Поиск
Теги
Aliexpress 181
BLM 21
Calella 147
exler.ru 315
авто 480
аудио 7
Барселона 110
Беларусь 34
бытовуха 1503
в мире 153
вакцинация 18
велосипед 40
видео 4342
вино 363
война 622
выставки 217
гаджеты 1836
гламурье 23
детишки 46
ебанариум 21
еда 543
ЕС 87
железо 361
животные 239
жулики 248
забавно 2136
здоровье 102
игры 119
Израиль 112
ИИ 72
интересно 390
Интернет 1305
искусство 302
Испания 1246
истории 156
история 9
Италия 8
картинки 626
Каталония 136
кино 1642
Китай 6
книги 229
коронабесие 119
коронавирус 298
коронажизнь 65
кретинизм 322
криминал 1
маньяна 19
маразм 218
Маск 45
медицина 47
мне пишут 49
мои фото 218
Мордор 2866
Москва 20
музыка 920
наука 10
новости 27
о высоком 155
о низком 292
обновление 3144
паноптикум 176
поездки 1094
полезное 7
попы 201
праздники 22
происшествия 132
разное 1526
ребенок 13
реклама 426
связь 18
сериал 163
скандалы 11
скорблю 131
СМИ 2893
софт 978
социалка 187
спорт 139
США 220
СЭКС 44
технологии 183
толерастия 12
Трамп 152
трэш 9
туры 19
Украина 47
фотография 210
Франция 48
шарлатаны 31
шоу 6
экотерроризм 26
Экслер 1085
юмор 22
видео 4342
обновление 3144
СМИ 2893
Мордор 2866
забавно 2136
гаджеты 1836
кино 1642
разное 1526
бытовуха 1503
Интернет 1305
Испания 1246
поездки 1094
Экслер 1085
софт 978
музыка 920
картинки 626
война 622
еда 543
авто 480
реклама 426
интересно 390
вино 363
железо 361
кретинизм 322
exler.ru 315
искусство 302
коронавирус 298
о низком 292
жулики 248
животные 239
книги 229
США 220
мои фото 218
маразм 218
выставки 217
фотография 210
попы 201
социалка 187
технологии 183
Aliexpress 181
паноптикум 176
сериал 163
истории 156
о высоком 155
в мире 153
Трамп 152
Calella 147
спорт 139
Каталония 136
происшествия 132
скорблю 131
игры 119
коронабесие 119
Израиль 112
Барселона 110
здоровье 102
ЕС 87
ИИ 72
коронажизнь 65
мне пишут 49
Франция 48
Украина 47
медицина 47
детишки 46
Маск 45
СЭКС 44
велосипед 40
Беларусь 34
шарлатаны 31
новости 27
экотерроризм 26
гламурье 23
юмор 22
праздники 22
BLM 21
ебанариум 21
Москва 20
туры 19
маньяна 19
вакцинация 18
связь 18
ребенок 13
толерастия 12
скандалы 11
наука 10
история 9
трэш 9
Италия 8
аудио 7
полезное 7
Китай 6
шоу 6
криминал 1
Информация
Что ещё почитать
Чёрный чемодан - двойная игра
12.05.2025
127
Разочарованное печенье твердотельных молитв
12.09.2025
61
Но я вспомнил какую интереснейшую штуку, и в этом блоге ее подтвердить может не один человек.
Помните, в один прекрасный момент гугл накосячил со своими скриптами, в результате позволив включать левый код в свои, подписанные сертификатом, баннеры и счетчики?
О какой еще безопасности можно говорить? Тут уже даже не теоретический взлом, а вполне имевший место быть косяк гугла, дискредитирующий на то время любой сайт с гугловскими приблудами.
Даже тут у Алекса на сайте при показе гуглорекламы предлагало установить какие-то левые програмульки.
Может хоть так поймете, что дырка не в самом протоколе, а в кривых руках тех дебилов, что на конфиденциальные страницы ставят нахрена-то скрипты и картинки с левых ресурсов?
