огромный штраф (и перспектива судебного разбирательства).

    Кто-то в ВК смотрит мои приватные фотографии и читает переписку?


    Нет таких прав, которые позволили бы администратору в личных целях посмотреть Вашу приватную фотографию или прочитать сообщение. В природе не существует людей, абсолютно равнодушных к подобным соблазнам. Мы предпочитаем не проверять своих сотрудников на прочность, поэтому такой возможности нет даже в теории. Кроме того, действия с правами видны всем коллегам — забанить тайком соседа-скандалиста тоже не выйдет.

    Есть автоматика для удаления разного рода спама из любых разделов сайта, включая рассылки в личных сообщениях. Это сложная система, которую в режиме 24/7 корректируют наши аналитики. Она напоминает фильтр нецензурных выражений, который есть на любом приличном форуме, только всё гораздо мощнее и в реалтайме адаптируется под тренды спамеров.

    Ещё есть отдельные жалобы самих пользователей на любой доступный им контент. Если Вы прислали другу фишинговую ссылку, а друг на неё пожаловался, модератор увидит сообщение с этой ссылкой в жалобе. И только его. Более того, невозможно предугадать, к кому из модераторов оно попадёт: жалобы распределяются рандомно среди десятка сотрудников на смене.

    Примерно так же дело обстоит с приватными фотографиями — кнопка со страшным названием «Открыть приватные фото» работает только с точной ссылкой, которую предоставляет сам владелец фотографии (например, для восстановления доступа к аккаунту, попросив ссылку у друга, который видит скрытый альбом) или автор жалобы на пресловутое детское порно. Сотрудник не может открыть таким способом произвольный снимок с хоть какой-нибудь приватностью.

    Что сделали пользователи с правами


    Как Вы помните, все действия с правами логируются. Отчасти из-за этого вакханалия продлилась всего четыре минуты — логи удивились такому количеству новых сотрудников, и сайт лёг.

    За эти долгие 240 секунд новоиспечённые администраторы успели немало:
    • удалить с десяток сообществ и постов, один профиль, несколько фотографий и видеозаписей;
    • заблокировать одно приложение;
    • пополнить рекламный бюджет четырёх кабинетов;
    • загрузить картинку с кроликами в FAQ Поддержки;
    • почитать мануал спам-аналитиков (мы получили несколько просьб рассмотреть кандидатуру на эту должность);
    • заложить несколько новых городов в географической базе;
    • создать кучу репортов в публичном баг-трекере и проставить им статусы (этот раздел всё ещё закрыт для наведения порядка, ему досталось больше остальных).

    Чего не сделали пользователи с правами


    Не изучали персональные данные других людей. Дополнительные проверки доступа к sensitive data работали, и посмотреть чужой IP-адрес или номер телефона никто не смог.

    Что сделали мы


    Откатились и начали изучать логи. Предстояло понять главное — была ли утечка персональных данных. Мы не могли проверить это мгновенно, поэтому запустили уничтожение автоматикой всех подряд скриншотов интерфейса, чтобы сдержать возможный слив sensitive data.

    Как только стало достоверно известно, что утечки нет, выпиливание скриншотов остановили.

    Вернули утраченный контент, проанализировали причины случившегося и спланировали меры защиты от таких ситуаций.

    Чего мы не сделали


    Упустили кое-что очень важное. И хотим сделать это сейчас.

    Мы приносим свои извинения всем пользователям: тем, кого затронула эта ошибка, и тем, кого она теоретически могла затронуть. Всем, кто доверяет нам и использует ВКонтакте как площадку для общения, бизнеса или разработки.

    Эти четыре минуты показали, что нам нужно усовершенствовать процесс деплоя, чтобы минимизировать риск ошибки. И мы уже начали это делать.

    Мы будем двигаться в сторону открытости. О технологиях и внутренней кухне ВКонтакте снаружи известно немного — так было всегда. Вот и в этот раз, когда завеса случайно приоткрылась, возникло множество домыслов на грани теорий заговора. Мы готовы начать говорить о том, что находится за фасадом продукта. И нам действительно есть что рассказать.

    После долгого перерыва снова приветствуем сообщество Хабра в возрождённом блоге ВКонтакте и будем рады обратной связи.
    ВКонтакте 108,08
    Компания
    Поделиться публикацией
    Похожие публикации
    Комментарии 322
    • НЛО прилетело и опубликовало эту надпись здесь
    • –22
      Мало того, up time сайта страдает и часто проблемы то с картинками, то со страницами, то с сообщениями, так вы еще и умудрились случайно раздать такого рода права.

