сервис аналитики звонков и оптимизации
бизнес-процессов
Войти как пользователь
Вы можете войти на сайт, если вы зарегистрированы на одном из этих сервисов:

Проблемы с безопасностью у "Яндекс.Ленты"

Россия +7 (495) 960-65-87
Шрифт:
0 1167

Недокументированная возможность "Яндекс.Ленты" в качестве "побочного эффекта" отображала в открытом доступе пароли пользователей Живого Журнала. "Яндекс.Лента" представляет собой агрегатор RSS-фидов, с помощью которого можно, помимо прочего, просматривать новые записи в блогах. Некоторые записи, закрытые от общего просмотра, могут читать друзья ("френды"), которым автор дал соответствующий уровень доступа. "Яндекс.Лента" доступна пользователю после регистрации в Яндексе, но с ней нельзя работать зарегистрировавшись под своим ЖЖ-логином, поэтому она не может отображать закрытые (или "подзамочные" записи).

Еще полгода назад пользователь ЖЖ Александр Бишоп обнаружил, что такие записи всё же можно читать, составив определенным образом URL к RSS-фиду: "Он должен иметь вид http://username:password@host/feed?auth=digest, где: yourusername - Ваш логин в LiveJournal, yourpassword - Ваш пароль в LiveJournal, friendsname - логин Вашего друга".

Пользователи, которые внедрили этот метод, не учли, что фид, уже будучи создан в чьей-то ленте, будет виден всем, кто захочет добавить его в ленту себе. Таким образом, их пароли и логины оказывались в чужих руках. Ни у одного другого RSS-агрегатора, кроме "Яндекс.Ленты", пока не обнаруживалось аналогичных уязвимостей. Пользователь заводит себе аккаунт на сайте яндекса и получает возможность пользоваться _персональным_ агрегатором RSS-фидов, т.е. он даже не подозревает о том, что фиды, которые он добавляет в агрегатор, будут видны кому-то еще. Соответственно, безбоязненно вводит логин и пароль в явном виде, чтобы читать подзамочные записи. Яндекс же в свою очередь посчитал, что раз один пользователь фид уже добавил и другой пользователь хочет читать его же, то почему бы не использовать один URL для всех? При этом яндекс не проверял URL на наличие логина и пароля, потому что возможность ручного ввода URL именно в таком формате они просто не предусмотрели. Сейчас эта дыра закрыта, разработчики, видимо, вручную перелопатили базу по шаблону и удалили все фиды в таком формате.

Роман Иванов, менеджера проекта "Яндекс.Лента" прокомментировал эти факты следующим образом: Проблема действительно была - из-за технической ошибки существовала потенциальная возможность раскрытия паролей к ЖЖ 98 человек. По нашим оценкам, реально могли пострадать менее двух десятков пользователей. Сама проблема была устранена примерно в течение часа после того, как она стала публичной.

Случилось что-то важное? Поделитесь новостью с редакцией.


