Исследователь безопасности Willem de Groot опубликовал (https://gwillem.gitlab.io/2016/10/11/5900-online-stores-foun... результаты анализа применения в сети вредоносного JavaScript-кода, нацеленного на перехват содержимого форм ввода для кражи номеров кредитных карт. Исследование показало, что скимминг (https://ru.wikipedia.org/wiki/%D0%9A%D0%... в сети усиленно набирает обороты - по сравнению с прошлым годом (https://www.byte.nl/blog/widespread-credit-card-hijacking-di... число сайтов, на которых встречается вредоносный JavaScript-код, возросло на 69%. Сканирование представленных в сети 255 тысяч интернет-магазинов позволило выявить 5925 поражённых вредоносным ПО сайтов, которые могут стать источником утечки данных о параметрах кредитных карт клиентов.В качестве одного из способов распространения вредоносного ПО упоминается эксплуатация неисправленных критических (https://www.opennet.dev/opennews/art.shtml?num=42085) уязвимостей (https://www.opennet.dev/opennews/art.shtml?num=43759) в движке электронной коммерции Magento. Выявлено несколько вариантов (https://github.com/gwillem/magento-malware-collection/tree/m... размещаемого после взлома вредоносного кода, в том числе встречаются как простые и читаемые (https://github.com/gwillem/magento-malware-collection/blob/m... скрипты, так и достаточно изощрённые варианты (https://github.com/gwillem/magento-malware-collection/blob/m... c многоуровневым запутыванием следов.
Примечательно, что опубликованный исследователем список уязвимых интернет-магазинов был удалён (https://gwillem.gitlab.io/2016/10/14/github-censored-researc... администрацией с сайта GitHub (судя по всему, из-за DMCA-запроса от владельца одного из упомянутых в списке магазинов), а затем и с GitLab. Но список был быстро растиражирован (http://default-environment.r4wdbu4mm9.us-east-1.elasticbeans... и осел в архивах (https://web.archive.org/web/20161014133252/https://gitlab.co.... Представители GitLab объяснили (https://news.ycombinator.com/item?id=12713003) удаление недопустимостью раскрытия сведений о уязвимых сайтах до устранения проблемы, но не учли, что в списке присутствуют только уже поражённые вредоносным ПО сайты, которые представляют угрозу для посетителей.
URL: https://news.ycombinator.com/item?id=12712648
Новость: http://www.opennet.dev/opennews/art.shtml?num=45325
Им на нормальных сысадминов денег не хватило.
денег всегда хватает, просто жлобам их платить всегда что то не даёт.
Жлобовство и не даёт…
Гипножаба ментально душит.
Вы зря так, весьма крупные с точки зрения пользователя интернет-магазины часто с обратной стороны представляют собой 10-к работников обеспечивающих бизнес, несколько авто + водители-курьеры, небольшой склад, помещение для демонстраций ( если не только продажа, или что-то серьёзное продают, что надо показывать ). При этом в этих фирмах часто сайт тянет тот кто его изначально разработал на старте, в свободное от основной работы время, сайт за время развития переехал с сайтохостинга на vds которого хватает "за глаза", который так-же поддерживается парой практически "энтузиастов".Таким образом "защищённость" напрямую зависит от того насколько эти энтузиасты заинтересованны в ней, сам бизнес обычно не генерирует достаточного финансового потока для того, что-бы иметь возможность оплатить работу пары человек с з.п. > 100т.р. ( да и найти тех кому можно доверить, часто проблема )
Сысадминами там, скорее всего, вообще не пахло. Эти просто бизнес-схема, когда "предприниматель" заказывает "студии уёб-дизайна" готовый магазин, а студия состоит из хитропопого директора, который хватает любые заказы, какие попадутся, и уёб-кодыря, который в конвейерном режиме разворачивает на хостинге готовый "бандл", слегка рихтует морду - и в продакшон.
> Эти просто бизнес-схема, когда "предприниматель" заказывает "студии уёб-дизайна" готовый магазин, а студия состоит из хитропопого директора, который хватает любые заказы, какие попадутся, и уёб-кодыря, который в конвейерном режиме разворачивает на хостинге готовый "бандл", слегка рихтует морду - и в продакшон.Ну, ваще-то, в случае магазинов — это так и работает. Конструктор магазинов, автоматизированный деплоймент. Иначе откуда, думаете, цены "от 300 рублей за сайт «под ключ»"? И это, в общем, общепринятая практика, по-другому нужно делать, только если у тебя реально много бизнеса, или много бизнеса в интернете (большинство ритейлеров так же далеки от интернетов, как рабочие на стройке)
Другое дело, что я не очень понимаю, а каком скимминге на _сайтах_ идет речь. Карточки обычно светятся на платежных шлюзах, коих, вообще-то, гораздо, гораздо меньше.
