qkowlew: На Зилантконе меня сфоткали мыльницей. Мыльницам не позирую! (Default)
http://ring.cx/

плюсы:
+ имеет "ДЛЯ СОВСЕМ ТУПЫХ" интерфейс регистрации нового акка, более простой, чем у Skype/Telegram
+ имеет неплохую продуманность интерфейса настроек, по умолчанию для тупых скрытую.
+ полностью распределённый как Tox.
+ позволяет, как Скайп, "забить на себя" внятные НИКИ, а не пугающие среднего пользователя сгенерённые ключи (как в Tox)
+ даже если "точки контакта" будут запорчены окружающим миром - в настройках можно прописать другие.
+ есть под все современное ОС.
+ легко отвечать на вопрос "где скачать клиента?"
+ можно как ХРАНИТЬ, так и НЕ хранить у себя лично на этом устройстве историю переписки.
+ умеет голосовые и видеозвонки (пока не проверял сам)

нейтральное:
! не имеет привязки к симкам, емейлам и прочим внешним атрибутам. Только наборы из файлов, логинов и паролей.
! жрёт 31М оперативки "в ждущем состоянии".

минусы:
- не работает под XP, под ещё совсем недавними Линуксами (jessie).
- Добавление устройства к этому аккаунту - кому-то удалось, мне пока нет. Хитрожопо. Глючно.
- У кого два устройства - синхронизация историй поглюкивает (а у кого не? :)
- (для пользователя-идиота) - если уж у тебя его увели, этот ник ты не восстановишь никак.
- нельзя (или я не нашёл как) выбрать что ХРАНИТЬ или НЕ хранить для конкретного собеседника.
- Кнопка "копировать" позволяет скопировать только одно сообщение, нельзя выделить и скопировать произвольный кусок переписки (виндовый клиент, остальные пока не проверял)
- отсутствует консольный клиент для чисто текстовой переписки (потому приоритет у меня так и остаётся за джабером и аськой)
- имеет автообновление по умолчанию раз в 7 дней, что, в конечном итоге, делает разработчиков главной "точкой отказа", если до них дое.

Надо пробовать. :)
qkowlew: На Зилантконе меня сфоткали мыльницей. Мыльницам не позирую! (Default)
Новость на ДрВебе:

13 июля 2017

На портале государственных услуг Российской Федерации (gosuslugi.ru) специалисты компании «Доктор Веб» обнаружили внедрённый неизвестными потенциально вредоносный код. В связи с отсутствием реакции со стороны администрации сайта gosuslugi.ru мы вынуждены прибегнуть к публичному информированию об угрозе.


Судя по кешу поисковиков, минимум с 3 апреля 2017 на портале госуслуг УЖЕ БЫЛО непотребство.
Просто его никто не замечал.

Почему не замечал?
Скорее всего потому, что ssl сертификат у сайта, который отображался в iframe, долгое время был валидным и отображал то, что нужно было авторам вредоноса.

А сейчас - невалиден. И потому вместо iframe с тем, что задумано вредоносами, показывает:
Как этот iframe выглядит сейчас

И кто-то таки увидел и отреагировал.

Скриншот результата поиска в Яндексе о том, что было 3 апреля:
3 апреля на портале госуслуг УЖЕ БЫЛА вредоносная вставка.

Да, как это могло случиться?

1. Человек, который вносит правки в портале, имеет права, достаточные для внесения к текст любых html тэгов (и пользуется визуальным редактором).
2. Админ, который настраивал права этого конкретного человека, а скорее группы, не ограничил набора html тегов.
3. Комп вносящего правки заражён вирусом, который в textarea каждой формочки добавляет свои ифреймы.

Это давний вирус. Упоминания в сети с 2015 года. Подсаживает iframe при вводе текста в онлайн редакторе. Т.е. контентщик госуслуг редактировал контент через веб-формы, а вирус на его компе досадил iframe в каждый текст.

https://dev.1c-bitrix.ru/support/forum/forum6/topic74489/

Главное, что всё это минимум с 3 апреля уже было заражено. То есть "вся страна под этим дамокловым мечом" уже 2 месяца...
qkowlew: На Зилантконе меня сфоткали мыльницей. Мыльницам не позирую! (Default)
Есть сайт 2001 года или старше.
Апплеты на нём.
Если добавить сайт в список исключений Явы по безопасности - то всё равно Error - Click for Details и на клик вот такое сообщение:
Java Applet blocked
жать Ignore не помогает.

