Поиск
Теги
Aliexpress 181
BLM 21
Calella 147
exler.ru 318
авто 482
аудио 7
Барселона 111
Беларусь 34
бытовуха 1504
в мире 156
вакцинация 18
велосипед 40
видео 4365
вино 363
война 633
выставки 217
гаджеты 1847
гламурье 23
детишки 46
ебанариум 23
еда 545
ЕС 89
железо 362
животные 239
жулики 248
забавно 2139
здоровье 103
игры 119
Израиль 114
ИИ 74
интересно 391
Интернет 1307
искусство 302
Испания 1254
истории 156
история 9
Италия 8
картинки 626
Каталония 136
кино 1644
Китай 6
книги 229
коронабесие 119
коронавирус 298
коронажизнь 65
кретинизм 322
криминал 1
маньяна 19
маразм 219
Маск 45
медицина 47
мне пишут 49
мои фото 218
Мордор 2900
Москва 20
музыка 924
наука 10
новости 27
о высоком 155
о низком 292
обновление 3162
паноптикум 177
поездки 1094
полезное 7
попы 201
праздники 22
происшествия 138
разное 1531
ребенок 13
реклама 427
связь 18
сериал 165
скандалы 11
скорблю 131
СМИ 2907
софт 982
социалка 187
спорт 139
США 227
СЭКС 44
технологии 184
толерастия 12
Трамп 163
трэш 9
туры 20
Украина 47
фотография 210
Франция 48
шарлатаны 31
шоу 6
экотерроризм 27
Экслер 1085
юмор 22
видео 4365
обновление 3162
СМИ 2907
Мордор 2900
забавно 2139
гаджеты 1847
кино 1644
разное 1531
бытовуха 1504
Интернет 1307
Испания 1254
поездки 1094
Экслер 1085
софт 982
музыка 924
война 633
картинки 626
еда 545
авто 482
реклама 427
интересно 391
вино 363
железо 362
кретинизм 322
exler.ru 318
искусство 302
коронавирус 298
о низком 292
жулики 248
животные 239
книги 229
США 227
маразм 219
мои фото 218
выставки 217
фотография 210
попы 201
социалка 187
технологии 184
Aliexpress 181
паноптикум 177
сериал 165
Трамп 163
в мире 156
истории 156
о высоком 155
Calella 147
спорт 139
происшествия 138
Каталония 136
скорблю 131
игры 119
коронабесие 119
Израиль 114
Барселона 111
здоровье 103
ЕС 89
ИИ 74
коронажизнь 65
мне пишут 49
Франция 48
Украина 47
медицина 47
детишки 46
Маск 45
СЭКС 44
велосипед 40
Беларусь 34
шарлатаны 31
экотерроризм 27
новости 27
ебанариум 23
гламурье 23
юмор 22
праздники 22
BLM 21
туры 20
Москва 20
маньяна 19
вакцинация 18
связь 18
ребенок 13
толерастия 12
скандалы 11
наука 10
история 9
трэш 9
Италия 8
аудио 7
полезное 7
Китай 6
шоу 6
криминал 1
Информация
Что ещё почитать
Источник вечной молодости
05.06.2025
86
Голый пистолет
11.09.2025
95
Но я вспомнил какую интереснейшую штуку, и в этом блоге ее подтвердить может не один человек.
Помните, в один прекрасный момент гугл накосячил со своими скриптами, в результате позволив включать левый код в свои, подписанные сертификатом, баннеры и счетчики?
О какой еще безопасности можно говорить? Тут уже даже не теоретический взлом, а вполне имевший место быть косяк гугла, дискредитирующий на то время любой сайт с гугловскими приблудами.
Даже тут у Алекса на сайте при показе гуглорекламы предлагало установить какие-то левые програмульки.
Может хоть так поймете, что дырка не в самом протоколе, а в кривых руках тех дебилов, что на конфиденциальные страницы ставят нахрена-то скрипты и картинки с левых ресурсов?