Ну что ты как маленький? Если хацкеры поломали сайт - они могут например показывать для ввода кредитки СВОЮ формочку. И эта формочка отправит данные креды вовсе и не на платежный шлюз. Вебмакаки настолько куски иди0тов что не могут себе представить что хакер вообще не обязан что-либо делать с платежным шлюзом? При этом вообще похрен насколько безопасен платежный шлюз - до него дело может не дойти вообще.
> Ну что ты как маленький? Если хацкеры поломали сайт - они могут
> например показывать для ввода кредитки СВОЮ формочку. И эта формочка отправит
> данные креды вовсе и не на платежный шлюз. Вебмакаки настолько куски
> иди0тов что не могут себе представить что хакер вообще не обязан
> что-либо делать с платежным шлюзом? При этом вообще похрен насколько безопасен
> платежный шлюз - до него дело может не дойти вообще.Поставим вопрос по-другому. Чем веб-макака с формочкой магазина лучше любого другого крякера?
Ну так нормальный человек жмет кнопку "оплатить" и попадает настраницу пейпала или ещё кого известного. А если не попадает - то либо идёт куда-то ещё либо ему наплевать - дальше какое-нибудь VISA 3d Secure.Кстати, чтобы безвозвратно потерять деньги с карты надо что-то печальное творить. Недавно вот двоим коллегам вернули - хрен знает, где уж у них данные карт уволокли, но когда сняли деньги - возврат решился в течение пары дней. Тем более, что если через интернет - совершенно тривиально отследить, что местоположение не совпадает. А дальше - механика отката сто лет как отработана.
Дорогие коллеги, не ставьте минусов этому комментарию. Очень хочется знать, сколько людей согласны с таким подходом.
Если вам интересно, обзвоните студии с вопросом "сколько у вас будет стоить интернет-магазин"? Те, кто назовет бюджетную сумму - согласны...
А какой может быть другой подход? Если предприниматель хочет начать торговать в интернете то ему нужно сразу дом заложить чтобы сайт сделать?
Я чо-та как-та теряюсь.Гражданин хороший, оторвитесь от линукзов и интернетов. Откройте газету каких-нибудь бесплатных объявлений или просто по городу с населением от ста тыщ человек пройдитесь — Вы увидите немудреную рекламу, в которых простые парни предлагают свои услуги по созданию сайтов другим простым парням, для которых интернет — это такая программа в компьютере или планшете со значков в виде синенькой буквы e или трехцветного круглешка, а основной вид деятельности — торговать какими-нибудь отделочными материалами, услугами по сборке корпусной мебели или еще каким металлопрокатом.
Поинтересуйтесь ценами на такие сайты. Я Вас уверяю — никто из этих простых парней не готов платить тыщи долларов за сайт, на котором свой нехитрый ассортимент выставлять будет — это банально нецелесообразно экономически. Отсюда, собственно, и предложение — взять конструктор, благо их тысячи, и клепать сайты, условно, за 15 минут и тыщу рублей с носа.
Такой вот звериный оскал капитализма, да. И согласны Вы или я с ним, не согласны — наше с Вами мнение эту самую реальность не интересует от слова "совсем".
Мы ж говорим не про саму бизнес-схему, а то, что в результате её макакского подхода, страдают все, кроме говноклепателей сайтегов "за 300 рэ под ключ". Все эти похапэхи и жабоскриптписаки - всех на рудники! :) Самые отвратительные и дырявые сайты - их.
Как будто решение задачи "магазин за три дня и три тысячи" на Жабе или дотНете не приведет к аналогичному (а то и худшему) результату. Примитивное хейтерство, пещерная логика...
> Как будто решение задачи "магазин за три дня и три тысячи" на
> Жабе или дотНете не приведет к аналогичному (а то и худшему)
> результату. Примитивное хейтерство, пещерная логика...А ты что, программы на дельфи и 1С не видел? Да и жабисты с дотнетчиками отличаются только наглостью и аппетитами, потому что считают себя интерпрайзом. Реально те же гомнокодеры, вид в профиль. И код такой же, вместе с понятиями - зачем же думать?! За меня подумает фрймворк и рантайм. А потом в сайте оказывается куча глупых багов.
Например проблема когда бэкэнд верит джентльменам из фронтэнда на слово - вообще от ЯП не зависит. Если джентльмен с браузером при этом не полный даун - ему карта как поперла!
вот так пробрало: поток сознания, родившийся от горящей задницы во время поедания ролтона? не переживай так сильно. подумаешь, тебе не легко в жизни, в этом никто не виноват и тебе ещё улыбнётся солнце
>> нормальных сысадминов денег не хватило...А ссысадмин-то тут при чтом?