Принимаются предложения от опытных Яваводов:
- посетителю такого сайта (трёх ипостасей:
-- с телефона/планшета
-- c виндового компа
-- линуксовому )
- вебмастеру такого сайта

пример такой странички - http://my.arcto.ru/public/statement.html
qkowlew: На Зилантконе меня сфоткали мыльницей. Мыльницам не позирую! (Default)
KB4012598 - http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598 - лежат на микрософте, скачиваются через раз, причём для руссуой надо выбрать язык, потом жать "Загрузить".

В связи с чем выложил по прямым ссылкам у себя на сервере с (вроде бы) неограниченным трафиком:

Для XP x64 SP2 и 2003 сервера x64 английских
Для английской XP x86 SP3
Для РУССКОЙ XP x86 SP3

Для тех, у кого до сих пор XP x86 SP2 - вот полный SP3:

SP3 для английской XP SP2 x86 300M
SP3 для русской XP SP2 x86 300M
qkowlew: На Зилантконе меня сфоткали мыльницей. Мыльницам не позирую! (Default)
(моё по этому информоповоду, хехе)

Меня периодически спрашивают, почему я, опытный IT-шник и админ хостинговых серверов:
1. не выкидываю на помойку аккаунты в разных бесплатных почтовых сервисах в пользу какого-то одного, в своём домене ли, или наиболее удобного, или как-то ещё отличающегося в лучшую сторону.
2. не пользуюсь каким-то одним почтовым сервисом чтобы собирать в него почту со всех прочих тех или иным способом (раз уж у меня много ящиков).
3. пользуюсь (обычно для разных ящиков, хехе) КАК (нормальной|никому на хер не нужной) почтовой программой (TheBat), ТАК и (замечательным|ублюдочным) вебинтерфейсом.
4. применяю как нормально защищённые лучшими специалистами от спама ящики типа Gmail, так и требующее заметных затрат времени, сил и знаний "самостройные" сервера.
5. имею не один ящик на некоторых сервисах.

В том числе потому, что вот сегодня, "One Account to rule them all" на Gmail подвергся фишинговой атаке на невнимательных людей, от которой никто из пользующихся этим конкретным сервисом на 100% не защищён.

Коротко (может и не совсем точно - подробнее читайте по ссылке) суть сегодняшнего:

Некие люди написали в рамках Google Apps приложение, назвали его Google Docs с такой же иконкой, как настоящие, и сделали так, что вы получаете письмо с предложением посмотреть расшаренный документ, лежащий на гугль драйв. Перейдя по ссылке из письма, вы попадаете на предложение якобы настоящего гуглевого сервиса предоставить полный доступ ко ВСЕЙ вашей почте ентим конкретным пидарасам.

Если вы согласились - то с вашей почты немедленно начинают рассылаться такие же фишинговые письма по всем вашим контактам.
qkowlew: На Зилантконе меня сфоткали мыльницей. Мыльницам не позирую! (Default)
Теперь с номера 9000 прислали предложение послать им ответную СМС с оценкой совершённого в сбербанке платежа. Подчеркну - не 900 (сберовский номермобильного банка) а 9000. 4 циферки. Платное.

"это нолики! кто ж их считает!"
qkowlew: На Зилантконе меня сфоткали мыльницей. Мыльницам не позирую! (фига)
Как известно, ныне под Винду есть три существенно различных броусера:
Internet Explorer, Mozilla Firefox и Google Chrome.

Однако в части "безопасных" протоколов https всё ещё хуже - у Мозиллы есть своя реализация SSL/TLS, а Гугль тупо пользуется системной, той же что IE.