      Ладно если бы это был маленький стартап с 1000 просмотров в неделю и там можно факапиться с функциями сколько влезет и ты ничего не потеряешь, но там и то так не факапятся как вы с миллиардами переходов в день.
      • +42
        «При Дурове такого не было»
      • +2
        > Мало того, up time сайта страдает и часто проблемы то с картинками, то со страницами, то с сообщениями
        Я открою свой вконтакте, с блэкджеком и шлюхами! (с)
      • +26
        уничтожение автоматикой всех подряд скриншотов интерфейса

        О да, автоматика удаляла скриншоты по названию файла(!!!!), было достаточно изменить название взятого с хабра скриншота и вуаля, факсосаити, я хакер и передал таинственный скриншот другу в личке.
        Как же это абсурдно, господи.
        • +2

          А я подумал, что они нейросети натренировали :)

          • +8
            То есть вы в ситуации, когда можно предотвратить 90% распространения потенциально персональной информации, предпочли бы не делать этого по причине «найдутся несколько процентов переименовывающих» и увеличить масштаб проблемы на порядок?

            Или вы форс-мажорных условиях за час на коленке написали бы продвинутый анализ изображения?
            • –1

              Можно было по хэшу хотя бы удалять.

              • +1
                Согласен, что не помешало бы. Но если кто-то так упорно хочет переслать картинку, что принялся искать обход автоматики, предполагаю, что он готов и внести изменения в картинку (и, вполне вероятно, вообще с этого начал). То есть думаю, что какой-то эффект от хэша был бы, но скромный.
                • 0
                  по перцептивному хешу можно) https://habrahabr.ru/post/120562/
                  • 0
                    но время, время… Это же нужно сначала додуматься а потом реализовать и все — в состоянии факапа. Я подозреваю, что если бы была цель удалять и дальше эти скрины, то точно бы прикрутили нормальную систему.
              • 0
                «всех подряд» и «скриншотов с известными названиями из публичных источников» великая разница.
                А продвинутый анализ, ну он итак есть у вконтакта. Удаляют ведь спам картинками. Да и найти на картинке конкретный текст фирменно голубого цвета вк — не нужно нейросеть обучать.

                Вопрос конкретно к публичному объяснению причин удаления этих скриншотов.
                • 0
                  Я бы заблокировал к ним доступ, возможно, до выяснения обстоятельств вообще бы отключил работу с изображениями ( если можно решить проблему быстро).
                  Но зачем удалять? Сейчас бы неплохо вернуть было.
                • 0
                  Ну не знаю, у меня переименованную картинку резало, но после того, как я изменил один пиксель, я тоже стал хакером)
                • +10
                  Shit happens :)
                  • +72
                    Вы же только олимпиадников и всяких там гениев на работу берёте. Неужели решение олимпиадных задач не помогает в деплое? :)
                    • +5
                      Что Вы. Весь этот факап произошел по вине олимпиадников-психологов. Ну, понимаете о чём я ;)
                      </сарказм мод офф>
                      • 0
                        Не в бровь, а в глаз.
                        Прям в самую точку попал!
                        • +2

                          Судя по последним изменениям в js скриптах вконтакта, они сменили разработчиков. Или, как минимум, архитектора.

                          • 0
                            Намекаешь на то, что взяли неолимпиадников? Разве такое возможно?
                            • 0
                              олимпиады тоже разные бывают
                              • 0

                                имеется в виду всероссийская, имхо

                          • 0

                            Мне писали знающие люди, что последние скрипты — просто чем-то запакованы/обфусцированы. Чтобы такое написать самому (и читать) — вот где надо быть гением, это точно. И я сомневаюсь, что кто-то на серьёзных щах кодит в таком стиле, ибо это почти ассемблер уже с точки зрения понятности и читаемости :)

                        • +4
                          Всем, кто доверяет нам

                          А смысл вам доверять? Сегодня что-то случайно, завтра умышленно. Бизнес такой бизнес, особенно с таким количеством данных, да плюс зависимость адуитории.
                          • +6
                            Всем, кто еще доверяет нам
                            • –2

                              Телега лучше, как минимум шифрование есть

                              • +1
                                Насколько я понимаю, шифруется не все подряд, а только секретные чаты, которыми повседневно мало кто пользуется.
                                • –1
                                  Секретные чаты есть только на мобильных приложениях, исходные коды которого как я слышал больше не обновляются.
                                  • 0
                                    Вы хотели сказать:
                                    исходные коды которого как я слышал нигде не были опубликованы в полном объёме.
                                    • 0
                                      Странно, у меня на десктопном клиенте есть secret chats, и вот его исходники: https://github.com/overtake/telegram
                                      • 0
                                        Секретнее некуда, достигли нирваны в коде и нету смысла продолжать обновлять. Просветление кода
                                        sarcasm mode off
                                • +7
                                  > загрузить картинку с кроликами в FAQ Поддержки
                                  Я бы посмотрел на эту картинку с кроликами
                                  • +60
                                    image
                                    • –17
                                      Вы б хотя бы под спойлер убрали, а то так и бан (или у корпоративщиков штраф?) недолго получить
                                      • +3
                                        За то что могли видеть все?
                                        • –4
                                          Вы много чего можете увидеть в самом обычном поисковике. Это же не значит, что следует, скажем, некропорно транслировать где попало, м?
                                          У хабры есть определенные правила, за нарушение которых применяют некие санкции.
                                          • +6
                                            >где попало
                                            Это относится к теме публикации, и не является порнографией. Отличие эротики от порнографии. Мне кажется приемлемо.
                                            • +13
                                              Ханжество, господин, ханжество.
                                              • +2
                                                Настоятельно рекомендую смотреть в толковом словаре значения незнакомых слов.
                                              • +8
                                                Б-же, там же черточка нарисована! А на Хабре сплошь и рядом малые дети, которые женской писи не лизали не видали! Ужс, что деется. Куда смотрит миллиция?
                                                • +5
                                                  Куда смотрит миллиция?