они это и подтвердили%) в, упомянутой выше статье geektimes.ru/post/289661/ , ибо никто не спорит что у Google и Яндекс приличная репутация, что вероятность серьезного взлома там не сильно выше ( а с моим отношением сберу думаю что ниже) чем у сбера, только вот общая вероятность успешной атаки увеличивается примерно в три раза.
Про то что они анализируют передаваемые данные, интересный предполагаемый факт, все что они могут ( почти уверен что этого не сделано) это проверять неизменность кода скрипта, который в данный момент ( и именно им, что учитывая геораспределенность сервисов не является полной гарантией) отдается в ответ на запрос.
seturentss: Даже тут у Алекса на сайте при показе гуглорекламы предлагало установить какие-то левые програмульки
а это как раз сценарий вида "верю чужому коду", правда в аналитеку вроде параметров, на которые может воздействовать пользователь браузера, передается сильно меньше, но .
Palm: В Сбербанк онлайн уязвимостей нет geektimes.ru/post/289661/
маркетинговый бред.
seturentss: Извините, джентльмены, не было возможности поиграться с подменой. Появится - обязательно попробую.
мысль для вектора атаки, если кому не лень: имея доступ к транзиту можно играться перекрытием запросов на отозванные сертификаты, если я правильно помню это приведет к тому что, через некоторое время бразер будет не признавать безопасным ни один сайт, таким образом можно выработать у пользователя привычку не реагировать на предупреждения.
Ну так сделайте свой Луна-банк с блэк-джеком и шриптами, и играйтесь на здоровье.
geektimes.ru/post/289661/
Если же о том, что кто-то может на вашей странице подменить содержимое скрипта, то этот кто-то сможет и добавить скрипт туда где его никогда не было.
1) Потому, что 50% спора идет о мнении/оценочном суждении, примерно о таком: "Выявленная автором статьи особенность работы сбербанка: серьезная уязвимость, незначительная проблема или вообще норма?". Доказать или опровергнуть мнение невозможно. Можно лишь пояснить причины/аргументы для наблюдающих за беседой. В любой самой "технической" области есть большой простор для оценочного суждения (космонавтика, математика, физика).
2) Потому, что вторые 50% спора идет о фактическом суждении, примерно о таком: "Без вмешательства в работу клиентской машины можно подменить внешние HTTPS скрипты, не вызвав блокировку со стороны браузера". В фактической стороне этого вопроса беседующие а) не разбираются досконально и/или б) не готовы терпеливо и вежливо объяснить оппоненту свое понимание.
3) Потому, что беседа идет не структурировано. Например, в ответ на опровержение или подтверждение фактических суждений, другие участники не всегда говорят: "Большое спасибо, я теперь понял, как https защищает от такой подмены скриптов, вы были правы. А теперь давайте обсудим, достаточно ли хорошо браузер предупреждает пользователя об угрозах в этом случае, ок?". А просто переключаются на другую тему как будто это контр-аргумент к изначальной дискуссии, что-то типа: "Но смотрите, какое левое предупреждение дает браузер! Пользователь же это проигнорирует!".
4) Потому. что в процессе беседы люди переходят на личности, обвиняют друг друга в отсутствии технического образования и непонимании простых вещей. В такой ситуации многим неловко признать правоту другой стороны даже в конкретном незначительном вопросе, и приходится "идти до конца".
Как-то так. 😄 Более подробно о почти всех поворотах сегодняшней дискуссии можно прочитать вот в этой отличной статье. Сегодня попалась в ленте ФБ, очень рекомендую:
https://theoryandpractice.ru/posts/16062-v-internete-kto-to-prav-11-pravil-spora-s-adeptami-lzhenauki
PING sbrf.ru (194.54.14.129) 56(84) bytes of data.
^C
--- sbrf.ru ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 2999ms
А можешь популярно объяснить, почему пинг не ходит и как это показывает крутость/ламерство спецов сбера?
sbrf.ru мне доступен.