В настоящее время для Windows XP и 2003 настал момент, когда ни один браусер, кроме Мозиллы, не может установить https соединение с сайтами, на которых используется TLS 1.1 и более поздние. Так как в этих операционках реализации TLS позже 1.0 просто нет (и более не будет апдейтов). "сертификат имеет недействительную подпись, иди нахрен отседова". Так как Гугль продавливает логику "ssl everywhere", а рынок с наслаждением потирает свои наглые ручки в ожидании бабла от врадельцев сайтов...

Иными словами, машинки с Windows XP и Windows 2003 server ЕЩЁ НЕ ПЕРЕСТАЛИ (пока файрфокс жив и развивается), но скоро могут перестать быть используемы для просмотра на них существенной доли современного интернета. А особенно - нафиг всякий онлайн банкинг, оплата и магазины.

И Файрфокс на них - в ближайшее время становится безальтернативен. :(
UPD1: Ну можно ещё какое-то время жить на Opera 12.17.
UPD2: Клоны Хрома не предлагать, они ВСЕ наследуют логику "пользуемся системным". Vivaldi туда же.
UPD3: Клоны Файрфокса (PaleMoon был интересен на момент выхода, например) не интересны, ибо ОТСТАЮТ от основного потока.
UPD4: Старый Сафари (Safari 5.*) под виндой - тоже системное хранилище криптографии использует.
qkowlew: На Зилантконе меня сфоткали мыльницей. Мыльницам не позирую! (фига)
1. На большом экране слайдшоу картинок всех что свалены на компе и доступны данному пользователю... Пейзаж. Река. Красиво. На переднем плане в углу кадра - в воде явный утопленник, которого кто-то тыкает палкой. Чуть дальше на берегу угадывается морда милицейского "газика".

Мораль: когда переписываете себе коллекции картинок откуда ни попадя, фиг его знает, что вы там увидите...

2. Байка про апдейт прошивки для некоторых забористых оптических мышей, которая передаёт драйверу и дальше производителю мыши в интернет распознанный оптически кусок текста бумажного документа, по которому елозит мышь на столе нерадивого пользователя, постепенно обретает интересные черты:

Lyude> my mouse has 512KB of flash memory and a 32bit arm cpu Cinder> I am 99% sure you can put Linux on it and have it talk to your PC while still functioning as a mouse (Под катом - перевод) )
3. От одного хорошего человека: Клиент в ТЗ (и в договор прописать) хочет провести лабораторные исследования уничтожителя бумаг.

3.1. Клиент считает, что уничтожитель бумаг (УБ) - это ОТСС по следующим признакам: взял определение ОТСС в СТР. Прочитал в ГОСТе определение "обработка информации", в котором есть слово "уничтожение". И посчитал УБ как ОТСС.
3.2. Каналом утечки клиент считает фотоэлемент/инфракрасный датчик в УБ, с помощью которого шредер автоматически запускается при подаче бумаги...
qkowlew: На Зилантконе меня сфоткали мыльницей. Мыльницам не позирую! (фига)
Наткнулся тут на задачу:
- вот у продвинутого пользователя есть:
-- какой-никакой личный сайтик
-- несколько компов (дом, работа, тёщин комп) и, возможно, ресурсов типа видеорегистратора и интерфейсов "умного дома".
-- задача "достучаться до любого из своих ресурсов, находящихся в данный момент в онлайне"
-- сделать это относительно безопасно
-- независимо от того, у какого провайдера компы и за сколькими NAT'ами они.

Решение 1:
Берём Тим вьюер, регистрируемся на их сайте, вбиваем все компы в аккаунт.
+ Плюсы:
++ подключение к рабочему столу параллельно с работой на нём пользователя, "помощь другу" и всё такое
++ очень хороша и стабильна работа с большинством приложений
++ неимоверная простота обращения с продуктом - реально даже очень "ничего не знающие" узеры оказываются способны.
++ Для большей части действий админских прав не требуется.
- Минусы:
-- чтобы тебе не напоминали всё время про то, что ты работаешь бесплатно - минимум надо заплатить 30тр.
-- завязано на внешний сервис, который внезапно может поменять условия и быть взломан.
-- Линуксовая версия теперь только устанавливается, запустить без установки нельзя

(аналог тим вьюера AMMYY мной неоднократно был опробован и отличается от Teamviewer НА ПОРЯДКИ ХУДШЕЙ стабильностью и совместимостью, вылетами в синий экран, странными ограничениями типа "не работаю на серверных ОС").

