Проблемы с безопасностью у "Яндекс.Ленты"

Россия+7 (495) 960-65-87
Шрифт:
0 1312

Недокументированная возможность "Яндекс.Ленты" в качестве "побочного эффекта" отображала в открытом доступе пароли пользователей Живого Журнала. "Яндекс.Лента" представляет собой агрегатор RSS-фидов, с помощью которого можно, помимо прочего, просматривать новые записи в блогах. Некоторые записи, закрытые от общего просмотра, могут читать друзья ("френды"), которым автор дал соответствующий уровень доступа. "Яндекс.Лента" доступна пользователю после регистрации в Яндексе, но с ней нельзя работать зарегистрировавшись под своим ЖЖ-логином, поэтому она не может отображать закрытые (или "подзамочные" записи).

Еще полгода назад пользователь ЖЖ Александр Бишоп обнаружил, что такие записи всё же можно читать, составив определенным образом URL к RSS-фиду: "Он должен иметь вид http://username:password@host/feed?auth=digest, где: yourusername - Ваш логин в LiveJournal, yourpassword - Ваш пароль в LiveJournal, friendsname - логин Вашего друга".

Пользователи, которые внедрили этот метод, не учли, что фид, уже будучи создан в чьей-то ленте, будет виден всем, кто захочет добавить его в ленту себе. Таким образом, их пароли и логины оказывались в чужих руках. Ни у одного другого RSS-агрегатора, кроме "Яндекс.Ленты", пока не обнаруживалось аналогичных уязвимостей. Пользователь заводит себе аккаунт на сайте яндекса и получает возможность пользоваться _персональным_ агрегатором RSS-фидов, т.е. он даже не подозревает о том, что фиды, которые он добавляет в агрегатор, будут видны кому-то еще. Соответственно, безбоязненно вводит логин и пароль в явном виде, чтобы читать подзамочные записи. Яндекс же в свою очередь посчитал, что раз один пользователь фид уже добавил и другой пользователь хочет читать его же, то почему бы не использовать один URL для всех? При этом яндекс не проверял URL на наличие логина и пароля, потому что возможность ручного ввода URL именно в таком формате они просто не предусмотрели. Сейчас эта дыра закрыта, разработчики, видимо, вручную перелопатили базу по шаблону и удалили все фиды в таком формате.

Роман Иванов, менеджера проекта "Яндекс.Лента" прокомментировал эти факты следующим образом: Проблема действительно была - из-за технической ошибки существовала потенциальная возможность раскрытия паролей к ЖЖ 98 человек. По нашим оценкам, реально могли пострадать менее двух десятков пользователей. Сама проблема была устранена примерно в течение часа после того, как она стала публичной.

Случилось что-то важное? Поделитесь новостью с редакцией.