                                                  На черточку, видимо…
                                                  • +1
                                                    Блин, после мессаджа специально пошел черточку искать=))

                                                    Так бы и не заметил=)
                                              • 0

                                                Сами себя высекли? Это правильно.

                                              • +11
                                                Шикарно смотрится подсвеченная кнопка в контексте.
                                            • +9
                                              >Случился фатально невнимательный merge ветки, в которой переделывали один из внутренних интерфейсов.
                                              >Эти четыре минуты показали, что нам нужно усовершенствовать процесс деплоя, чтобы минимизировать риск ошибки.

                                              А почему не отделить физически админку?
                                              • +14

                                                image
                                                А что случилось с тем, кто сделал кривой merge?

                                                • +8
                                                  Много моральной боли и все, я думаю. Факапы у всех случаются.
                                                  • –9
                                                    а, возможно, и боли в денежном эквиваленте, чтобы более внимательным был.
                                                • 0
                                                  кнопка со страшным названием «Открыть приватные фото» работает только с точной ссылкой, которую предоставляет сам владелец фотографии
                                                  я просто не в курсе, а эта ссылка включает guid или что-то подобное, не подбираемое сканом?
                                                  • 0
                                                    Наверное, попап, куда надо ввести ссылку.
                                                    • 0
                                                      Ссылка на фотографию содержит id пользователя (публичная информация) и id фотографии (число, инкремент).
                                                      • +4
                                                        Нет, ссылка обычная, которую Вы видите в адресной строке, открывая фотографию у друга: vk.com/photo{owner_id}_{photo_id}, без уникальных хэшей и прочего.

                                                        {photo_id} — сквозной инкремент по всем фотографиям юзера, как верно сказали ниже.

                                                        Подбор этого инкремента, как легко понять, довольно затратный при отсутствии инфы о времени загрузки фотки в альбом и прочих условий, которые могли бы сузить интервал. Во избежание попыток существует ревоук прав через 15 минут + частотное ограничение на сам запрос. Допускаем, что модератор мог один раз скопировать ссылку неправильно, но не более.
                                                        • 0
                                                          Только вот получается, что установить владельца фото — задача тривиальная. И какая разница первое ли это интимное фото или пятнадцатое…
                                                          • +1
                                                            Не поняла Вашу мысль, давайте попробуем разобраться.

                                                            Владелец заведомо известен (на него жалуются либо он хочет восстановить утраченный аккаунт). Кому и зачем его устанавливать?
                                                            • 0
                                                              Видимо, я не так понял суть, прошу прощения. В данном кейсе мой комментарий действительно смысла не имеет.
                                                          • +1
                                                            Почему для кнопки блокировки и/или восстановления аккаунта посредством ссылки на фото выбрано такое компрометирующее название, ни разу не созвучное с выполняемыми действиями?
                                                            • 0
                                                              Кнопка не блокирует/восстанавливает аккаунт, для этого есть другие интерфейсы, причем работают с ними не одни и те же люди.

                                                              Эта кнопка делает ровно то, о чем говорит ее название — позволяет открыть фото по ссылке. В абсолютном большинстве случаев для решения вопроса она не нужна, и добавлять ее прямо в форму блокировки/восстановления было бы излишним. Не говоря уже о том, что далеко не у всех, кто может восстанавливать или блокировать аккаунты, есть право такой кнопкой воспользоваться, только у пары человек.

                                                              Но, откровенно говоря, в служебных интерфейсах в смысле UX у нас есть к чему стремиться.
                                                            • 0
                                                              Если это инкремент без пропусков и только по фотографиям этого конкретного юзера, то что мешает до использования кнопки посмотреть все публичные фото, найти дырки в инкременте и уже целенаправленно посмотреть закрытое фото? Не сработает только с фотографиями, которые были добавлены после последнего публичного фото — просто неизвестно сколько их и есть ли вообще. Но в целом и их можно попытаться посмотреть. Таким образом нужен не тупой брутфорс, а банальная подготовка заранее. У вас как-то отслеживается такая ситуация?
                                                              • 0
                                                                «Дырки» в инкременте — это не только вожделенные приватные фотографии. Это все удаленные фотографии, все фотографии, загруженные не в профиле, а где-нибудь в комментариях на стене друга, все сервисные копии (например, когда Вы предлагаете пост в сообществе, до публикации фотография считается «Вашей»).