Новые 
Новые
Лучшие
Старые
Сообщество
Подписаться 
Подписаться на дискуссию:
E-mail:
ОК
Вы подписаны на комментарии
Ошибка. Пожалуйста, попробуйте ещё раз.
Поделиться 
Поделиться дискуссией:
Отправить отзыв
ПОПУЛЯРНЫЕ ОБСУЖДЕНИЯ НА SEONEWS
Как построить качественную ссылочную массу сайта
Айрат Рахимзянов
38
комментариев
0
читателей
Полный профиль
Айрат Рахимзянов - Спасибо Кирилл. Сейчас восстановилась работа сервиса: take.ms/ttXrw
Анализ ссылок: сравнение многофункциональных платформ по размеру их баз
Андрей Ольшевский - Очень неточная статистика, объясню почему. Довольно часто делаю анализ сайтов на качество и объём ссылочной массы. Всегда делаю выгрузку из трех источников – Вебмастера Яндекса, сервиса Мегаиндекс, сервиса Линкпад. Потом с помощи алгоритмов и функции Excel отсеиваются много дублей, битых ссылок, несуществующих урл и тп. Как показала практика, вебмастера Яндекса вполне достаточно, там вся информация и она самая актуальная, в других сервисах куча мусора, а нового, чтоб было найдено и проиндексировано ПС - очень мало. Поэтому мирятся количеством в данном анализе не профессионально.
Как создать интернет-магазин: сколько стоит открытие?
Пришел посмеяться
1
комментарий
0
читателей
Полный профиль
Пришел посмеяться - Я просто посмеюсь :D Даже не хочу ничего особо говорить :D Смех, а не статья.
ТОП-10 автоматизированных сервисов контекстной рекламы
Гость - Действительно, очень плохая статья. А у редактора Блондинки видимо слишком много свободного времени.
Кому и зачем нужен маркетплейс от Яндекса
Дарья Калинская
212
комментария
0
читателей
Полный профиль
Дарья Калинская - Максим, спасибо, рада, что статья оказалась полезной )
Конкурс: угадай победителя рейтинга «Известность бренда SEO-компаний»
Андрей
1
комментарий
0
читателей
Полный профиль
Андрей - Оптимизм Дэмис Кокос Ашманов и Партнеры Раш эдженси
Инструкция по применению: обзор сервиса обратного звонка Callbackhunter
Полина Ковальчук
1
комментарий
0
читателей
Полный профиль
Полина Ковальчук - Возможно, но не советую экономить на этом сервисе, функционал то тоже круче, чем у аналогов. Вы создаете сайт для получения денег и чем качественнее Вы выстроите продвижение, тем больше лидов Вы получите!
Тест: Какой ты интернет-маркетолог?
Петр - Мда уж, есть ряд очень и очень субъективных вопросов, например с картинками и ctr или с несколькими вариантами ответа, когда из 5 пунктов надо выбрать 4, что несерьезно. Поэтому, как минимум, к этому тесту нельзя относиться серьезно. Его надо очень серьезно дотягивать, а не вываливать отсебятину.
Чек-лист: SEO для B2B-бизнеса
Антон Зозуля
8
комментариев
0
читателей
Полный профиль
Антон Зозуля - Ваша цель вывести страницу, на которой будет только ваш товар (обычно это фильтр бренд/производитель в нужном каталоге) по СЧ запросам в ТОП. Например, вы продаете "велосипеды Елочка". В каталоге дилера велосипеды, вы выбираете Бренд - "Елочка" и должны получить страницу "велосипеды Елочка". Она должна быть на уникальном урл, иметь уникальные метатеги, лучше, чтобы был SEO-текст. После этого ваша задача получить на нее трафик по запросам: идеально: купить велосипед, цена велосипед хуже: велосипед дешево, китайский велосипед еще хуже (меньше трафика и ниже конверсия, но они есть): велосипед + [регион], велосипед + [фильтр другой]. Тут трудно без прямого влияния на содержимое страницы (метатеги и текст). ПС бренд елочка выдуман. :)
Комплексный аудит от А до Я: анализируем интернет-магазин напольных покрытий и межкомнатных дверей
Ivan Kutas
1
комментарий
0
читателей
Полный профиль
Ivan Kutas - Иногда сайты выгружают данные из GA в SimilarWeb. В Казахстане некоторые крупные новостники регулярно это делают.
ТОП КОММЕНТАТОРОВ
Комментариев
910
Комментариев
834
Комментариев
554
Комментариев
540
Комментариев
483
Комментариев
373
Комментариев
285
Комментариев
262
Комментариев
212
Комментариев
171
Комментариев
156
Комментариев
137
Комментариев
123
Комментариев
97
Комментариев
97
Комментариев
95
Комментариев
80
Комментариев
71
Комментариев
67
Комментариев
60
Комментариев
55
Комментариев
52
Комментариев
50
Комментариев
45
Комментариев
44

Отправьте отзыв!
Отправьте отзыв!