Проблемы с безопасностью у "Яндекс.Ленты"

Россия+7 (495) 960-65-87
Шрифт:
0 1391

Недокументированная возможность "Яндекс.Ленты" в качестве "побочного эффекта" отображала в открытом доступе пароли пользователей Живого Журнала. "Яндекс.Лента" представляет собой агрегатор RSS-фидов, с помощью которого можно, помимо прочего, просматривать новые записи в блогах. Некоторые записи, закрытые от общего просмотра, могут читать друзья ("френды"), которым автор дал соответствующий уровень доступа. "Яндекс.Лента" доступна пользователю после регистрации в Яндексе, но с ней нельзя работать зарегистрировавшись под своим ЖЖ-логином, поэтому она не может отображать закрытые (или "подзамочные" записи).

Еще полгода назад пользователь ЖЖ Александр Бишоп обнаружил, что такие записи всё же можно читать, составив определенным образом URL к RSS-фиду: "Он должен иметь вид http://username:password@host/feed?auth=digest, где: yourusername - Ваш логин в LiveJournal, yourpassword - Ваш пароль в LiveJournal, friendsname - логин Вашего друга".

Пользователи, которые внедрили этот метод, не учли, что фид, уже будучи создан в чьей-то ленте, будет виден всем, кто захочет добавить его в ленту себе. Таким образом, их пароли и логины оказывались в чужих руках. Ни у одного другого RSS-агрегатора, кроме "Яндекс.Ленты", пока не обнаруживалось аналогичных уязвимостей. Пользователь заводит себе аккаунт на сайте яндекса и получает возможность пользоваться _персональным_ агрегатором RSS-фидов, т.е. он даже не подозревает о том, что фиды, которые он добавляет в агрегатор, будут видны кому-то еще. Соответственно, безбоязненно вводит логин и пароль в явном виде, чтобы читать подзамочные записи. Яндекс же в свою очередь посчитал, что раз один пользователь фид уже добавил и другой пользователь хочет читать его же, то почему бы не использовать один URL для всех? При этом яндекс не проверял URL на наличие логина и пароля, потому что возможность ручного ввода URL именно в таком формате они просто не предусмотрели. Сейчас эта дыра закрыта, разработчики, видимо, вручную перелопатили базу по шаблону и удалили все фиды в таком формате.

Роман Иванов, менеджера проекта "Яндекс.Лента" прокомментировал эти факты следующим образом: Проблема действительно была - из-за технической ошибки существовала потенциальная возможность раскрытия паролей к ЖЖ 98 человек. По нашим оценкам, реально могли пострадать менее двух десятков пользователей. Сама проблема была устранена примерно в течение часа после того, как она стала публичной.

Читайте нас в Telegram - digital_bar

Случилось что-то важное? Поделитесь новостью с редакцией.