Это вопрос организации путей данных при аквайринге.
Архитектурка-с.Это проблема выбора аквайрера.
Нормальный аквайрер никогда не позволит вбивать циферки на стороне "магазина".
Magento - опенсорс. Стандартный набор - php+mysql, так что баги в геноме - это нормально в данном случае. :)
>> php+mysql, так что баги в геномепхп-мхп тут не при чтом.
Страница с формой платежа на сайте магазина — НЕ должна предлагать юзеру впечатывать данные карты.
Нормальный подход — подсоленная электронная подпись метаданных платежа.
Типа сумма, номер заказа, дата, солёное время.
С этой хернёй, валидной в течение 60 сек, на шлюз аквайрера.
Со шлюза аквайрер пустит на страничку для ввода данных карты.Прибыль. Все сосут.
> Страница с формой платежа на сайте магазина — НЕ должна предлагать юзеру
> впечатывать данные карты.А вот еще одна вебмакака. Вопрос: что помешает хакерам на поломаном сайте показывать такую форму, забив на ламерские рассусоливания о том кто и что "должен"? С чего вебмакаки решили что хакеры ведут себя так как удобно вебмакакам?
> Нормальный подход — подсоленная электронная подпись метаданных платежа.
Если хакер поломал сайт, он может показывать на сайте что угодно. В том числе и свою форму для ввода параметров креды, отправляющую данные хзкуда. Какое хакеру при этом дело до каких-то там подписей каких-то там метаданных?
> Если хакер поломал сайт, он может показывать на сайте что угодно. В
> том числе и свою форму для ввода параметров креды, отправляющую данные
> хзкуда. Какое хакеру при этом дело до каких-то там подписей каких-то
> там метаданных?Если бы это не была общепринятая практика попорукства, то пользователь в этом случае сразу бы насторожился, типа " а чегой-то это я должен вводить свои данные ЗДЕСЬ?"
И хоть десять форм показывай и перенаправляй ...
> Если бы это не была общепринятая практика попорукства, то пользователь в этом
> случае сразу бы насторожился, типа " а чегой-то это я должен
> вводить свои данные ЗДЕСЬ?"Ты слишком оптимистично оцениваешь интеллект юзеров :) Кроме того, никто вообще не смотрит на адресную строку: можно показать попап якобы платёжной системы, а это фэйк с текущего сайта.
> Если бы это не была общепринятая практика попорукства,1) Бы - не считается.
2) Пользователь ни разу не эксперт в процессинге кредитных карт.
3) Пользователь не знает и не может знать все платежные гейты и как это выглядит.
4) С другой стороны, хакер может вывесить любую форму на поломанном сайте. Даже очень похожую на некий гейт, если целью был убедительный абибос даже постоянных покупателей.В общем если хакер поломал сайт - наиболее реалистичное допущение что юзер при этом взаимодействует с хакерским кодом и тот делает так как ему удобнее, тыря данные куда ему нравится. Плевать хотев на то как процессинг и прочий кваквайринг был задуман в оригинале. Например хакер может совсем не проводить платежи. Или проводить их со второй попытки, когда разутый лох отправится на правильную страницу. Юзеры конечно будут иногда бухтеть в саппорт, но как видим саппорты как максимум скажут что у них все безопасно, потому что HTTPS.
Я вообще не пойму, в чём проблема. Есть СМС-подтверждения, есть возврат, который нормальный банк делает по любому чиху, и огребает от этого тот, кому картой расплатились, а не хозяин карты.
> Страница с формой платежа на сайте магазина — НЕ должна предлагать юзеру
> впечатывать данные карты.
> Нормальный подход — подсоленная электронная подпись метаданных платежа.
> Типа сумма, номер заказа, дата, солёное время.
> С этой хернёй, валидной в течение 60 сек, на шлюз аквайрера.
> Со шлюза аквайрер пустит на страничку для ввода данных карты.Хомячёк нажал "оформить заказ", выскочила форма ввода номера карты, хомячёк ввёл номер и нажал "оплатить". Что там внутри - его не интересует, какой URL в этот момент в строке адреса - он не смотрит. Это хозяин магазина должен контролировать, какой код отгружается с его сервера в броузер покупателя. А для хозяина сайт его магазина - это инструмент, который он когда-то купил и добросовестно пользуется, не заглядывая в его нутро. Вот и выходит, что НИКТО не следит за тем, какой код выполняется на сервере и в броузере, и куда он на самом деле отправляет полученный от покупателя номер карты.