они это и подтвердили%) в, упомянутой выше статье geektimes.ru/post/289661/ , ибо никто не спорит что у Google и Яндекс приличная репутация, что вероятность серьезного взлома там не сильно выше ( а с моим отношением сберу думаю что ниже) чем у сбера, только вот общая вероятность успешной атаки увеличивается примерно в три раза.
Про то что они анализируют передаваемые данные, интересный предполагаемый факт, все что они могут ( почти уверен что этого не сделано) это проверять неизменность кода скрипта, который в данный момент ( и именно им, что учитывая геораспределенность сервисов не является полной гарантией) отдается в ответ на запрос.
seturentss: Даже тут у Алекса на сайте при показе гуглорекламы предлагало установить какие-то левые програмульки
а это как раз сценарий вида "верю чужому коду", правда в аналитеку вроде параметров, на которые может воздействовать пользователь браузера, передается сильно меньше, но .
Palm: В Сбербанк онлайн уязвимостей нет geektimes.ru/post/289661/
маркетинговый бред.
seturentss: Извините, джентльмены, не было возможности поиграться с подменой. Появится - обязательно попробую.
мысль для вектора атаки, если кому не лень: имея доступ к транзиту можно играться перекрытием запросов на отозванные сертификаты, если я правильно помню это приведет к тому что, через некоторое время бразер будет не признавать безопасным ни один сайт, таким образом можно выработать у пользователя привычку не реагировать на предупреждения.
Ну так сделайте свой Луна-банк с блэк-джеком и шриптами, и играйтесь на здоровье.
geektimes.ru/post/289661/
Если же о том, что кто-то может на вашей странице подменить содержимое скрипта, то этот кто-то сможет и добавить скрипт туда где его никогда не было.
1) Потому, что 50% спора идет о мнении/оценочном суждении, примерно о таком: "Выявленная автором статьи особенность работы сбербанка: серьезная уязвимость, незначительная проблема или вообще норма?". Доказать или опровергнуть мнение невозможно. Можно лишь пояснить причины/аргументы для наблюдающих за беседой. В любой самой "технической" области есть большой простор для оценочного суждения (космонавтика, математика, физика).
2) Потому, что вторые 50% спора идет о фактическом суждении, примерно о таком: "Без вмешательства в работу клиентской машины можно подменить внешние HTTPS скрипты, не вызвав блокировку со стороны браузера". В фактической стороне этого вопроса беседующие а) не разбираются досконально и/или б) не готовы терпеливо и вежливо объяснить оппоненту свое понимание.
3) Потому, что беседа идет не структурировано. Например, в ответ на опровержение или подтверждение фактических суждений, другие участники не всегда говорят: "Большое спасибо, я теперь понял, как https защищает от такой подмены скриптов, вы были правы. А теперь давайте обсудим, достаточно ли хорошо браузер предупреждает пользователя об угрозах в этом случае, ок?". А просто переключаются на другую тему как будто это контр-аргумент к изначальной дискуссии, что-то типа: "Но смотрите, какое левое предупреждение дает браузер! Пользователь же это проигнорирует!".
4) Потому. что в процессе беседы люди переходят на личности, обвиняют друг друга в отсутствии технического образования и непонимании простых вещей. В такой ситуации многим неловко признать правоту другой стороны даже в конкретном незначительном вопросе, и приходится "идти до конца".
Как-то так. 😄 Более подробно о почти всех поворотах сегодняшней дискуссии можно прочитать вот в этой отличной статье. Сегодня попалась в ленте ФБ, очень рекомендую:
https://theoryandpractice.ru/posts/16062-v-internete-kto-to-prav-11-pravil-spora-s-adeptami-lzhenauki
PING sbrf.ru (194.54.14.129) 56(84) bytes of data.
