@112
112
21 Mar 2017

https://arstechnica.com/sec...login-page-insecure/
Если коротко - хром и мозло стали выдавать варнинги на HTTP страничках с логином о том, что коннект несекурный.
представитель некоторого сайта написал багрепорт в мозлу, что мозла без их разрешения помещает на их страничку всякие предупреждения, которые отпугивают их пользователей и вообще подрывает доверие к этим ребятам. и вообще им не нужен никакой SSL, у них своя офигенная система безопасности, все обсекурено и за 15 лет из никто ни разу не взломал.
чуть позже багрепорт разлетелся лулзами и был доставлен на реддит, где местные обнаружили, что в 2017 у этого сайта нет элементарной защиты от скл-инъекций и дропнули таблицу со всеми пользователями, попутно обнаружив, что все пассворды там хранились плейнтекстом. а еще у движка был включен дебаг, поэтому при падениях любому неавторизованному юзеру вываливался стектрейс, локальные пути и даже куски исходного кода (где как раз и можно было спалить, что запросы в бд они строят тупой конкатенацией строк без какой-либо проверки вообще)
такие дела

Рекомендовано: igelko и DarkElve
21 Mar 2017

дотянулис рускии хацкиры!

21 Mar 2017

это всё происки Fancy Beer!

21 Mar 2017

Поимка Неуловимого Джо состоялась

Добавить пост

Вы можете выбрать до 10 файлов общим размером не более 10 МБ.
Для форматирования текста используется Markdown.