Ну вот, упомянешь всуе этот pagerank, он и подрастет…
Сегодня, 3 апреля был апдейт PR и выдача тИЦ Яндекса. У меня ниче нового, только на одном из проектов PR упал до двух.
Ну да ладно. Тут у Denvas’a, в миру Дениса Васильева, беда приключилась. Кстати, тут подумал, по его примеру мой ник бы звучал как RomAs. Хех, надо на заметку взять %)
Как написал Денис в своем личном дневнике, 1) Была найдена дыра в bmatrix.net и скачаны все скрипты; 2) Задание.биз ддосят; 3) накрутчики проектов достали; 4) малолетние придурки достали.
И хоть эта запись была сделана первого апреля, шуток и приколов здесь нет. Задание.биз, известнейшая мультипартнерка в мобинете, до сих недоступна.
Самое поразительное (!) для меня то, что дыру в этой бизнес-матрице, о которой я писал недавно (отчуждение), нашел 14-летний подросток, мой знакомый, Morgan. Об этом он написал у себя в блоге (с июля-10 закрыт), цитирую:
Начал усердно искать оплошности при программировании, которые привели бы к непредвиденным ситуациям.
Потом, чуть дальше углубившись в «сканирование системы», нащупал уязвимость!
[…]
Тонкости технической стороны я не могу рассказать, но думаю что была допущена оплошность при написании кода.
[…]
Ну в общем, дыра была и это факт.
Немного полазив по структуре каталогов и файлов, сообразил где лежат эксклюзивные скрипты, которые выставлены на продажу.
Я их скачал.
Потом, написал администратору о данной уязвимости.
Дыра была благополучна прикрыта.
Немного, пообщавшись в Dеnvаs’ом мы разрулили все неувязки которые бы могли возникнуть.
Тем кто купил скрипты на том проекте, можете не беспокоиться, я отнесусь с полным уважением к труду человека, и ни за что не выложу в общий доступ.
Мне кажется, эта история говорит за себя весьма и весьма много. Скрипт был эксклюзивным, делан и переделан программистом со стажем (которому уже за 30 лет). А дыру нашел подросток. Причем не выложил в паблик, а рассказал все как есть Денису (респект). На месте последнего я бы поощрил парня парой-другой десяткой вечнозеленых купюр…
А куда уж больше поощрять? Полагаю, Денис разрешил Morgan’у оставить у себя украденные (говорю, как оно и есть) скрипты без платы и преследования по закону, в обмен же получил информацию и обещание о сохранении авторского права.
Да уж, скрипты более чем на 20 тыс. руб… А преследовать за это хрен получится =)
Я если нахожу дырки то тоже пишу админам. Бывает кстати и на крупных сайтах, но думаю это из-за спешки а не из-за незнания языка. Особенно XSS
У меня пока никто еще не находил и не ломал что не может не радовать. 🙂
Если единственная проблема что hosting.ua сгорел и только сегодня заработал и то частично, жду пока прикрутится dns.
Роман, думаю, что отдел «К» с тобой не согласится. А насчет самой твоей фразы — извини, но ничего, кроме злорадства я в ней не наблюдаю. Вспомни, как тебя ДДОС’или и воровали UIN’ы. Как ты себя тогда чувствовал? А сейчас ты сам, как и они в свое время, если не наяву, то глубоко в душе радуешься. Только вот чему — для меня непонятно. Видать, гниль WAP’а постепенно влияет на всех нас.
Я радуюсь? Отнюдь. Про ддос — печально, вспоминаю свои ощущения. Про заголовок — так для привлечения внимания. Злорадство? Нет, я же говорил тебе в приватной беседе, что нету этого, я только возмущен отношением Дениса ко всем как к быдлу, все у него накрутчики, малолетки, кидалы и т.д. А свои скрипты продает по странным ценам в множестве копий. Я теперь у Morgan’a скрипты буду заказывать, думаю, он себе такое событие сделать пунктиком в портфолио =)
Про отдел К — ересь, чес слово, им это нафиг не надо.
Товарищ крестоносец, мало вы знаете о работе наших правоохранительных органов. Не надо смотреть в мир через розовые очки. Где доказательства, что denvas автор, где доказательства того что кто-то что-то крал? Логи, скрины… Ха!
ну, паренек, кажись, умный 🙂 даже совестный — редкость в наши дни (это я о Morgan’е).
КрЕ(тОнО(Ец, на самом то деле все не так просто, нужно:
— Доказать что скрипты были украдены.
— Что это принесло ущерб.
— Что в этом есть вина пользователя.
Shtirlitz:
Да но без тех поддержки самому развернуть еще нужно эти скрипты.
да и пользы от них мало, если писать что то они мало чем могут помочь. Для меня например чужие скрипты мало что значили бы.
Кстати интересно почему скрипты никто не шифрует?
Есть же зенд вроде.
Я у себя на сайте выкладываю только dll сборки, в php должен быть аналог если не ошибаюсь.
Павел, я тоже не понимаю Денваса.
Есть множество способов, как-нибудь замаскировать (хотя бы) исходный код, тем самым закрыть (усложнить) возможность редактирования.
Наверно какие то принципы.
Я кстати один раз писал скрипт на заказ, после написания провел его через обфускатор.
Заказчик начал возмущаться 🙁
А кстати сколько сам скрипт весит (только php файлы) интересно количество кода в мегабайтах.
Вот яваскрипт можно скачать с любого сайта, но без знания апи и если яваскрипт сжат это мало что даст, проще написать с нуля чем разобрать имхо.
php-скрипты обычно весят до 500 кб. Всё остальное — от лукавого =] (графика и пр.)
GraF, с чего Вы взяли, что я смотрю на мир через розовые очки? При желании, взломщика найти можно почти всегда. Иное дело, что реально этим занимаются очень редко, когда сумма внушительная. Павел, насчет авторства — Денис шифрует каждый скрипт для инициализации в будущем. Да и Morgan совершил огромнейшую ошибку: он практически сознался в содеянном в блоге. Неужели вы думаете, что Денис не сделал скриншот записи, так, на всякий случай? Так что не надо «гнать» на других, считая себя самыми изобретательными.
КрЕ(тОнО(Ец:
На самом то деле скриншоты фигня.
Вот сделай скриншот, подай в суд на кого то и попробуй докажи что ты не нарисовал это.
Ты хоть раз сталкивался с такими делами в суде?
Во первых сложно найти.
Чтобы получить данные IP у провайдера тебе нужно решение суда.
Потом если найдешь нужно доказать что человек похитил информацию и нанес какой то вред.
КрЕ(тОнО(Ец:
Напиши последовательность действия как бы делал ты, по порядку, куда бы пошел, что бы писал. обсудим
Крестоносец, а вы собственно какие то претензие имеете?
Хотел же помочь, а тут еще и обвиняют.
Павел, при наличии всех доказательств, что и у Дениса? Сделал бы скриншоты записей в блоге и в переписке с Morgan’ом. Через сотрудников отдела «К» можно официально проверить, были ли обработаны эти файлы с помощью специальных программ. При возникновении подозрения, сотрудники органов могут легко направить запрос на установление личности владельца доменного имени блога. А ведь за всё, что там печатается, он несет ответственность. Как минимум, «светит» «клевета» и «моральный ущерб» Денису (не юрист, поэтому в тонкости не лезу). Наконец, можно получить разрешение на выписку о времени посещения злоумышленником интересующих нас ресурсов и сопоставить данные. P.S. Только не надо говорить, что это сказки, ничего не сделаешь и т.д. При желании, это провести очень даже легко.
Мне повторить свой вопрос?