                                                                В целом, потенциальная жертва любопытного модератора — идеальный пользователь в вакууме, который загрузил одну приватную фотку (и модератор точно об этом знает), а потом еще одну публичную. Ну, можно представить. Но кажется, что вкупе с крайне малым числом модераторов с доступом к такого уровня магии, полным логированием и здравым смыслом это не выглядит сценарием для эксплуатации.

                                                                • 0
                                                                  Это все удаленные фотографии, все фотографии, загруженные не в профиле, а где-нибудь в комментариях на стене друга, все сервисные копии (например, когда Вы предлагаете пост в сообществе, до публикации фотография считается «Вашей»).

                                                                  Не так уж и много для полного перебора.
                                                                  • 0
                                                                    Да, в варианте, когда брутфорс отсекается через ограничение частоты и количества запросов, а проверить нужно много разных потенциальных вариантов это действительно выглядит адекватно. Особенно с учетом того, что людей с таким доступом немного и их действия логируются.
                                                            • +6
                                                              Что же такое вектор интересов (физически, на уровне сущности БД и языка программирования) и каким способом он рассчитывается?
                                                              • +2
                                                                С этим все довольно просто. Вектор — массив весов интересов юзера.

                                                                Учитываем взаимодействия с группами, публичными страницами, переходы по ссылкам и посещаемые сайты. У каждого такого объекта есть тематика. В итоге для каждой тематики считаем вес (положительный или отрицательный), который и сохраняется в векторе.
                                                                • +5
                                                                  Подробно про реализацию можно прочитать тут
                                                                  • 0
                                                                    Скажите, а что это за KittenPHP на гитхабе? В википедии сказано что это некий транслятор с php на c++, а при беглом взгляде на исходники кажется что это уже странслированная версия сайта.
                                                                    • +1
                                                                      Про KPHP рекомендую почитать в первоисточнике из глубин этого блога.
                                                                      • +1
                                                                        Читал. Все равно непонятно «KPHP – минималистичный язык, созданный с целью обеспечить очень высокую скорость работы, без ущерба для удобства и скорости разработки»
                                                                        Возможно нужно более внимательно смотреть исходники и я просто туплю. Но «язык» в моем понимании это компилятор, то есть там должен быть например парсер php и генератор кода на си. А что там делает например расчет того же вектора интересов? По названиям папок больше похоже на какую-то часть движка внутренней логики контакта. Только папка KPHP содержит что-то похожее на транслятор, а что тогда остальное?
                                                                        • +2
                                                                          Ну, вы правильно поняли.

                                                                          Репозиторий, кроме KPHP, также содержит разные внутренние движки сайта. Вместо MySQL они используют эти движки, которые разработали сами для своих целей. Более подробно о них можно узнать из вышеприведенного поста и доклада на HighLoad++ 2016.
                                                                • +15
                                                                  Мы будем двигаться в сторону открытости. О технологиях и внутренней кухне ВКонтакте снаружи известно немного — так было всегда. Вот и в этот раз, когда завеса случайно приоткрылась, возникло множество домыслов на грани теорий заговора. Мы готовы начать говорить о том, что находится за фасадом продукта. И нам действительно есть что рассказать.


                                                                  Да, наконец-то вы это поняли. Спасибо.
                                                                  • +3
                                                                    Как-то наказали пользователей которые воспользовались этими привилегиями?
                                                                    • +5
                                                                      Нет, никаких наказаний не было, конечно.

                                                                      Сотрудники неделями учатся правильно использовать кнопки. У юзеров было всего несколько минут — ожидать от них трепетного отношения к новообретенным возможностям было бы слишком.
                                                                      • 0
                                                                        а деньги с балансов рекламных кабинетов списали?)
                                                                        • +2
                                                                          Это да, зачем потворствовать нечестной конкуренции.
                                                                          • –3
                                                                            … сказал ВКонтакт, молча и быстро потворствующий этой самой конкуренции по указке сверху.
                                                                    • +2

                                                                      Интересно, а личная карточка что собой представляет? И от куда собирается эта информация?

                                                                      • 0
                                                                        Личная карточка — свод технических данных об аккаунте и единая точка доступа к различным админдействиям с ним.

                                                                        Например, данные о UA, IP, которые нужны для диагностики бага из Поддержки, интерфейс для блокировки аккаунта и другие подобные вещи.
                                                                      • +33
                                                                        Хорош не то кто не падает, а кто упав умеет подняться.

                                                                        Молодцы, что рассказали как все было, аналогичная проблема может быть у любой ИТ-компании.
                                                                        • –15

                                                                          Никогда ни у какой крупной соц. сети не было такого бага, как появился mail.(s)ru, так сразу же аптайм упал до 80%, все начало лагать, падать, и т.д.