Решение 2:
OpenVPN с самостоятельной настройкой всего
+ Плюсы:
++ можно строить хитрые комбинации из сеток, а не только связь с конкретным компом.
- Минусы:
-- обязательны админские/root права
-- в качестве хоста требуется минимум VPS на весьма лояльном к трафику И к ip роутингу хостинге. За последние 2-3 года цены понизились, а вот "у вас кривые настройки, знать ничего не хотим пойдите от нас нафиг" стало встречаться всё чаще и заметнее.
-- зависимость от IP адресов, доставшихся компу от провайдера или в местной локалке - если ты "попал в такие же адреса", комп отвалился.
Решение 3:
На VPS ничего поднимать не нужно вообще, нужен ТОЛЬКО шелл ssh.
На самих компах, к которым надо присоединяться снаружи - программа типа MyEnTunnel (для поддержания канала) и plink.exe с опциями командной строки для установления туннеля R127.0.0.1:29389:127.0.0.1:3389. Логика 3389 порт RDP компа пробрасывается на 127.0.0.1:29389 VPS-ки, и тому подобное.
На компе, с которого рулишь прочими - на рабочем столе ярлык поднятия туннеля на VPS с пробросом портов по длинному списку, вида L127.0.0.1:29389:127.0.0.1:29389. И ярлыки доступа к конкретным компам типа Тёща - на 127.0.0.1:29389; видеосервер 127.0.0.1:29390 и тому подобное.

+ Плюсы
++ отсутствует понятие "изменение роутинга" как на самих компах, так и на VPS-ке/хостинге
++ ВСЁ это МОЖЕТ работать из под обычного пользователя, не админа/root'a. Как на компах, так и на VPS (только порты открывайте слушать те, что выше 1024).
++ Единственный IP, который требуется писать в конфигах - это IP VPS-ки/хостинга. ВСЕ прочие конфиги - ориентированы на локалхост.
++ Весь трафик, идущий вне VPS и самих компов, шифруется SSH, и смена версии оного при необходимости не потребует менять конфигов.
++ При желании можно туннелить не только локалхост, но и порты других ресурсов в локалке (опробовал тут недавно - видеорегистратор сам умеет только динDNS, а вот таким туннелем я сделал его доступным клиенту из любого интернета). Правда, тогда конфиги становятся ip-зависимы. :)
- Минусы:
-- если это не твой хостинг, то коннект только на 22 порт, а его провайдер вдруг может перекрыть. Я ради этого у себя поставил sshd слушать 443 порт помимо 22-го. :)
-- по сравнению с тим вьюером намного меньше возможностей "показать рабочий стол" и помочь.
-- трафик и процессор кушаются заметно.

Ваши предложения? Альтернативы? Критика?
qkowlew: На Зилантконе меня сфоткали мыльницей. Мыльницам не позирую! (фига)
mail2sms@mcommunicator.ru> (aspmx.l.google.com: 450-4.2.1 The user you are trying to contact is receiving mail at a rate that 450-4.2.1 prevents additional messages from being delivered....

СуперПупер холдинг МТС сервис МТС КОММУНИКАТОР который смс отправляет.
Домен почтовый на гугле.

mcommunicator.ru has address 89.249.26.165
mcommunicator.ru mail is handled by 10 aspmx.l.google.com.
mcommunicator.ru mail is handled by 20 alt1.aspmx.l.google.com.
mcommunicator.ru mail is handled by 20 alt2.aspmx.l.google.com.
mcommunicator.ru mail is handled by 30 aspmx2.googlemail.com.
mcommunicator.ru mail is handled by 30 aspmx3.googlemail.com.
mcommunicator.ru mail is handled by 30 aspmx4.googlemail.com.
mcommunicator.ru mail is handled by 30 aspmx5.googlemail.com.
mcommunicator.ru mail is handled by 40 b2b.mpoisk.ru.

