Проблемы с безопасностью у "Яндекс.Ленты"

Россия+7 (495) 960-65-87
Шрифт:
0 1613

Недокументированная возможность "Яндекс.Ленты" в качестве "побочного эффекта" отображала в открытом доступе пароли пользователей Живого Журнала. "Яндекс.Лента" представляет собой агрегатор RSS-фидов, с помощью которого можно, помимо прочего, просматривать новые записи в блогах. Некоторые записи, закрытые от общего просмотра, могут читать друзья ("френды"), которым автор дал соответствующий уровень доступа. "Яндекс.Лента" доступна пользователю после регистрации в Яндексе, но с ней нельзя работать зарегистрировавшись под своим ЖЖ-логином, поэтому она не может отображать закрытые (или "подзамочные" записи).

Еще полгода назад пользователь ЖЖ Александр Бишоп обнаружил, что такие записи всё же можно читать, составив определенным образом URL к RSS-фиду: "Он должен иметь вид http://username:password@host/feed?auth=digest, где: yourusername - Ваш логин в LiveJournal, yourpassword - Ваш пароль в LiveJournal, friendsname - логин Вашего друга".

Пользователи, которые внедрили этот метод, не учли, что фид, уже будучи создан в чьей-то ленте, будет виден всем, кто захочет добавить его в ленту себе. Таким образом, их пароли и логины оказывались в чужих руках. Ни у одного другого RSS-агрегатора, кроме "Яндекс.Ленты", пока не обнаруживалось аналогичных уязвимостей. Пользователь заводит себе аккаунт на сайте яндекса и получает возможность пользоваться _персональным_ агрегатором RSS-фидов, т.е. он даже не подозревает о том, что фиды, которые он добавляет в агрегатор, будут видны кому-то еще. Соответственно, безбоязненно вводит логин и пароль в явном виде, чтобы читать подзамочные записи. Яндекс же в свою очередь посчитал, что раз один пользователь фид уже добавил и другой пользователь хочет читать его же, то почему бы не использовать один URL для всех? При этом яндекс не проверял URL на наличие логина и пароля, потому что возможность ручного ввода URL именно в таком формате они просто не предусмотрели. Сейчас эта дыра закрыта, разработчики, видимо, вручную перелопатили базу по шаблону и удалили все фиды в таком формате.

Роман Иванов, менеджера проекта "Яндекс.Лента" прокомментировал эти факты следующим образом: Проблема действительно была - из-за технической ошибки существовала потенциальная возможность раскрытия паролей к ЖЖ 98 человек. По нашим оценкам, реально могли пострадать менее двух десятков пользователей. Сама проблема была устранена примерно в течение часа после того, как она стала публичной.

(Нет голосов)
Читайте нас в Telegram - digital_bar

Случилось что-то важное? Поделитесь новостью с редакцией.


Новые 
Новые
Лучшие
Старые
Сообщество
Подписаться 
Подписаться на дискуссию:
E-mail:
ОК
Вы подписаны на комментарии
Ошибка. Пожалуйста, попробуйте ещё раз.
Отправить отзыв
    ПОПУЛЯРНЫЕ ОБСУЖДЕНИЯ НА SEONEWS
    Рейтинг Известности 2018: старт народного голосования
    Михаил Р
    1
    комментарий
    0
    читателей
    Полный профиль
    Михаил Р - 1. Demis 2. кокс 3. Ашманов 4. Скобеев 5. Digital Strategy
    Тест: Кто как пробежал, или Итоги клиентского рейтинга SEOnews 2018
    Анна Макарова
    338
    комментариев
    0
    читателей
    Полный профиль
    Анна Макарова - Друзья, спасибо всем за участие! Мы определили победителей. Кто ими стал - вы найдете по ссылке: www.seonews.ru/events/darim-knigi-ot-mif-pobediteli-opredeleny/ Если вы стали одним из победителей, обязательно свяжитесь с нами по указанной в новости (по ссылке выше) почте. Всем хороших выходных! =)
    SEO глазами клиентов 2018
    Артур Якушев
    1
    комментарий
    0
    читателей
    Полный профиль
    Артур Якушев - >сейчас же сложно найти агентства, которые специализируются только на SEO Не так и сложно найти нас www.msk.lapkinlab.ru
    Рейтинг Известности 2018: второй этап народного голосования
    Константин Сокол
    3
    комментария
    0
    читателей
    Полный профиль
    Константин Сокол - Кто был ответственный за дизайн таблицы голосования? Копирайтер?
    Комплексный аудит интернет-магазина от «Ашманов и партнеры». Часть 1
    Александр Сова
    1
    комментарий
    0
    читателей
    Полный профиль
    Александр Сова - А вот и сеошники подъехали, покидать на вентилятор :D
    Кейс: вывод лендинга по изготовлению флагов на заказ в ТОП 1 по Санкт-Петербургу
    utka21
    4
    комментария
    0
    читателей
    Полный профиль
    utka21 - Кейс как кейс. Для некоторых станет вполне возможно полезным. ( Для конкурентов точно) . А вот с комментариями , что то пошло не так )
    Не очень удачный кейс продвижения сайта по услуге «Трезвый водитель» в Москве
    Кирилл Щербаков
    3
    комментария
    0
    читателей
    Полный профиль
    Кирилл Щербаков - "даже пришлось подключить отслеживание звонков с сайта" "Даже" - как будто это что-то нереальное
    Как использовать Python для LSI-копирайтинга
    Evgeny Montana
    6
    комментариев
    0
    читателей
    Полный профиль
    Evgeny Montana - спасибо)
    Стартовал сбор заявок на участие в рейтинге «Известность бренда SEO-компаний 2018»
    Артем Первухин
    1
    комментарий
    0
    читателей
    Полный профиль
    Артем Первухин - Make KINETICA Great Again!
    Эксперимент: как уникальность контента влияет на продвижение сайта
    Ilia Nazmutdinov
    2
    комментария
    0
    читателей
    Полный профиль
    Ilia Nazmutdinov - Кстати, ПФ не работают на нулевом трафике. Пока на сайт не льются тысячи показов по одним и тем же запросам влияние оказывает ток ссылочное\внешнее и внутреннее\ и внутренняя оптимизация.
    ТОП КОММЕНТАТОРОВ
    Комментариев
    910
    Комментариев
    834
    Комментариев
    554
    Комментариев
    540
    Комментариев
    483
    Комментариев
    373
    Комментариев
    338
    Комментариев
    262
    Комментариев
    241
    Комментариев
    171
    Комментариев
    156
    Комментариев
    137
    Комментариев
    121
    Комментариев
    97
    Комментариев
    97
    Комментариев
    97
    Комментариев
    96
    Комментариев
    80
    Комментариев
    67
    Комментариев
    61
    Комментариев
    60
    Комментариев
    59
    Комментариев
    57
    Комментариев
    55
    Комментариев
    54

    Отправьте отзыв!
    Отправьте отзыв!