> какой URL в этот момент в строке адреса - он не смотрит.Учитывая, что "модные стильные молодежные" браузеры прячут эту самую строку и даже если и показывают, то не совсем то, откуда собираются качать контент, то смотри не смотри...
> Хомячёк нажал "оформить заказ", выскочила форма...ХомячОк нажал "оформить заказ", — НЕ выскочила форма, хомячок.
В этом смысл, хомячок.
НЕ выскакивает форма, хоть бы ты, хомячок, коню отдался :)
НЕ выскакивает :)
> Хомячёк нажал "оформить заказ", выскочила форма ввода номера карты, хомячёк ввёл номер
> и нажал "оплатить". Что там внутри - его не интересует, какой
> URL в этот момент в строке адреса - он не смотрит.Ну раз не интересует, то всё в порядке. Хоть там и шиш (без масла).
Собственно, если ты штатовский хомячок - то это самый правильный подход. А дальше - заявление, и пусть банк с визой возятся, они это умеют прекрасно. Тут проблема ровно в том, что в некорых диких местностях некоторые банки платежи реализовали, а защиту владельца - ни хрена. А кто хотел - у того Visa 3d-secure, явное открыти лимита на платежи в интернете и т.д.
> Нормальный аквайрер никогда не позволит вбивать циферки на стороне "магазина".Вообще-то позволяют. Но те, кому такое позволяют должны проводить через себя достаточно много платежей, соблюдать все требования PCI DSS и регулярно проходить аудит своей системы на соответствие этим требованиям и регулярно проводить тесты на взломоустойчивость.
И это даже более-менее работает, несмотря на то, что и сам PCI DSS штука довольно странная, иногда нелогичная и некоторые требования устарели. Да и реализуют его частенько спустя рукава, лишь бы бумажка была о соответствии. Ну а уж "тесты на взломоустойчивость" - по факту вообще ерунда - запускают готовый набор для скрипткиддисов, пытающийся перебрать известные дыры всяких джумловордпрессодрупалов.
>>сам PCI DSS и реализуют его частенько спустя рукава...Нормально реализуют.
Клиент в полной безопасности.
Радуют ответы некоторых интернет-магазинов после отправке им жалобы о мегадыре:Thanks for your suggestion, but our shop is totally safe. There is just an annoying javascript error.
Our shop is safe because we use https
Лично сталкивался с подобным, пытаясь донести до одного очень известного сайта сведения об ошибке. Суппорт был абсолютно уверен в непогрешимости и в том, что проблема на стороне пользователя, и лишь признал факт проблемы после пяти писем с полным разжёвыванием и требованием отправки копии ответа вышестоящему начальству.
> our shop is totally safeАхахах, спасибо, поржал.
> Суппорт был абсолютно уверен в непогрешимости и в том, что проблема на стороне пользователя
Скажите спасибо, что они ещё не говорили, что вы хакер и взломали их.
Один крупный украинский интернет-магазин одежды имел в своём самописном говнодвижке систему бонусов за покупки, где кол-во бонусов рассчитывалось на джаваскрипте и добавлялось в форму в виде input field с disabled... естессно, никакой проверки на бэкэнде. Я им даже пошаговую инструкцию отправлял, как зачислить себе много денег, даже в офис однажды заходил — не шибко умные "менеджерши" лишь поморгали глазками и пообещали, что "передадут начальству". Лишь спустя месяц починили.
Там же товары с кавычкой в имени ' вызывали на определённой странице оплаты sql error с детальным описанием проблемы и структурой таблицы (имя товара сохранялось в куках!). Но убедить их в том, что на сайте была серьёзная уязвимость, так и не удалось. Это ведь уже не очевидно дирехтурам, слово "деньги" отсутствует в описании.
С такими можно не мелочиться и просто слить баг в паблик. Когда к ним начнут приходить ушлые мешочники, декларирующие что им должны вагон одежды и 100 000 денег сверху за скидку - они наверное призадумаются :)
одним словом, хохлы
Не хохлы, а идиоты которые есть везде.
Заглянул в
> простые и читаемые скриптыВижу строчку
> var myid = ms.getTime()+"-"+Math.floor(Math.random()*(999999999-11111111+1)+11111111);Кто-нибудь может объяснить, зачем эти девятки и единицы?
Могу. Надо задумать числа от 11111111 до 999999999. Есть функция math.random, она задумывает числа от 0 до 1. Чтобы задумать числа до 999999999 - надо умножить math.random на 999999999, и отбросить дробную часть. Но это будут числа от нуля. Чтобы числа были от 11111111, а не от нуля -- надо это число к результату добавить. Но тогда числа будут не до 999999999, а до 999999999+11111111, что нам не надо. Поэтому будем задумывать не до 999999999, а до 999999999-11111111, тогда все будет нормально.Зачем там +1 не знаю, округление какое-нибудь.