Даже не знаю, как комментировать.
qkowlew: На Зилантконе меня сфоткали мыльницей. Мыльницам не позирую! (фига)
Год примерно 2003, если я правильно помню.

Если лица А и Б обмениваются между собой потоками информации, на которую накладывают стегано-составляющую, то сам факт наличия оной составляющей никакой В не должен детектировать, даже имея в руках тот стеганографический софт, которым пользуются лица А и Б, и даже имея в руках все их публичные ключи к этому софту.

Иными словами - если есть сервер видеочата, то с точки зрения любого наблюдателя (в том числе - контролирующего сам сервер), кроме непосредственно смотрящего в экраны компьютеров А и Б, обмен информацией между А и Б есть действительно видеочат. И попытка проверить эти потоки любым софтом показывают, что там ничего ещё нет.

Если Б не получил от А валидный публичный ключ, то с точки зрения Б сторона А НЕ передаёт.
Если А не использовал публичный ключ Б, то с точки зрения Б сторона А НЕ передаёт.
qkowlew: На Зилантконе меня сфоткали мыльницей. Мыльницам не позирую! (фига)
DD2D54F9A69A938A279F4D7154F97E5B707419B02F26922DAEE00182AE9557002A4BEA78BE83 это мой Tox ID на телефоне
5B0738B115637FD8D7CF1FD50C60D6102B8FFC667743C7076B48EFE00855EC29A59E2ADF935F - Tox ID меня на домашнем компе

Зачем это, если вы ещё не знаете что такое Tox ID )
qkowlew: На Зилантконе меня сфоткали мыльницей. Мыльницам не позирую! (фига)
Есть незагружающаяся система с Windows 10 и установленным на неё Яндекс Браусером (версия 15.10, внутри - Гугль Хром 45.0.2454.3865).
Sync настроен НЕ БЫЛ.
Есть ноутбук с Windows 7.
Задача: перенести из первой системы во вторую ПАРОЛИ и куки, сохранённые в Яндекс-Браусере.
Ваши предложения/рецепты?
Что уже делалось? )
qkowlew: На Зилантконе меня сфоткали мыльницей. Мыльницам не позирую! (Default)
с контакт листа пришло вот уже примерно 30 смсок с предложением скачать мессенджер для звонков. Текст смски одинаковый (Get this voice messenger to talk, домены разные и многие явно рандомные.
Первыми шла пачка от владельцев айфонов с доменом третьего уровня в buddiesmsg.com


Запись сделана с помощью m.livejournal.com.

qkowlew: На Зилантконе меня сфоткали мыльницей. Мыльницам не позирую! (фига)
Я многократно обращал внимание знакомых мне клиентов, что они не очень позитивно поступают, пользуясь mail ru агентом, браусером Амиго, тулбарами от мейлру, а также мейлрушным веб-интерфейсом.

Да-да, отвечали они и продолжали. В конце концов я перестал кого либо воспитывать, ибо бессмысленно.

Но самое наглое, яркое и безобразное - это тот замечательный прикол, что если вы ввели при логине в веб-интерфейс mail.ru полный почтовый адрес И ПАРОЛЬ от ящика, который завели на ДРУГОМ (ЛЮБОМ!) сервисе - mail.ru:
- проверяет, подходит ли этот логин и пароль на сервер, прописанный как MX для этого домена
- СОЗДАЕТ для вас ящик со входом по этому логину и паролю
- Настраивает сборщик почты по этому ящику и паролю с иного сервиса
- Хранит эти логин и пароль у себя "типа так и надо".
- Удалить такой "ящик" - в интерфейсе такая опция или отсутствует, или закопана так, что я не нашёл а как проверить, что в самом деле удалено?.

Только что проверил, развлёкся со свежесозданным ящиком mailru@gfns.net на своём сервере.
скриншот mail.ru наглеет

По следам отсюда и опубликованного там ОФИЦИАЛЬНОГО ОТВЕТА представителей мейлру.

