█ 01.06.2017 14:13
Зашёл сейчас в онлайн банкинг от Citibank... И там используются adsense и uds от гугла. И тянутся снаружи. Blyat!
americanexpress.com пытается загрузить скрипты с sales.liveperson.net (чатик), которые частично режутся скриптами с service.maxymiser.net (оракловая приблуда). Что это такое вообще?!
bankofamercia.com грузит скрипты с поддоменов tiqcdn.com.
Пора уходить в монастырь. ):
americanexpress.com пытается загрузить скрипты с sales.liveperson.net (чатик), которые частично режутся скриптами с service.maxymiser.net (оракловая приблуда). Что это такое вообще?!
bankofamercia.com грузит скрипты с поддоменов tiqcdn.com.
Пора уходить в монастырь. ):
█ 01.06.2017 14:27
А такие плагины как noscript эту лабуду режут или нет? Ну т.е. если у меня там только добро для сбера дано, то оно так и будет?
█ 01.06.2017 15:19
В Уралсибе эти скрипты отключил, вроде основные функции не пострадали.
Интересно, что после входа в личный кабинет, сторонние скрипты не отображаются.
Интересно, что после входа в личный кабинет, сторонние скрипты не отображаются.
█ 01.06.2017 15:23
Я просто почему спросил - уже много лет пользуюсь NoScript и очень редко даю работать всему, что есть на странице. Обычно руками разрешаю что-то, если это необходимо.
█ 01.06.2017 15:25
Проблема сторонних плагинов ровно такие же, как и сторонних скриптов. Никто не знает их происхождения и авторство кода в момент Х. Я не ковырял NoScript, возможно, что там типа JS что-то, как и везде, но uBlock Origin, например, исходники выкладывает. Если кто-то взломает автора плагина или выкупит у него плагин с целью подмена на троян (случаи в Google Play, например, неоднократные), то пользователям может быть очень нехорошо.
Если запретить вообще все всем, то может и что-то нужное не заработать. Я дрессировку NoScript, например, не выдержал :)
Если запретить вообще все всем, то может и что-то нужное не заработать. Я дрессировку NoScript, например, не выдержал :)
█ 01.06.2017 19:28
Цитата:
Видимо, это Калабухин с ними пообщался, со мной только одно издание пообщалось, которое в итоге задумалось над тем, захочет ли оно потом противостоять Сберу или писать какую-то чушь про то, что я обнаружил и решило промолчать... Dim ➤ ты уже и с журналистами пообщаться успел, эксперт по кибербезопасности? ))
█ 01.06.2017 19:48
Кто не верит, что Сбербанк тут бредит, нажимает в Хроме правой кнопкой на информации о суммах и счетах в своем кабинете, выбирает "Посмотреть код элемента" и удивляется, обнаружив в этом коде сумму обычным текстом. Так же видит код и скрипт.
А в целом, история, судя по всему, заканчивается.
Активность спадает. Я не сильно опечален, надо сказать.
Кто хотел увидеть - увидел. Сбербанк раскидал опровержение, что все хорошо. Противостоять толпе безграмотного народа, которой заняться нечем, я оказался не готов, поэтому Сбер может быть спокоен, нигде снаружи я больше писать не буду и, если от меня они отстанут и перестанут чернить, то я даже не буду заниматься опровержениями и указывать на внутренние утечки данных, которые стали мне известны в процессе всей этой истории. Хотят замолчать - их выбор. Судя по тому, что опровергатели у меня ни разу не поинтересовались, что я думаю по поводу заявлений Сбера, никто со Сбером воевать не готов, ну, что же, я и не собирался, шуметь не буду.
Что можно отметить :
1) Всех повело в сторону того, правду ли я показал на видео или его смонтировал, а так же в каких условиях это будет работать. Обрадую или огорчу, но видео я не монтировал. Кто спрашивал, что за консоль справа - это putty. По иконке видно. Видео предназначалось для сберовцев, чтобы показать, как владельцы скриптов могут получить доступ туда, куда им лазить не следует, а не то, что можно украсть пароль и куда-то перевести деньги. Совершенно не факт, что первое лучше, кстати. Фронт возможностей куда шире.
2) У нас гигантское количество людей, которые все знают и ничего узнавать больше не хотят. Не знаю, что за боты писали на всяких ЯПлакал и Пикабу, но разумные мысли там тонули в потоке утверждений, что "я не верю, потому, что Сбер крутой, КГ АМ". Впрочем, там соответствующая аудитория, ищущая смысл жизни в разглядывании картинок. Мне хватило поддержки на Гиктаймс, однако, уверенность в том, что если выйти в массы с однозначной правдой, то люди тебя поддержат и все закрутится в нужную сторону, теперь убита на корню.
Сведу в резюме свои тезисы, если какая-то техническая экспертиза захочет проверить мои слова :
1. Сбербанк использует чужие скрипты, которые лежат на чужих серверах.
2. Скрипты могут быть модифицированы без ведома Сбербанка, поскольку лежат на чужих серверах и загружаются к пользователю мимо серверов Сбербанка.
3. Скрипты принадлежат и иностранным компаниям, которые в некоторых случаях могут и проигнорировать законодательство РФ, пусть даже ценой ухода с нашего рынка. Иностранные организации могут потребовать от иностранных компаний гораздо больше, чем просто статистику по пользователям Сбербанка. И отказаться не получится.
4. Скрипты имеют доступ к странице личного кабинета, где находятся и вводятся личные данные пользователей. Данные пользователей выводятся на странице обычным текстом и без проблем могут быть считаны скриптами.
5. Скрипты могут передавать эти данные кому угодно, без ведома Сбербанка.
█ 01.06.2017 19:49
Цитата:
не ответили? twix ➤ Ну, так давайте напишем письмо на pt<at>ptsecurity.com, с просьбой прокомментировать ситуацию. У них-то не эксперты в компании, а просто специалисты. Должны разъяснить студентам что к чему.
Апдейт: написал им письмо на контактный адрес. Посмотрим, будет ли хоть какая-нибудь реакция. Очень хотелось бы, конечно.
Апдейт: написал им письмо на контактный адрес. Посмотрим, будет ли хоть какая-нибудь реакция. Очень хотелось бы, конечно.
█ 01.06.2017 20:04
Погодите сдаваться,
нужно просто расслабиться, и вяло поплевывать в разные стороны.
Если тема не умрет, а будет хотя бы вяло существовать, сбер будет вынужден сделать все так, чтобы не было критики.
нужно просто расслабиться, и вяло поплевывать в разные стороны.
Если тема не умрет, а будет хотя бы вяло существовать, сбер будет вынужден сделать все так, чтобы не было критики.
█ 01.06.2017 20:09
Интересно, что в корпоративном личном кабинете статистику не воткнули. Видимо, там поняли, что серьезные люди могут и прикопать.
Я не сдался. Просто против ветра это самое... А воевать пока "в интернете кто-то не прав" нет смысла.
Я не сдался. Просто против ветра это самое... А воевать пока "в интернете кто-то не прав" нет смысла.
Часовой пояс GMT +3, время: 09:56.
Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.