Пря детектив какой-то. Читал , затаив дыхание.
Вот только почему
+11111111
а не просто
+10000000
?
В жабаскрипте Math.random() выдаёт числа в интервале [0, 1) (https://developer.mozilla.org/en-US/docs/Web/JavaScript/Refe.... В сочетании с округлением в меньшую сторону это означает, что без "+1" число 999999999 не получится никогда.
(999999999+11111111+1)
А все программисты делают это настролько дибильно? Неужели нельзя результат написать и не писать эту ересь в скобках?
> (999999999-11111111+1)Тогда неясно будет, откуда взялось именно такое число, и придётся пояснять в комментарии.
Более того - перепроверять каждый раз при поиске ошибок в этом коде.
Что значит не ясно???? (min, max)*число1 + число2. И если min и max 0 и 1 соответственно, то что тут неясного??? Я фигею, программисты математику не знают...Быдлокодеры одним словом.
PS Можете минусовать, посмотрим сколько здесь вас)))
Вы не поняли сказанного. Дело в том, что компьютер априори знает математику, и подобные формулы на практике ни на единую миллисекунду не замедляют исполнение скрипта.
А вот ошибки при подсчете программист сделать вполне может.
И тот, кому потом придется сопровождать этот код, должен иметь возможность как можно меньше думать над ним. Очевидная формула в этом смысле значительно лучше ее результата. Ибо формула читается бегло, результат же заставляет непродуктивно потратить время на его анализ.Собственно, ваши "очевидные", а на деле - бессмысленные (и даже вредные) оптимизации - это частая ошибка новичков, тех самых быдлокодеров, которыми вы, не дав себе труда задуматься, обзываете собеседников.
> компьютер априори знает математикуИ тут я почувствовал себя старым. Ведь я помню ещё FDIV bug в первых Пентиумах...
В память о котором AMD самонадеянно назвали свой флагман Бульдозером :)
Для человека уже аццкинепостльная задача сделать в уме 988888889 +1 ?
Ну не микроконтроллер же программируем, где умножение сдвигом делают. В вебе всё равно - за 1 такт или за 10 выполнится расчёт числа - всё равно всё сожрёт постройка дома и отрисовка.
>должен иметь возможность как можно меньше думать над ним.Это при том, что об этой строке УЖЕ задали вопрос, в треде которого ты отвечаешь...
И ты хочешь сказать что с одного взгляда подсчитал количество единиц и девяток
в 999999999, 11111111 и 11111111?Вот эта херня - Math.floor(Math.random()*(999999999-11111111+1)+11111111);
взята копипастом из документации.
В которой Math.floor(Math.random() * (max - min + 1)) + min;Только копипастер не сообразил что max и min "говорящие" имена.
И не додумался использовать константы.
Я хочу сказать, что с одного взгляда видно, что ошибки подсчета здесь нет. Потому что он не выполнялся.
Возможна ошибка программиста, но для ее проверки не надо делать обратный расчет, достаточно пересчитать единицы (минимальное значение результата) и девятки (максимальное). Ну, и проверить, одинаково ли количество единиц в двух случаях. Чисто механическая работа, в которой допустить ошибку самому гораздо маловероятнее, нежели при обратном пересчете.
> Зачем там +1 не знаю, округление какое-нибудь.Возможно, для того, что Math.random() выдаёт значения из открытого интервала [0, 1), поэтому 1.0 она никогда не выдаст и целая часть максимального числа будет на 1 меньше 999999999.
Если так, то программер -- перфекционист.
> Кто-нибудь может объяснить, зачем эти девятки и единицы?Это яваскрипт, детка. Он простой и читаемый. Но состоит из костылей чуть более чем полностью.
И в чем здесь костыль? Неужто отсутсвие встроенного варианта random работающего не в [0,1), а сразу дающего целые числа от 0 до n вводит "программистов" на правильных языках в ступор?
> И в чем здесь костыль?Наверное в том что код выглядит как свалка костылей. Как там говорится? Сам либу для замка, коня и принцессы, а пока ты их выписываешь - принцесса переезжает в другой замок и рыцарь обнаруживает что замок уже забросили? :)
Еще раз, в чем костыльность именно этой строки кода? Покажи, как ее переписать правильно и без костылей на ТРУЪ ЯП.
myid = "{}-{}".format(ms.getTime(), random.randint(11111111,999999999))
Молодец, подтвердил то, что я сказал раньше: 'отсутствие встроенного варианта random работающего не в [0,1), а сразу дающего целые числа от 0 до n вводит "программистов" на правильных языках в ступор'. Ну и добавил к этому неэффективность в виде использования функции форматирования вместо банальной конкатенации.