                                                                          • +11
                                                                            Ну у Фэйсбука давным давно была уязвимость, позволяющая читать чужие сообщения. Вон всякие крутые и крупные проекты базы нечаянно удаляют. А яндекс.диск вообще мог винду мне снести при обновлении (чудом не снёс, не знаю почему). Именно такого бага может и не было именно у социальных сетей, но сравнимой серьёзности баги неизбежно случаются у всех рано или поздно.
                                                                            • –2
                                                                              вы сидели в XP под админом?
                                                                              • 0
                                                                                Обновление программ, установленных в Program Files, необходимо выполнять от лица учётной записи администратора или после повышения прав. К тому же сейчас некоторые программы, такие как FireFox, ставят свои службы для обновления без запроса UAC. Не знаю, как там было в Я.Диске, но тут виноваты не пользователи.
                                                                                • 0
                                                                                  В том, что виноваты не пользователи — никто и не спорил. Просто я-то как раз помнил о том, что вроде как:
                                                                                  «Проблема, которая случилась в этот раз, является цепочкой несчастливых совпадений. В команде сменился основной разработчик версии под Windows и он вне плана внес изменения в инсталлер/деинсталлер приложения, допустив ошибку, которая проявляется не всегда и только под админской учеткой в Windows.» (с)
                                                                                  (очень смешные комментарии на хабре под этой темой)

                                                                                  Соответственно, если человек не сидел под админом, то чудо объяснялось именно этим.
                                                                                  • +1
                                                                                    Тогда зачем ремарка про XP?
                                                                                    • –1
                                                                                      Потому что:
                                                                                      а) именно с него пошла всенародная любовь сидения под админом в операционке.
                                                                                      б) в этом случае при ответе «да» — действительно можно было бы считать чудом

                                                                                      В случае же, если для более новых ОС пользователь не отключал UAC (очень популярная тема в те времена, весь интернет пестрил инструкциями) под админом (т.е. те условия, при которых у людей удалось повторить процесс удаления), а еще лучше вообще не сидел под оным юзером — то это не «чудо», во всяком случае не на IT-портале.
                                                                                      • +1
                                                                                        именно с него пошла всенародная любовь сидения под админом в операционке.

                                                                                        Не пошла, а закончилась. Сидение под админом тянется с древнейших времён, по сути это было ради совместимости с ПО, которое про права доступа вообще ничего не знало, так как писалось под Win95.
                                                                                        • 0
                                                                                          Знаете, мне лень приводить свой опыт установки и настройки софта тех лет, приводить статистику по сравнению количества компов при 98 и при XP, давать ссылку на кучу инструкций по отключению УАКа в качестве доказательства, что слова про «закончилось» явно ложные, и приводить в примеры программы, написанные именно в годы ХП и которые до сих пор игнорят права доступа.
                                                                                          Потому что ИМХО на ИМХО в споре бесполезно использовать и вы все равно останетесь при своем мнении, а так же проигнорируете весь посыл ответа, что ЧУДО было бы только в указанных мною условиях, а не в случае, когда пользователь намеренно свою безопасность свел к нулю и сидел ждал прилета перелетного пушного песца.
                                                                                          • 0
                                                                                            что слова про «закончилось» явно ложные, и приводить в примеры программы, написанные именно в годы ХП и которые до сих пор игнорят права доступа.

                                                                                            Закончилась на ХР, то есть на ХР все ещё сидели под админом, а вот с висты большинство уже запускает большую же часть софта под ограниченным маркером.
                                                                                            • 0
                                                                                              Еще раз, «отключение UAC» — яндекс нашел 71 млн результатов. Очень популярная тема, начиная с висты, для многих пользователей. Вам повезло, если ее пропустили.

                                                                                              А вообще, грубо говоря на мой вопрос могли быть такие ответы:
                                                                                              1) Да
                                                                                              — Действительно чудо, человеку повезло.
                                                                                              2) Нет / более свежая ОС с не отключенным уаком
                                                                                              — Потому-то по-идее ничего и не случилось, все штатно.
                                                                                              3) Я сам отключил уак на другой ОС
                                                                                              — «непереводимая игра слов».
                                                                                              • +1

                                                                                                А при чём тут отключенный UAC? Ну не должен прикладной софт гробить ОС. Хоть сто раз я под админом сижу. Странная логика у вас...

                                                                                                • 0
                                                                                                  А где я писал, что должен?

                                                                                                  Просто UAC был сделан именно для того, чтобы предотвратить подобное в результате ошибок человека или ПО. Так как по другому бороться с сидением под админом явно не получалось.
                                                                            • +3
                                                                              S3 недавно падал… Не соцсеть, но факап не меньшего уровня.
                                                                              • +3
                                                                                Да даже гугл бывало падал, и яндекс. Да все хоть раз падали.
                                                                                • +4
                                                                                  ИМХО, падение S3 — это факап гораздо большего уровня, чем падение соцсети
                                                                                • 0
                                                                                  Вы наверно просто плохо помните. Разные баги и проблемы у вконтактика были всегда. То плохо грузились фотографии, то сообщения дублировались, то счетчики барахлили. Регулярно появляются и исчезают баги, как у любого крупного проекта.
                                                                                  Я не говорю что вконтактик хорош или плох, я просто говорю что после покупки мэйлом он не стал резко хуже в плане надежности, он таким всегда был.
                                                                                  • 0
                                                                                    пффф, у нас проект крутится на Azure, который тоже падает, а вместе с ним и все проекты, которые на нем лежат
                                                                                    • +6
                                                                                      «аптайм упал до 80%»
                                                                                      Из-за такого конкретного числа прямо любопытно: я правильно понял, что, по-вашему, ВК недоступен в среднем по пять часов в день? :)
                                                                                      • +2
                                                                                        Думаю это из разряда «британские учёные выяснили, что 72.69% статистики в интернете берется отбалды».
                                                                                        • +2
                                                                                          Ну да, но бывает «отбалды и на первый взгляд правдоподобно», а тут «отбалды и вопиюще очевидный бред», и меня впечатлило то, насколько автор этого в своих словах не замечает)
                                                                                        • –3