UPD: собеседники gornal и dibr мной забанены. Первый - сразу за незамутнённый, чистый троллинг, второй - за ложь, хождение по кругу, повторы, троллинг и провоцирование, в том числе, на уголовщину. Ни один из их комментов здесь не стёрт, "дабы глупость каждого (в том числе моя, если что) была видна".
qkowlew: На Зилантконе меня сфоткали мыльницей. Мыльницам не позирую! (фига)
Во всех случаях, когда я оказывался вынужден иметь дело с платёжной системой РБК money (один из регистраторов доменов оплату картами принимает именно через эту прокладку) происходило следующее

СОВЕРШЕННО СИНХРОННО с приходом от сбербанка рф (900) смски с одноразовым паролем на транзакцию на телефон, который привязан в сбере к "мобильному банку" этой карточки (в сбербанке) приходит СМСка от VOSTOCHNY об очередной фазе прохождения "заявки на кредит". То есть - первое было "Ваша заявка номер ... принята к рассмотрению, перезвоните по тел 8-800-100-8070. Второе смс - Ваше обращение номер .... рассмотрено. Более подробную...)

Подчеркну - при оплате через ДРУГИЕ анальнологичные прокладки (например paymaster) этого прикола на данный номер телефона НЕ было.
Read more... )
qkowlew: На Зилантконе меня сфоткали мыльницей. Мыльницам не позирую! (фига)
suvorow_ - помнишь, у нас был в перепаянном мной на 256К КГД ДВК-3 экземпляр РУ7, у которой можно было УВИДЕТЬ на экране появление яркого пиксела там, где его явно не должно было быть? :)

Я всегда подозревал, что построение DDR3 после DDR2 - это какая-то найобка от макретолухов, которые наконец задумались "А не слишком ли надёжная у нас память?!?!"...

Оказывается, в современной DDR3 памяти многих производителей есть АППАРАТНЫЙ так называемый RowHammer bug - то есть при некоторых условиях заряды перетекают на соседний ряд ячеек памяти и меняют их содержимое. И типа об этом репортили уже. И даже есть тестилка этого безобразия - https://github.com/google/rowhammer-test

Народ, однако, заморочился тем, чтобы воспользоваться этим багом в целях получения рута в Linux'e - и преуспел. Причём на x64/x86 Intel архитектуре основной применённый народом метод эксплойта (через CLFLUSH) закрыть типа никак нельзя, ибо соотв команду процессора нельзя задизаблить. :)

http://googleprojectzero.blogspot.ch/2015/03/exploiting-dram-rowhammer-bug-to-gain.html

Есть в этом что-то фееричное...
пошёл тестировать... :)
qkowlew: На Зилантконе меня сфоткали мыльницей. Мыльницам не позирую! (фига)
1. Человек проимел домен 4 года назад. Очень хочет вернуть домен и контент на нём. В robots.txt было прописано Disable / - а потому в вебархиве пусто.
2. Человек проимел домен 10 лет назад и НЕ ПОМНИТ ЕГО НАПИСАНИЯ. И только очень приблизительно помнит - что там было. Хочет вернуть.

3. Ну и о полном маразме в безопасности:
Давным давно российская организация попросила гражданина Украины зарегать домен.

Он его зарегал. На себя лично, на свой mail.ru-шный емейл, с указанием своего домашнего адреса на Украине. При регистрации задал пароль 1122 - совпадающий с паролем на его емейл.

Потом на товарища В Украине заведено уголовное дело по явно политическим мотивам. Товарищ тусуется в России.

Потом кто-то нехороший подобрал пароль к регистратору домена и получил контроль над ним, после чего увёл домен с украинского регистратора к немецкому. С обычными для регистраторов правилами формата "а вот приезжали бы вы сюда в Германию и тогда может быть мы вам выдадим пароль к вашему доменчику". Попытки просто заказать у них отсылку бумажного письма на домашний адрес владельца в (предположим, он нелегально пересечёт границу, доедет, получит заказное письмо, распишется в получении и снова пересечёт границу...) ни к ему не привели - не высылают.

В таком состоянии домен провисел более 2-х лет.
Сквоттер его продлевал.