Кто следующий блеснет интеллектом?
Просил переписать на Ъ-языке?
Так там там есть подходящие функции.> Ну и добавил к этому неэффективность в виде использования функции форматирования вместо банальной конкатенации.
it depend. "банальная конкатенация" может быть как медленнее так и быстрее форматного преобразования. Вот для подобного случая - быстрее:
>>> timeit.timeit("str(1234567890)+'+'+str(987654321)")
0.5285220146179199
>>> timeit.timeit("'%s-%s'%(1234567890, 987654321)")0.2919321060180664
>>> timeit.timeit("'{}-{}'.format(1234567890, 987654321)")0.45542097091674805
> Кто следующий блеснет интеллектом?
Ты, меднолобый, и блеснёшь :)
> Просил переписать на Ъ-языке?
> Так там там есть подходящие функции.Бедный С, это же самый костыльный язык из всех распространенных, в нем нет такого количества встроенных в питончик функций.
> it depend. "банальная конкатенация" может быть как медленнее так и быстрее форматного
> преобразования. Вот для подобного случая - быстрее:
>>>> timeit.timeit("str(1234567890)+'+'+str(987654321)")
> 0.5285220146179199
>>>> timeit.timeit("'%s-%s'%(1234567890, 987654321)")
> 0.2919321060180664
>>>> timeit.timeit("'{}-{}'.format(1234567890, 987654321)")А теперь подумай, что именно ты измеряешь?
>>> timeit.timeit("'{}-{}'.format('1234567890','987654321')")0.25194787979125977
>>> timeit.timeit("'{}-{}'.format(1234567890,987654321)")0.3887770175933838
>>> timeit.timeit("'1234567890'+'-'+'987654321'")0.018227815628051758
>>> timeit.timeit("str(1234567890)+'-'+str(987654321)")0.4442710876464844
>>> timeit.timeit("str(1234567890)")0.178314924240112
Как видим собственно конкатенация многократно быстрее форматирования. А тормоза str это уже из особенностей питона.
> переписать правильно и без костылей на ТРУЪ ЯП.Не ушлепищно, очевидно, выглядит random(100500). Дающий random от 0 до 100500. Это так сложно для яваскриптеров? :)
Зачем ТРУЪ ЯП?Вот как правильно писать на javascript
getRandomIntInclusive(11111111, 999999999);
А киньте актуальную ссылку на список магазинов.
Так в новости есть: https://web.archive.org/web/20161014133252/https://gitlab.co...
И на pastebin: http://pastebin.com/rYqEeuNm
Так значит Гитлаб такое же продажное гoвно как и Гитхаб. А есть альтернативы неподстилки?
> Так значит Гитлаб такое же продажное гoвно как и Гитхаб. А есть
> альтернативы неподстилки?Тут скорее нужно искать распределенную замену Git т.е. систему без центрального сервера.
Хм.. Нужно подумать.. может git?
Подними у себя GitLab и пользуй, это ж не проприетарный Github.
> Тут скорее нужно искать распределенную замену Git т.е. систему без центрального сервера.Сам по себе git вообще никаких серверов не требет. Можешь хоть флоппинетом перекидываться. А то что HTTP сервера централизованные - наверное не git виноват.
> альтернативы неподстилки?Да, свой сервер. На всякий случай желательно на абузоустойчивом хостинге. Еще лучше - несколько серверов. Тогда желающие шатдауна отправятся писать в спортлото.
ИсследЫватель прошёлся по платным порносайтам -вот вам и статистэга. Ждём дальнейших интриг и сгандалофф.
> Представители GitLab объяснили удаление недопустимостью раскрытия сведений о уязвимых сайтах до устранения проблемы, но не учли, что в списке присутствуют только уже поражённые вредоносным ПО сайты, которые представляют угрозу для посетителей. GitHub пока не пояснил причины удаления, не исключается, что репозиторий был удалён в процессе реагирования на запрос от владельца одного из упомянутых в списке магазинов.Дайте им крепкого, сочного пендаля.
> Дайте им крепкого, сочного пендаля.Это легко. Приходишь к ним со скидкой в 110%, они очень удивятся :)
По граблям к звездам, или тернистый путь пользователей CMS, написанных на PHP.
От постинга к нобелевской премии, или тернистый путь неосилившего PHP.
Хренов тот язык, который позволяет писать говно, не ломая при этом кисти рук. Есть япы, на которых можно написать говно, но при этом тебе будут намекать разными способами, что так не делают. Есть япы, на которых очень сложно написать говно. А вот ПХП позволяет написать говно, при этом никак не подталкивая кодерманки на развитие скилла.