                                                                                          Имеется в виду, что аптайм начал сильно хромать

                                                                                        • 0
                                                                                          У Google было такое, что несколько часов почта не ходила из-за одновременного обрыва двух кабелей.
                                                                                        • +1
                                                                                          Рассказали все как было целому хабру и извинились, судя по всему, перед пользователями хабра. Чего-то я в официальном сообществе не вижу подобного поста.
                                                                                          • +5
                                                                                            Потому что пользователи хабра знают, что такое merge)
                                                                                        • –2
                                                                                          А что случилось с тем, кто сделал кривой merge

                                                                                          Так на рисунке техподдержки ответ, волевым решением руководства сменили пол и наказали, в результате
                                                                                          Много моральной боли и все, я думаю

                                                                                          Вконтакте интерпретировал известное правило 5 секунд точнее 4 минут
                                                                                          Быстро поднятое упавшим, не считается
                                                                                          Но по последним данным исследователей это не так
                                                                                          Вконтакте гарантирует 100% отсутствия слива данных? Как у вас строго, как в армии упал, отжался отписался на хабре
                                                                                          • –1
                                                                                            Почему сразу «сменили пол»? Может, это девушка так смёржила?
                                                                                          • –11
                                                                                            «Кому то» удаленный кабинет для доступа делали(или сделали, но переносили на новые рельсы), но что то не учли, и, вместо Бигбосса, простые человеки получили тот самый доступ.

                                                                                            И естественно, что любая компания будет говорить, что ничего не случилось с «чувствительной» дата. А мы, конечно, верим.

                                                                                            ИМХО. Случайные баги, случайные взломы и случайные дампы паролей в текстовом виде, это такой хитрый ход — поделиться с нужными людьми данными.

                                                                                            Очередное напоминание, что не стоит свои данные предоставлять кому попало(соцсетям и прочим агрегаторам).
                                                                                            • +5
                                                                                              > Случайные баги, случайные взломы и случайные дампы паролей в текстовом виде, это такой хитрый ход — поделиться с нужными людьми данными.
                                                                                              А не проще просто взять и выдать нужному человеку нужный доступ, если там такой мощный админ завёлся?
                                                                                              • 0
                                                                                                А не проще просто взять и выдать нужному человеку нужный доступ, если там такой мощный админ завёлся?

                                                                                                Такое есть, называется «Кабинет» для уполномоченных лиц. Что бы найти нужного «человечка» при необходимости.

                                                                                                http://www.vedomosti.ru/newspaper/articles/2014/06/03/runet-pod-lupoj
                                                                                                • 0
                                                                                                  Ну то есть по факту спецслужбы «ищут нужного человечка» в ВКонтаче, который якобы не выдает сенситив дата технически? Вы серьёзно что ли верите в то что вконтику можно доверить что-то серьёзнее фотографии своего кота?
                                                                                                  • +1
                                                                                                    Вконтактику даже фотографию кота доверять не стоит. Собственно, об этом вся тема.

                                                                                                    Впрочем, доверять не стоит любой крупной конторе, которая имеет доступ к данным множества пользователей. Дата утекла в сеть, за что конторам ничего не будет. Разве что появится пост, о якобы неудачной мердже, одного из внутренних интерфейсов.

                                                                                                    Дело не только в прямых данных, предоставленных лично юзером. На многих сайтах стоят маячки от соц.сетей, которые пополняют уже непрямые данные.

                                                                                                    Я понимаю, конечно, что со стороны видится, как текст от человека, в шапочке из фольги. Но, к этим данным(соцсетей) доступ не только у полицаев, но и у более-менее крупных контор, их СБ, которые имеют подвязки в соответствующих органах.
                                                                                                    • +1
                                                                                                      Да нет, комментарий вполне адекватен.
                                                                                                      Такие заявления делаются корпорациями и всяческими бигдата как раз именно для затыкания «логических дыр», когда смолчать можно, но невыгодно и нужно обнародовать факт бага под благовидным предлогом, даже если он замечен ровно 2,5 анонами.
                                                                                                      Не считая ништяков вроде повышения лояльности у хомячков, детей, домохозяек и наивной\лояльной бренду прослойки техспецов, которые умом-то понимают что происходит, но до последнего верят в «МММ» в лучшее.
                                                                                              • +7
                                                                                                Купите шапочку из фольги, на всякий случай.
                                                                                                • +1
                                                                                                  Думаю, у него она уже есть, просто порвалась. Вот и понесло)
                                                                                              • +3
                                                                                                Как быть с тем что в багтрекере были описаны в т.ч. критические уязвимости и любой мог их прочитать? Экстренно пофиксили все открытые баги?)
                                                                                                • +2
                                                                                                  Надо понимать, что это не основной наш трекер с репортами штатных тестировщиков. Доступ был к полузакрытому багтрекеру для бета-тестеров — просто чуть больше доступа, чем обычно.