Новые 
Новые
Лучшие
Старые
Сообщество
Подписаться 
Подписаться на дискуссию:
E-mail:
ОК
Вы подписаны на комментарии
Ошибка. Пожалуйста, попробуйте ещё раз.
Отправить отзыв
    ПОПУЛЯРНЫЕ ОБСУЖДЕНИЯ НА SEONEWS
    Рейтинг «Известность бренда SEO-компаний 2017»: народное голосование
    Иван
    1
    комментарий
    0
    читателей
    Полный профиль
    Иван - 1) IT-Agency 2) Пиксели 3) 1ps 4) Ингейт 5) Нетпики
    «Баден-Баден»: как выйти из-под фильтра
    Сергей Дембицкий «Sima-Land.ru»
    17
    комментариев
    0
    читателей
    Полный профиль
    Сергей Дембицкий «Sima-Land.ru» - Скрины Метрики показывать не буду, но мы (sima-land.ru - 1,5 млн. стр. в поиске Яндекс) в сентябре загремели под ББ, в разгар сезона и вышли из-под фильтра, спустя 50 дней, удалив все тексты с сайта: категории + карточки товаров (описание). Трафик с Google только вырос. Тексты возвращать собираемся, но процесс будет длительный, тексты будем теперь писать исключительно полезные, т.к. было больно :-))
    Второе дыхание ссылочного продвижения
    Автопилот
    14
    комментариев
    0
    читателей
    Полный профиль
    Автопилот - Еще лучше, когда продвижение осуществляется комплексно :)
    Кейс: продвигаем бизнес по продаже пластиковых окон в Москве
    Иван Стороженко
    5
    комментариев
    0
    читателей
    Полный профиль
    Иван Стороженко - 1. По началу вообще не использовали, сейчас уже много каналов используется. 2. Все может быть, в принципе сайты должны быть удобны для пользователя, для этого и нужна схожесть между собой. Честно говоря старались брать все самое интересное у конкурентов + подкреплять своими идеями.
    Западные специалисты выяснили, как повысить позиции ресурса в выдаче Google
    Максим Мирошник
    2
    комментария
    0
    читателей
    Полный профиль
    Максим Мирошник -
    «Прямая линия» с Александром Алаевым («АлаичЪ и Ко»): отвечаем на вопросы
    Александр Алаев
    13
    комментариев
    0
    читателей
    Полный профиль
    Александр Алаев - Роман. Тут ответ очень простой. Каждый запрос можно четко разделить на коммерческий или некоммерческий. "Купить слона" и его длинные хвосты - коммерческий. "Как выбрать слона" и подобные - информационные. Вот под коммерческие ключи должны быть страницы услуг или каталога товаров. А под информационку - блог. Очень важно не путать их, тем более несоответствующая коммерческим факторам страниц просто не продвинется, то есть по запросу с "купить" блог никогда не будет показываться в выдаче, так же как и страница услуги/товаров не покажется по "как выбрать". Понятно примерно?
    Инфографика: самые распространенные SEO-ошибки Рунета
    Dmitro Grunt
    2
    комментария
    0
    читателей
    Полный профиль
    Dmitro Grunt - Кстати, у проектов которые продвигает Нетпик все тайтлы не более 65 символов? Или вы надеетесь что кто то послушает советов и отдаст вам часть трафика? :-)
    7 причин не работать на биржах копирайтинга
    Dasha Shkaruba
    6
    комментариев
    0
    читателей
    Полный профиль
    Dasha Shkaruba - Спасибо за мнение! Кстати, на бирже главреда прием анкет закрыт
    «Прямая линия» с Артуром Латыповым: отвечаем на вопросы
    God Koss
    1
    комментарий
    0
    читателей
    Полный профиль
    God Koss - Добрый день! Есть сайты одной компании продвигающиеся в разных странах. .ru .com .net. На российском сайте два языка ru и en, на остальных до 10 языков. Недавно сайт ru по основному брендовому запросу выпал из выдачи Яндекс но после апа вернулся на вторую позицию. На вопрос аффилирования в тех поддержку, получит ответ, что всё в порядке и сайт com не учавствует в выдаче. Но он есть и занимает 1 место. Как быть в данной ситуации? Так же, после возврата в топ 10 по этому запросу зашла еще одна внутренняя страница. Могло ли это случиться из-за каннибализации запроса? Немного изменил description на внутренней, исключил вхождения брендового запроса. Жду апа. Хотел бы услышать ваше мнение. Заранее благодарю!
    Google.ru внесли в реестр запрещенных сайтов
    Гость
    1
    комментарий
    0
    читателей
    Полный профиль
    Гость - Гон, все работает и будет работать. Да и пусть банят, будет как с рутрекером.
    ТОП КОММЕНТАТОРОВ
    Комментариев
    910
    Комментариев
    834
    Комментариев
    554
    Комментариев
    540
    Комментариев
    483
    Комментариев
    373
    Комментариев
    314
    Комментариев
    262
    Комментариев
    229
    Комментариев
    171
    Комментариев
    156
    Комментариев
    137
    Комментариев
    121
    Комментариев
    97
    Комментариев
    97
    Комментариев
    95
    Комментариев
    80
    Комментариев
    78
    Комментариев
    67
    Комментариев
    60
    Комментариев
    59
    Комментариев
    55
    Комментариев
    54
    Комментариев
    52
    Комментариев
    49

    Отправьте отзыв!
    Отправьте отзыв!