Других учить Вы горазды, а самому сделать что-то зась.

То, что приходится учить других - это у меня миссия такая. А вот твоё неконструктивное обвинение меня в лени, то это исключительно несерьёзное заявление.

Я не ленивый человек и вся моя деятельность в Интернете, каждый мой проект (коих немало), тому подтверждение. В том числе данный мой проект и вся моя деятельность в области веб безопасности за 4,5 года. О твой же деятельности, помимо неконструктивного критиканства, мне ничего не известно .

почему по аплоадбоксу сразу была выложена уязвимость, а по файлстору - нет?

Ты меня ещё спроси по каждой узявимости опубликованной за 3,5 года работы моего веб проекта. Мне как автору виднее, что постить и делать ли responsible или full disclosure.

Если ответить более детально, то данная публикация деталей уязвимости сразу (full disclosure) сделана для разнообразия. Т.к. в предыдущие годы в основном я вначале делал анонсы, а лишь потом публиковал детали (за ислючением моих проектов MOSEB, MoBiC и Дней багов). С начала 2009 года я ввёл правило, чтобы периодически публиковать детали уязвимостей сразу же (без анонсов). В среднем раз в неделю я делаю full disclosure.

На другие твои вопросы я уже ответил ранее, теперь отвечу на оставшиеся комментарии.

Боянъ. Что-нить оригинальное, XSS уже всех затрахал.

Сама дыра не боян, т.к., во-первых, о данной дыре я пишу впервые (в Интернете), а во-вторых, я о ней впервые пишу у себя на сайте.

А насчёт того, что XSS мог всем надоесть, то кому-то он надоел, а кому-то нет, а многие вообще как не знали, так и не знают, что это такое. Что хорошо видно по всему тому громадному количеству XSS дыр в Сети, и что все админы и веб девелоперы как делали, так и продолжают делать XSS дыры на своих сайтах. Ну, а если персонально тебе надоел XSS, то не читай мои посты, где упоминается данный класс уязвимостей, а читай посты с упоминанием других классов уязвимостей , которых хватает у меня на сайте (я публикую информацию о различных классах уязвимостей).

Ваша капча, особенно период который она действует

Андрей, насчёт капчи.

По этому поводу я вчера детально написал в другом комментарии. Возможно у тебя та жа проблема, что и у GUNTER.

Т.к. данную капчу я использую с начала 2007 года и она себя хорошо зарекомендовала. И время действия значения капчи достаточно велико, поэтому я предополагаю, что у тебя и GUNTER имеет место другая причина приводящая к проблеме с капчей (что у вас происходит перезапись значения капчи), о чём я писал в том комментарии.

Замечу, что в данное время я сильно занят (слишком много работы), что у меня является обычным состоянием, но со временем я отвечу на твои комментарии. По этому поводу не беспокойся, я обязательно отвечу на все твои комментарии (в этом и других постах).

Хотелось бы увидеть Ваш проект, в котором ноль 0 (не этот сайт на вордпрессе).

По-первых, WP - достаточно дырявый движок (о чём я не раз писал), я это хорошо знаю, т.к. сам нашёл в нём множество уязвимостей. И я приложил немало усилий, чтобы исправить все найденные дыры в WP, который я использую у себя на сайте.

Во-вторых, моих проектов в Интернете немало (как сделанных для себя, так и разработанных для заказчиков), поэтому ты легко можешь их найти через поисковики (по моему псевдониму). За исключением тех веб сайтов и веб приложений, которые я разрабатывал на заказ и где мой копирайт на страницах не фигурирует (лишь в исходниках), в большинстве случаев на сайтах разработанных мною фигурирует мой псевдоним.

К примеру, мой первый веб сайт - http://mlbpg.narod.ru. На котором 0 уязвимостей - можешь сам проверить . И что интересное, на нём не было уязвимостей с момента его создания в апреле 1999.

Ваша капча, особенно период который она действует - просто умидяет

Andrey, по поводу своей капчи я уже отвечал в коментах не раз. Воспользуя советами, которые я привёл в том коменте. Когда я буду отвечать на твои коменты в другом посте, где ты также жаловался на мою капчу, я ещё напишу дополнительно по этому поводу.

Ичем же они круче аплоадбокса?

Посмотрим, что ответит x-more на твой вопрос. Обычно сео-спамеры не утруждают себя ответами на вопросы в коментах .

Со своей стороны скажу, что в плане безопасности у данных файлообменников (uploadbox.com и упомянутых x-more) есть одно сходство - все они дырявы (о чём я говорил выше).

Во-первых, не увлекайся SEO-спамом.

Во-вторых, как я уже писал в комментариях к другому посту, дырявых файлообменников хватает. И за последние годы я писал об уязвимостях на многих файлообменниках (которые ты можешь найти через поиск по сайту). За последние дни я упомянул о нескольких ФО, дыры на которых нашёл 16.02.2009, т.к. в тот день я посетил ряд новых ФО, помимо тех, которые я использую регулярно (о дырах на которых также писал в новостях).

Что касается упомянутых тобою ФО, то и им есть куда улучшать свою безопасность. К примеру на letitbit я нашёл дыру 12.07.2009, а на depositfiles я нашёл дыру сегодня (и об этих дырах я буду писать когда дойдёт до них очередь). Так что редкий файлообменник может похвастаться нормальным уровнем безопасности .