З.Ы. Приложение, к примеру, не работает на рутованных телефонах и пересылает в личный кабинет, т.е. на сервер сбера, всю твою адресную книгу и еще неизвестно что еще...
забрутфорсить роутер... подменить скрипт в трафике... прописать сертификаты в ифреймах... 😖))
АЛЕКСЕЕЕЕЙ БОРИСОВИИИИЧ, можно в рублику "ликбез" перевод вот этого потока красноречия от программистов в комментариях, пажааальста? - смогу тогда форсить перед другими в других комментариях на других сайтах ,вворачивая такие же словечки ИТшные -)))
А скрипт "внезапно" логгирует ваши нажатия кнопок. И, поскольку это не ваш скрипт, а третьей стороны, то вы не можете гарантировать, что даже если он сегодня не собирает именно эти данные, то не будет собирать их и дальше. А ещё однажды гуголь забыл продлить один из своих доменов и его случайно перерегистрировал на себя один из его бывших работников, помните? А ещё однажды один из СА выпустил "случайно" дублирующий сертификат то ли гугла, то ли чего-то подобного... Если вы не понимаете, что на защищённой странице не должно быть ничего из третьих источников, которые вы не контролируете, значит вы попросту некомпетентны.
v1adimir: Наличее на странице сторонних сторонних скриптов (от надежных разработчиков) является нормой. Ваши заявления про уязвимость не имеют под собой абсолютно никаких оснований. Никакой уязвимости в такой схеме нет.
Это сегодня скрипт от "надёжных" разработчиков и гуглу не интересны ваши данные. А завтра станут интересны и они поменяют скрипты на другие. Или опять забудут продлить домен и вы получите на конфиденциальной страничкескрипты от ненадёжных китайских разработчиков. Причём, даже не будете об этом знать. Никакой уязвимости? А, ну-ну!
Anacreont:
По теме вопроса: да, они используют скрипты гуглоаналитики, яндексометрики и рутаргета (как я понял, последнияя - это их дочерная компания). Конечно, ставить какие-то левые скрипты на приватные страницы - это, скажем так, не хорошо, однако, при этом всем и докучи всей моей нелюбви к Сбербанку приведенная статья выглядит примерно как "Я поставил себе кейлогер и теперь мои данные уходят налево!"
Да, они используют левые скрипты от гугло и яндо аналитики. Да, они поставили на приватную страницу кейлогеры. То, что это кейлоггеры от гугла и яндекса именно и означает, что данные, помимо, сбербанка, утекают, как минимум, в яндекс и гуголь и сбербанк ни как не контролирует эту утечку.
либо уних дыры в защите, либо крысы в конторе, а может и все вместе.
Яндекс метрика
mc.yandex.ru/watch/16949086
и гугл аналитика с идентификатором
_gaq.push(['_setAccount', 'UA-34621209-1']);
Ссыль
"Это было давно и неправда". (с)
собственно денег на картах не держу вообще, надо - со счета переслал сколько надо, заплатил и в сторону.
Наверное, если бы там были ТАКИЕ дыры, как нас пугают, этими дырами давно бы уже воспользовались грамотные люди. Однако тихо вроде в Датском королевстве.
С другой стороны я не прогер ни разу, так что мое мнение нах никому не интересно 😄
Несколько дней назад писали - и пруфы дали, когда я засомневался, что такой маразм возможен - перевод денег со своей карты на чужую смской с телефона.
Та что дыр там дофигища.
Короче, дыру подтверждаю.
Короче, дыру подтверждаю.
А можете указать поконкретнее или вы сказали наугад, типа пальцем в.... дыру?
Они стали выкручиваться, вот типа, вы подписываете соглашения, когда входите на сайты, чего-то там скачиваете, а у нас партнёрство с аналитическими компаниями и пр. В общем, бред полный.