Новые 
Новые
Лучшие
Старые
Сообщество
Подписаться 
Подписаться на дискуссию:
E-mail:
ОК
Вы подписаны на комментарии
Ошибка. Пожалуйста, попробуйте ещё раз.
Отправить отзыв
    ПОПУЛЯРНЫЕ ОБСУЖДЕНИЯ НА SEONEWS
    SEOnews и Serpstat запускают конкурс для интернет-маркетологов
    Marina Lagutina
    1
    комментарий
    0
    читателей
    Полный профиль
    Marina Lagutina - Добрый день! Видимо я из тех, кто пытается последней вскочить в уходящий поезд. Ночью написала статью на тему "обзор инструментов контент-маркетинга". Своего блога нет. Отправила вам не мейл. Я еще могу у вас разместиться или искать, кто возьмет статью к себе в блог?
    «Я оптимизировал сайт, а он не в ТОП! Что делать?»
    Павел Горбунов
    7
    комментариев
    0
    читателей
    Полный профиль
    Павел Горбунов - Как можно в инструменте tools.pixelplus.ru/tools/text-natural сравнить текст со страницы конкурента и со своей страницы? Я вижу возможность только для проверки одного урла.
    Монетизация сайта. Как, когда, сколько?
    Гость2
    1
    комментарий
    0
    читателей
    Полный профиль
    Гость2 - Руслан! Спасибо за ваш сервис и за данную статью в частности! С апреля являюсь вашим пользователем - очень доволен как сервисом, так и уровнем заработка! Еще раз спасибо, удачи вашему проекту!
    Мир глазами поисковых систем
    Александр Рунов
    7
    комментариев
    0
    читателей
    Полный профиль
    Александр Рунов - Какой регион, если не секрет? В Мск, в ряде ВК тематик (в тех же "окнах" или "колесах"), без работы с внешними факторами по ВЧ запросам в ТОП не выплывешь. Хотя в большинстве направлений вполне реально.
    Влияние HTTPS на ранжирование региональных поддоменов в Яндексе
    Екатерина Иванова
    1
    комментарий
    0
    читателей
    Полный профиль
    Екатерина Иванова - Посмотрите на сколько упал трафик и на сколько потом вырос:упал на 10-20% на 1 месяц, а вырос в итоге в 5 раз. Одним мартовским трафиком всё падение перекрыли. Или можно ждать Яндекс неопределённое количество времени со стартовым уровнем трафика. Упущенные возможности и всё-такое.
    7 причин не работать на биржах копирайтинга
    Dasha Shkaruba
    6
    комментариев
    0
    читателей
    Полный профиль
    Dasha Shkaruba - Спасибо за мнение! Кстати, на бирже главреда прием анкет закрыт
    День рождения SEOnews: 12 лет в эфире!
    Анна Макарова
    308
    комментариев
    0
    читателей
    Полный профиль
    Анна Макарова - Ура )
    Google.ru внесли в реестр запрещенных сайтов
    Гость
    1
    комментарий
    0
    читателей
    Полный профиль
    Гость - Гон, все работает и будет работать. Да и пусть банят, будет как с рутрекером.
    Инфографика: самые распространенные SEO-ошибки Рунета
    Alex Wise
    3
    комментария
    0
    читателей
    Полный профиль
    Alex Wise - Спасибо, Женя, за рекомендацию! :) Андрей, чтобы понять, какой программой пользоваться, нужно сделать несколько вещей: 1. Попробовать обе: у нас в Netpeak Spider бесплатный триал на 14 дней с полным функционало; у SFSS до 500 URL всегда бесплатно, но с ограниченным функционалом. 2. Понять свой стиль работы – если вы любите полный контроль и из-за этого более высокую скорость пробивки, тогда выбирайте Netpeak Spider. Если для вас не так важна скорость и количество пробитых URL, то можно остановиться на SFSS. 3. Определиться с нужными функциями: их в обоих программах очень много и как в Netpeak Spider есть уникальные, так и в SFSS есть свои уникальные. Мы всегда ориентируемся на то, чтобы быстро и чётко показать ошибки – для этого у нас вся таблица красится в соответствующие цвета. Думайте!) И, если что, обращайтесь с вопросами – мы будем рады помочь!)
    Конкурс: угадайте пятерку лидеров рейтинга «SEO глазами клиентов 2017»
    Оля
    1
    комментарий
    0
    читателей
    Полный профиль
    Оля - 1 Ingate 2 Wezom 3 Bynjg vtlbf 4 seo energy 5 директ лайн
    ТОП КОММЕНТАТОРОВ
    Комментариев
    910
    Комментариев
    834
    Комментариев
    554
    Комментариев
    540
    Комментариев
    483
    Комментариев
    373
    Комментариев
    308
    Комментариев
    262
    Комментариев
    224
    Комментариев
    171
    Комментариев
    156
    Комментариев
    137
    Комментариев
    121
    Комментариев
    97
    Комментариев
    97
    Комментариев
    95
    Комментариев
    80
    Комментариев
    77
    Комментариев
    67
    Комментариев
    60
    Комментариев
    59
    Комментариев
    55
    Комментариев
    53
    Комментариев
    52
    Комментариев
    46

    Отправьте отзыв!
    Отправьте отзыв!