                                                                                                  Уязвимости из репортов по нему были закрыты еще в прошлом году, сейчас там ничего серьезного нет.

                                                                                                  Сейчас мы уже вычистили оттуда все следы происшествия, доступ для бета-тестеров снова открыт.
                                                                                                  • 0
                                                                                                    Почему ВКонтакте никогда не исправляет ошибки? И реально ли сообщить об ошибке так, чтобы это хоть кто-нибудь прочитал, и был хотя 0.00001% шанс исправления?
                                                                                                • +1
                                                                                                  Однозначно, работать есть над чем. Не могу с уверенностью говорить, не зная всей вашей кухни, но я думаю, стоит существенно увеличить путь от репозитория до рабочего окружения, чтобы неаккуратный мерж (в ночь, что частично объясняет) не приводил к такому факапу. Может быть короткий путь и удобен, но иногда есть смысл создавать неудобства искусственно.

                                                                                                  Возможно, стоит подкорректировать процесс деплоя так, чтобы новые версии применялись не ко всем пользователям сразу, а постепенно с чётко заданными долями и интервалами. Тогда, если факап случится, можно будет пресечь его пока масштабы трагедии невелики. У вас такое применяется для крупных обновлений. Это хорошая практика. Полагаю, стоит развить этот опыт.

                                                                                                  Конечно же, всё это имхо и, возможно, всё это у вас и так есть, просто что-то прямо вообще невероятное случилось.
                                                                                                  • +1
                                                                                                    У вас нет авто-тестов?
                                                                                                    • +7
                                                                                                      Минус поставили те, кто считает не адекватным делать такие сценарии?
                                                                                                      Ожидается, что тестовый пользователь, у которого ТОЧНО стоят права «обычного пользователя» при попытке зайти на раздел администратора\модератора должен вылететь.

                                                                                                      Или это выглядит как провокация? Ото же очевидный тест, который избавил бы вас от проблемы подобного рода.
                                                                                                      • 0

                                                                                                        Задним умом все сильны.
                                                                                                        Если бы cloudflare сделали бы авто-тест, 10 раз загружающий рандомную страницу и проверяющий, что в нет мусора, то не было бы cloudbleed, и т.д.

                                                                                                        • 0
                                                                                                          Благо мы покрыли эту ошибку )
                                                                                                          • 0
                                                                                                            Всё равно не понятно, почему в кодовой базе нет проверки на валидность.
                                                                                                            Мне кажется, что «новый»/«ещё» несуществующий/пользователь не доверенной группы — не должен обладать никакими правами.
                                                                                                            В конце концов, охраняется достаточно важный ресурс и охраняться положено, как военному объекту — любая ошибка запрещает доступ.
                                                                                                            • 0
                                                                                                              Ну вообще проверить права доступа для всех ролей на сайте — очевидный и естественный тест. Более того он зачастую адекватно автоматизируется без особых проблем.
                                                                                                        • НЛО прилетело и опубликовало эту надпись здесь
                                                                                                          • +21
                                                                                                            Мы приносим свои извинения всем пользователям:
                                                                                                            тем, кого затронула эта ошибка,
                                                                                                            тем, кого она теоретически могла затронуть
                                                                                                            и тем, кто проспал и не успел протестировать ошибку лично.

                                                                                                            Занавес.
                                                                                                            • 0
                                                                                                              > фатально невнимательный merge ветки
                                                                                                              Случайно мимо тестов прошло и в прод улетело?
                                                                                                              • +2
                                                                                                                кнопка со страшным названием «Открыть приватные фото» работает только с точной ссылкой, которую предоставляет сам владелец фотографии

                                                                                                                А почему во множественном числе, если не секрет?
                                                                                                                • 0
                                                                                                                  на случай, если владелец присылает несколько фото =)
                                                                                                                • –2
                                                                                                                  Скольких уволили? Скольких расстреляли?
                                                                                                                  • +1
                                                                                                                    На самом деле это очень хороший урок, как делать не нужно.
                                                                                                                    На всю жизнь запомнится. Тем более, что никаких репрессий быть не должно.
                                                                                                                    Исполнитель(факапа) после этой истории будет вдвойне внимательным.