Я предупреждал заинтересованных лиц, что "домен ФАКТИЧЕСКИ нами не контролируется, и шансов его вернуть под наш контроль ОЧЕНЬ МАЛО, имеет смысл ОТКАЗАТЬСЯ от его использования и забыть его как страшный сон". Люди же СЧИТАЮТ, что я им говорил нечто другое - "Ну ты же говорил, что можно как-то решить этот вопрос!"

Владелец на попытки пинать его в направлении возможной поездки в Германию реагирует "да ну как нибудь без меня это всё решите, я не хочу этим заниматься". Попытки объяснить - что вот именно и только БЕЗ НЕГО это решить невозможно, бесполезны.

И теперь наконец сквоттер сменил данный в хуизе, ДНСы в нафиг.
Чао какао.

И теперь эти люди настоятельно требуют, чтобы я связывался со сквоттером и решал этот вопрос.
МАЛАДЦЫ.
qkowlew: На Зилантконе меня сфоткали мыльницей. Мыльницам не позирую! (фига)
Очередной SQL Injection довольно массового характера
Обнаружив на сайте урлы вида
/album.phtml?id=340
бот злоумышленника предлагает php-шному коду к рассмотрению урлы формата например
/album.phtml?id=999999.9+%2f**%2fuNiOn%2f**%2faLl+%2f**%2f
sElEcT+%2f**%2fcAsT(0x393133353134353632312e39+as+char),%2f**%2fcAsT(0x393133353
134353632322e39+as+char),%2f**%2fcAsT(0x393133353134353632332e39+as+char),%2f**%
2fcAsT(0x393133353134353632342e39+as+char),%2f**%2fcAsT(0x393133353134353632352e
39+as+char),%2f**%2fcAsT(0x393133353134353632362e39+as+char)...

что даёт злоумышленнику возможность собрать интересующую его информацию и ею далее воспользоваться.

Так как код сайта ну ОЧЕНЬ древний, приходится лечить примерно вот такими вставками с регекспом, в который укладываются валидные URI этого конкретного сайта:

if ( !preg_match("/^id\=\d{1,3}(|\&track\=\d{1,2})$/", $_SERVER{"QUERY_STRING"})) {
...
}

В этом смысле наименее приятны как раз движки, в которых без дополнительных проверок ищется в базе человекочитаемый URI произвольной длины и практически произвольного содержания. :(
qkowlew: На Зилантконе меня сфоткали мыльницей. Мыльницам не позирую! (фига)
Яндекс фактически указал пользователям. что не соблюдает более протоколы работы с почтой так, как они прописаны в соотв стандартах, а главным, полнофункциональным и предпочтительным считает именно веб-интерфейс.

Вы думаете это у одного Яндекса такие приколы? :)

Читаем свежие изменения в договоре от nic.ru

Расшифровываю 1 - что сделал ник.ру:

  1. Клиент обязан заходить на веб-интерфейс не реже раза в месяц, а не раз в год, как привыкли делать большинство зарегистрировавших 1 домен...
  2. Ответственность ЗА ВСЕ возможные глюки уеб-интерфейса возлагается теперь на клиента.
  3. В случае потери доступа к вебинтерфейсу из-за взлома (вне зависимости от того, кого ломали - пользователя или nic.ru) ответственность за неполучение/непрочтение информации окажется на клиенте. С договором согласился - всё.
Послать нах основного регистратора в .ru, ессно, клиент не может.

Расшифровываю 2 - почему вебинтерфейс это плохо:


Чайник спрашивает: - А ЧЕМ так плох именно веб-интерфейс по сравнению с POP3/IMAP4? Я вот...
Отвечаем: - Тем ХОТЯ БЫ, что даже очень тупой, негодный хакер может подсунуть недостаточно внимательному, мало знающему или просто неаккуратному пользователю веб-страницу, выглядящую В ТОЧНОСТИ как страница авторизации в его почту. После чего получить полный доступ к выловленной почте. Для того же, чтобы осуществить атаку по POP3/IMAP4 протоколам, нужно заметно больше средств, ресурсов, знаний и опыта. Просто по устройству и принципу работы этих протоколов.
подробно собственно текст с изменениями )