Уразливості на www.xshop.com.ua
17:42 20.01.200714.11.2006
У вересні, 18.09.2006, я знайшов Cross-Site Scripting уразливості на відомому проекті http://www.xshop.com.ua (інтернет магазин). Про що найближчим часом сповіщу адміністрацію проекту.
Детальна інформація про уразливості з’явиться пізніше. Треба дати час адмінам на реакцію з цього приводу.
Раніше я вже згадував про уразливості в іншому інтернет магазині (Уразливості на myshop-in.net).
20.01.2007
XSS:
Дані уразливості досі не виправлені.
Неділя, 18:57 21.01.2007
А ти пропоную відразу платну послугу для усунення якщо вони не знають як
Якщо адміни просто морозяться то повідом власника(у випадку коли це не одна особа)
Неділя, 23:39 21.01.2007
LaSet, я намагаюся бути вихованим і тому не пропоную в моєму листі послуг (саме моє повідомлення є тонким натяком на це, а також на можливість замовлення грунтовного аудиту безпеки). Лише в себе на сайті я іноді згадую, що можна до мене звернутися за послугами.
Вони повинні самі це зрозуміти (я ні на кого не тисну). І як показує мій досвід, деяки люди (ті що не економлять не безпеці) все ж замислюються над цим. Та звертаються до мене за консультаціями та секюріті аудитом. Процес потихеньку йде, і люди більше замислюються над безпекою своїх сайтів (з моєю допомогою).
А от чому не виправили - то це до них питання. В більшості випадків на мої попередження реагують і виправляють. Або ці адміни не зрозуміли мого листа, або не прийняли до відома (бо їм це здалося зайвим і мінімально небезпечним). Або ж вони не отримали мого листа - таке іноді трапляється. Лист повинен був дійти, бо не було повернень, але антиспам фільтри могли не пропустити (іноді трапляється). Але це вже проблеми самих адмінів сайта.
Вівторок, 20:49 23.01.2007
Я не вважаю це чимось не вихованим, це бізнес, причому за кордоном дуже поважний бізнес
Звичайно не можна казати “або платіть за латання або я поламаю все” в такому випадку це шантаж
Тому я би радив включати у текст ненавязливу пропозицію послуг, скажімо одноразова послуга по підвищенні безпеки сайту. Як на мене це досить нормально і природньо. Але пропозиція має бути делікатною, щоб люди не подума в разі взлому, що це їм відплата за відмову
П'ятниця, 00:43 26.01.2007
LaSet, ти слушно зазначив з приводу активної реклами моїх послуг в моїх листах. З цього приводу я звісно ж думав неодноразово, і на даний момент, з самого початку моєї активної діяльності (з відкриття сайта та навіть ще задовго до цього) я лише роблю натяк на це. І деяки люди до мене звертаютья періодично - так що нятяки все ж таки розуміють (хоча б дехто ).
В кожному своєму листі адмінам про уразливості на їх сайтах, я раджу слідкувати за безпекою - тому всі про це знають (від мене), їм лише залишилось дійти до безпесоредьного прийняття вірних рішень - про активну роботу з поліпшення безпеки власних сайтів.
І я планую поступово переходити до більш активної реклами. Про що й ти мені радиш. Просто в часі це розтянулося, цей перерехід до активної пропаганди моїх послуг (поки обмежуюсь активною пропагандою веб безпеки як такої). На це є ряд причин. І як тільки всі необхідні справи, які я маю спочатку зробити, будуть зроблені, тоді й оновлю текст моїх листів (планую найближчим часом).
А от з приводу безпесередньо xshop.com.ua та інших подібних випадків, то, LaSet, зверни на одну маленьку але важливу деталь (про яку я писав). Що у випадку коли адміни не отримали мого листа (через спам фільтри) або проігнорували його - то ніякої користі від додаткових анонсів моїх послуг в даному випадку не буде. Вони так само не дійдуть до цільової аудиторії, як і основна частина мого листа. Головне, щоб люди отримували і читали мої листи (і виправляли діри), тоді головна ціль буде досягнута.