^C
--- sbrf.ru ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 2999ms
А можешь популярно объяснить, почему пинг не ходит и как это показывает крутость/ламерство спецов сбера?
sbrf.ru мне доступен.
З.Ы. Приложение, к примеру, не работает на рутованных телефонах и пересылает в личный кабинет, т.е. на сервер сбера, всю твою адресную книгу и еще неизвестно что еще...
забрутфорсить роутер... подменить скрипт в трафике... прописать сертификаты в ифреймах... 😖))
АЛЕКСЕЕЕЕЙ БОРИСОВИИИИЧ, можно в рублику "ликбез" перевод вот этого потока красноречия от программистов в комментариях, пажааальста? - смогу тогда форсить перед другими в других комментариях на других сайтах ,вворачивая такие же словечки ИТшные -)))
А скрипт "внезапно" логгирует ваши нажатия кнопок. И, поскольку это не ваш скрипт, а третьей стороны, то вы не можете гарантировать, что даже если он сегодня не собирает именно эти данные, то не будет собирать их и дальше. А ещё однажды гуголь забыл продлить один из своих доменов и его случайно перерегистрировал на себя один из его бывших работников, помните? А ещё однажды один из СА выпустил "случайно" дублирующий сертификат то ли гугла, то ли чего-то подобного... Если вы не понимаете, что на защищённой странице не должно быть ничего из третьих источников, которые вы не контролируете, значит вы попросту некомпетентны.
v1adimir: Наличее на странице сторонних сторонних скриптов (от надежных разработчиков) является нормой. Ваши заявления про уязвимость не имеют под собой абсолютно никаких оснований. Никакой уязвимости в такой схеме нет.
Это сегодня скрипт от "надёжных" разработчиков и гуглу не интересны ваши данные. А завтра станут интересны и они поменяют скрипты на другие. Или опять забудут продлить домен и вы получите на конфиденциальной страничкескрипты от ненадёжных китайских разработчиков. Причём, даже не будете об этом знать. Никакой уязвимости? А, ну-ну!
Anacreont:
По теме вопроса: да, они используют скрипты гуглоаналитики, яндексометрики и рутаргета (как я понял, последнияя - это их дочерная компания). Конечно, ставить какие-то левые скрипты на приватные страницы - это, скажем так, не хорошо, однако, при этом всем и докучи всей моей нелюбви к Сбербанку приведенная статья выглядит примерно как "Я поставил себе кейлогер и теперь мои данные уходят налево!"
Да, они используют левые скрипты от гугло и яндо аналитики. Да, они поставили на приватную страницу кейлогеры. То, что это кейлоггеры от гугла и яндекса именно и означает, что данные, помимо, сбербанка, утекают, как минимум, в яндекс и гуголь и сбербанк ни как не контролирует эту утечку.
либо уних дыры в защите, либо крысы в конторе, а может и все вместе.
Яндекс метрика
mc.yandex.ru/watch/16949086
и гугл аналитика с идентификатором
_gaq.push(['_setAccount', 'UA-34621209-1']);
Ссыль
"Это было давно и неправда". (с)
собственно денег на картах не держу вообще, надо - со счета переслал сколько надо, заплатил и в сторону.
Наверное, если бы там были ТАКИЕ дыры, как нас пугают, этими дырами давно бы уже воспользовались грамотные люди. Однако тихо вроде в Датском королевстве.
С другой стороны я не прогер ни разу, так что мое мнение нах никому не интересно 😄
Несколько дней назад писали - и пруфы дали, когда я засомневался, что такой маразм возможен - перевод денег со своей карты на чужую смской с телефона.
Та что дыр там дофигища.
Короче, дыру подтверждаю.
Короче, дыру подтверждаю.
А можете указать поконкретнее или вы сказали наугад, типа пальцем в.... дыру?
Они стали выкручиваться, вот типа, вы подписываете соглашения, когда входите на сайты, чего-то там скачиваете, а у нас партнёрство с аналитическими компаниями и пр. В общем, бред полный.