Так выглядит хостинг здорового человека: https://about.gitlab.com/2016/10/15/gitlab-reinstates-list-o.../> CEO of @gitlab just called, apologized for wrong interpretation of data and will restore repo shortly. Gitlab, you are the best
Это вам не гитхаб, что удаляет всё даже не дожидаясь жалоб.
>> Но список был быстро растиражирован и осел в архивахЧто делает осел в архивах?
>> Но список был быстро растиражирован и ещё в архивах был какой-то осёл
> Что делает осел в архивах?Это не осёл, это директор гитхаба. Попал на лаве и не знает, что делать теперь.
>>> Но список был быстро растиражирован и осел в архивах
> Что делает осел в архивах?То же, что и ты в апельсинах?
Я в таких магазинах не отовариваюсь.
Спасибо что сообщили! Держите нас в курсе
>2016 год
>Не использовать PayPal, а вводить номер карты/CVVC в магазинах by Vasya Zapupkin
>>2016 год
>>Не использовать PayPal, а вводить номер карты/CVVC в магазинах by Vasya ZapupkinМожно использовать. Визу виртуал по типу киви. К тому моменту как кардер доберется до разувания карты, баланс будет безнадежно спущен самим юзером и брать там будет нечего. А через пару месяцев карта превратится в тыкву, чтобы совсем хорошо. Собственно для этого visa virtual и существует.
При микроплатежах, например, у Палки комиссия конская по сравнению с обычным пластиком.
Разница, конечно, не для вас, а для магазина, но компенсировать эту разницу магазин будет не из своего, а из вашего кармана. Так или иначе.
А какой толк со всех этих данных при том, что для сетевых операций банки уже давно стали требовать SMS-авторизацию?
Ага? прям банк, и прям требует?
> Ага? прям банк, и прям требует?Ну да. Сбербанк требует. Неудобно, но двухфакторная аутентификация. Приходит код на телефон, и пока его не вобьёшь в форму, деньги не переведут. Телефон известен только банку, продавец его не знает. Конечно, хакер может слить из банка базу пользователей с номерами счетов и телефонами, но на сегодня это слишком сложно, проще обворовывать тех, чьи банки не требуют привязки к телефону.
Это случайно не тот же самый сбербанк, который утверждает, что мой мобильный оператор (Летай) не поддерживается их системой и мне нужно перейти на например MTS, чтобы пользоваться онлайн-кабинетом и оплачивать покупки в интернете?
> Конечно, хакер может слить из банка базу пользователей с номерами счетов и телефонамиИ как знание этих номеров поможет хакеру получить смс с одноразовым кодом?
> И как знание этих номеров поможет хакеру получить смс с одноразовым кодом?SS7 signalling вообще никак не защищен и джентльмены верят друг другу на слово. Поэтому кто угодно может запретендовать что у него именно твой номер и получить смску. А как ты думал аккаунты телеграма и прочих систем привязанных к телефонным номерам вскрывают? :)
>> Конечно, хакер может слить из банка базу пользователей с номерами счетов и телефонами
> И как знание этих номеров поможет хакеру получить смс с одноразовым кодом?Пользователь вобьёт его в форму на взломанном сайте. Ваш Кэп.
Что он вобьет вместо одноразового пароля?
та прям, карта сбрбнк, покупи с али без смс кода.
Публичная карта должна быть, товарищи, у каждого !
>Телефон известен только банку, продавец его не знает.Т.е. покупатель не вбивает его тут же рядом для отслеживания доставки и т.д. и т.п.?
:)
В РФ 3D-secure очень популярен, почти обязателен. А на очень многих сайтах с припиской в Штатах просто нет поля для ввода CVV/CVC кода, какие уж там смски. Так что эта проблема для пользователей банков РФ не особенно актуальна.
Вообще, банковская система в США всегда славилась некоторой технической отсталостью идущей наряду с передовыми решениями. Например у них появился свифт, но ещё 10 лет назад "банковский платёж" у них происходил в виде пересылки бумажки с подписями и мокрыми печатями из банка в другой, иногда он шёл пару недель.
Или те же карты, ещё лет 10 назад, как сейчас не знаю, там больше половины платёжных терминалов в магазинах были тупо оффлайновыми, причём считывали даже не магнитную полосу (о всяких чипованных картах умолчим), а механически считывали буковки, что выдавлены на карте. И это при том, что все новшества в плане безопасности карт придумываются именно там.
Там безопасность держится на здоровенной кредитной истории. Другими словами, банк занет, кому можно доверять - и претензии этих людей удовлетворяются моментально. Да и в общем чаржбек там - не проблема абсолютно. Все риски - на продавце.
> А какой толк со всех этих данных при том, что для сетевых
> операций банки уже давно стали требовать SMS-авторизацию?Стим, например, не требует...