                                                                                                                    Важно не где «прошло», а где «поломалось». Ошибки ценнее/дороже.
                                                                                                                    • 0
                                                                                                                      За одного битого двух небитых дают
                                                                                                                    • +12

                                                                                                                      Ой, расскажите мне тут. В любой удобной ситуации ВКонтакте сольёт и переписки, и всё, что надо — тем, кому надо. Объяснять кому и в каких случаях, думаю не надо. Дурова не просто так прижали. Так что ВКонтакте, который не сливает — влажные фантазии "ориентированной на клиентов" конторы. Больше рекламы, больше! И еще апи закроем.
                                                                                                                      Извиняюсь за хейтерство, накипело.

                                                                                                                      • +6
                                                                                                                        А какая соцсеть не сольет запрошенные данные структурам правоохранительных органов своей страны по запросу?
                                                                                                                        • +1
                                                                                                                          Та, в которой даже самые главные не имеют доступа к открытым данным.
                                                                                                                          • +3
                                                                                                                            Пример не подскажите?
                                                                                                                            • 0
                                                                                                                              У вас есть все шансы стать первым, кто ее создаст.
                                                                                                                              • +5
                                                                                                                                С моими навыками программирования я создам ее через 250.000 лет и все равно сдам все ключи после терморектального криптоанализа (:
                                                                                                                                • 0
                                                                                                                                  Вы не сможете сдать все ключи даже после терморектального криптоанализа, если у вас их не будет.
                                                                                                                                  Скрытый текст


                                                                                                                                  Наработок шифрования полно — от ВПаше и Ватсапов до Меги и Сигнала. Проблема не в шифровании и команде разработчиков, проблема в переходе людей в новую социалку, а мы знаем, какие люди ленивые.
                                                                                                                                  • +1
                                                                                                                                    Тогда сделают проще — штраф за не удовлетворение судебного иска. Следующий штраф будет еще больше. Далее судебное дело над таким вот разработчиком, который не может предоставить нужную следствию информацию. Это как с софтом — у вас не прокатит говорить «я не я и я хз что у меня паленый софт».
                                                                                                                                    • +2
                                                                                                                                      Да хоть 10000 штрафов выпиши — сессионные ключи уже удалены из RAM пользовательских устройств, во вселенной их больше нет.
                                                                                                                                      • 0
                                                                                                                                        Тогда боюсь что разработчик быстро откажется от своей идеи, либо будет вынужден сменить место жительства.
                                                                                                                                        • 0
                                                                                                                                          В Канаду чтоль уедет из Долины?
                                                                                                                                      • 0
                                                                                                                                        Паленый софт на устройствах легко доказывается тем, что он, этот паленый софт, установлен на этих устройствах. Некорректное сравнение. Самих ключей шифрования просто вообще не существует на ваших серверах. Судя по вашей логике, так можно прикопаться вообще к любому:
                                                                                                                                        -Где детонатор?!
                                                                                                                                        -Но я пенсионерка, мне 93 года. Я даже не знаю, что такое этот ваш дитанутар.
                                                                                                                                        -Где вы прячете детонатор?! Мы знаем, что он у вас есть!
                                                                                                                                        • 0
                                                                                                                                          Вы передергиваете. Вы как владелец форума/бложика/соцсети несете всю ответственность за ваших пользователей.
                                                                                                                                          • 0
                                                                                                                                            А что ж за лайки и репосты сажают пользователей, а не начальство соцсетей?
                                                                                                                                            • 0
                                                                                                                                              Наверное по тому что начальство соцсети выдает данные пользователя по запросу? Если не будет выдавать — будут начальство трясти.
                                                                                                                                            • 0
                                                                                                                                              Я предоставляю услуги хранения информации или как там юридически правильно будет написать, я не знаю. Я могу передать вам все сервера со всеми жесткими дисками со всей информацией, которая на них есть. Ничего не скрываю, серверная и клиентская части в open source. Информация на сервера поступает уже в виде каши, за кашу я и несу ответственность.
                                                                                                                                              • +1
                                                                                                                                                Ну попробуйте. Потом напишите как вы избежали ответственности за, ну там… размещенный нелегальный софт. Ну или за сериалы российские.
                                                                                                                                                • 0
                                                                                                                                                  Да нет у меня на серверах сериалов и фильмов российских. Нет у меня их, понимаете? Где я чего там передергиваю, если вы обвиняете меня в том, чего я не сделал/у меня этого нет? Отформатировали вы диск — получился массив непойми чего. И вам предъявляют то, что в этом массиве у вас фотошоп нелецензионный. Вы прям нашли новый путь повысить раскрываемость товарищу майору.
                                                                                                                                                  • 0
                                                                                                                                                    Вы явно с органами не сталкивались ни разу по иску, раз пытаетесь косить под дурачка. Вы несете ответственность за свой ресурс. То что его наполняют пользователи лишь усугубляет положение.
                                                                                                                                                    • 0
                                                                                                                                                      Вам как вообще, жить не страшно?
                                                                                                                                                      Посодють!

                                                                                                                                                      • 0
                                                                                                                                                        А почему мне должно быть страшно?