Если бы магазины перенаправляли не платежные шлюзы вместо того чтобы пилить свои интерефейсы оплаты, то такой бы проблемы не было.
Выше несколько раз разжевали очевидное: если на сайт подсажен троян, он легко подсунет пользователю свой интерфейс вместо того, что реализовано в магазине. Да, если магазин сам не принимает платежные реквизиты, а только инициирует запрос на платежную систему, трояну не удастся сделать вид, что ничего не было - даже если он тоже перебросит пользователя, куда положено, там заново запросят реквизиты.
Но это разве что ускорит обнаружение трояна. А вот попавшемуся на него покупателю никак не поможет - его реквизиты уже сворованы.
Для этого уже и payment api добавили в стандарт. Ждем массового использования.
Итого новость: 2,22% из проверенных сайтов оказались чем-то заражены.
Жуть-то какая.
Более интересным было бы число пользователей этих магазинов.
Я ради интереса проглядел украинские - какая-то редчайшая хрень, о которой, наверное, кроме владельца и его собаки вообще никто не слышал. В общем, невелика беда.
Хм, а каким боком тут скимминг (мошенничество путем изготовления копии магнитной полосы банковской карты) ????- правильно будет заменить на фишинг.
> Хм, а каким боком тут скимминг (мошенничество путем изготовления копии магнитной полосы
> банковской карты) ????- правильно будет заменить на фишинг.Магнитная полоса тут непричём, это лишь один из частных случаев. Суть скимминга в перехвате параметров карты. В offline это делается специальными накладками на банкомат, а в online мошенническими формами ввода или перехватом передачи параметров через нормальные формы.
>> Хм, а каким боком тут скимминг (мошенничество путем изготовления копии магнитной полосы
>> банковской карты) ????- правильно будет заменить на фишинг.
> Магнитная полоса тут непричём, это лишь один из частных случаев. Суть скимминга
> в перехвате параметров карты. В offline это делается специальными накладками на
> банкомат, а в online мошенническими формами ввода или перехватом передачи параметров
> через нормальные формы.В данном случае чистейший фишинг ... Ибо именно в этом случае мошенники НЕ получают дамп магнитной полосы, а только полные реквизиты карты. Скиммер железячный на банкомате или софтовый в торговой сети в любом случае работает на получение дампа полосы.
Частным случаем кардинга является скимминг (от англ. skim — снимать сливки), при котором используется скиммер — инструмент злоумышленника для считывания, например, магнитной дорожки платёжной карты. При осуществлении данной мошеннической операции используется комплекс скимминговых устройств:инструмент для считывания магнитной дорожки платёжной карты — представляет собой устройство, устанавливаемое в картоприёмник, и кардридер на входной двери в зону обслуживания клиентов в помещении банка. Представляет собой устройство со считывающей магнитной головкой, усилителем — преобразователем, памятью и переходником для подключения к компьютеру. Скиммеры могут быть портативными, миниатюрными. Основная идея и задача скимминга — считать необходимые данные (содержимое дорожки/трека) магнитной полосы карты для последующего воспроизведения её на поддельной. Таким образом, при оформлении операции по поддельной карте авторизационный запрос и списание денежных средств по мошеннической транзакции будут осуществлены со счета оригинальной, «скиммированной» карты.
миниатюрная видеокамера, устанавливаемая на банкомат и направляемая на клавиатуру ввода в виде козырька банкомата либо посторонних накладок, например, рекламных материалов — используется вкупе со скиммером для получения ПИН держателя, что позволяет получать наличные в банкоматах по поддельной карте (имея данные дорожки и ПИН оригинальной).
Использование вредоносного кода, встроенного в банкомат[источник не указан 90 дней]. Дампы банковских карт, записываются без использования спец оборудования и распознать такой способ обывателю не возможно, но встречается он крайне редко и в большинстве случаев преобладает среди маленьких банков[источник не указан 90 дней]. Дальше с помощью дампов создаются копии карт.
Данные устройства питаются от автономных источников энергии — миниатюрных батарей электропитания, и, для затруднения обнаружения, как правило, изготавливаются и маскируются под цвет и форму банкомата.Скиммеры могут накапливать украденную информацию о пластиковых картах, либо дистанционно передавать её по радиоканалу злоумышленникам, находящимся поблизости. После копирования информации с карты мошенники изготавливают дубликат карты и, зная ПИН, снимают все деньги в пределах лимита выдачи, как в России, так и за рубежом. Также мошенники могут использовать полученную информацию о банковской карте для совершения покупок в торговых точках.
Обоим ораторам пора уже знать, что помимо XOR есть ещё и OR.
Т.е. скимминг путём фишинга.