The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Уязвимости в сервисе Pocket, поддержка которого недавно доба..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +/
Сообщение от opennews on 20-Авг-15, 01:24 
Проведя (https://www.gnu.gl/blog/Posts/multiple-vulnerabilities-in-po.../) поверхностный анализ защищённости службы Pocket (https://getpocket.com/), была выявлена серия серьёзных уязвимостей, демонстрирующих халатное отношение разработчиков к защите данных пользователей и показывающих, что при разработке безопасности не уделялось должного внимания. В частности, через манипуляции с URL "file://" оказалось возможным получить содержимое системных файлов из серверных  окружений Amazon EC2, которые используются для обеспечения работы Pocket.


Проблема была обнаружена после попытки отложить в Pocket ссылку "http://127.0.0.1/server-status", что привело к появлению на другом синхронизированном устройстве содержимого страницы со статистикой работы сервера. Попытавшись сохранить страницу, при попытке открытия которой выдаётся редирект на URL "file:///etc/passwd" удалось получить содержимое файла /etc/passwd и использовать подобный метод для чтения других файлов с сервера, например, закрытых SSH-ключей текущего пользователя.

Проблемы с Pocket заслуживают внимание в силу интеграции поддержки данной службы непосредственно в Firefox. Начиная с версии 38.0.5 в Firefox были встроены средства обращения к службе Pocket, которая позволяет отложить страницы, чтобы вернуться к ним когда появится время, в том числе с других устройств. Данное нововведение вызвало (http://www.reddit.com/r/linux/comments/35wc7r/firefox_beta_n.../) неоднозначную реакцию в сообществе и
требования (https://bugzilla.mozilla.org/show_bug.cgi?id=1172126) исключить поддержку Pocket из основного состава Firefox, ограничив возможность работы с ним как с внешним дополнением (https://addons.mozilla.org/en-US/firefox/addon/read-it-later/). Главным образом, недовольство связано с тем, что Pocket является проприетарной разработкой и его встраивание в Firefox воспринимается как продвижение одного из сторонних коммерческих проектов, пренебрежение персональными данными пользователей и навязывание лишней функциональности, востребованной лишь небольшой категорией пользователей.


Выявленные уязвимости лишний раз указали на то, что проприетарным службам, реализация которых не может быть проконтролирована сообществом, не следует слепо доверять данные пользователей. Информация об уязвимости опубликована после устранения проблемы на стороне Pocket, тем не менее, выявленные проблемы красноречиво говорят об уровне защиты данного сервиса.


URL: https://www.gnu.gl/blog/Posts/multiple-vulnerabilities-in-po.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=42824

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +23 +/
Сообщение от rob pike on 20-Авг-15, 01:24 
ЧТД.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +7 +/
Сообщение от Анончег on 20-Авг-15, 02:27 
> Попытавшись сохранить страницу, при попытке открытия которой выдаётся редирект на URL "file:///etc/passwd" удалось получить содержимое файла /etc/passwd и использовать подобный метод для чтения других файлов с сервера, например, закрытых SSH-ключей текущего пользователя.

А что все так возбудились?
Может быть кому-то как раз эта информация нужна по работе.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +2 +/
Сообщение от slavius on 20-Авг-15, 02:31 
по работе хакером?)) или по работе в анб? ну и фсб будет радо))
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +8 +/
Сообщение от SCIF (ok) on 20-Авг-15, 04:12 
Прямо через день в браузере, то ключи от ссх, то /etc/passwd смотрю. Удобно ведь!
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

52. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +1 +/
Сообщение от Анончег on 20-Авг-15, 14:25 
> Прямо через день в браузере, то ключи от ссх, то /etc/passwd смотрю.
> Удобно ведь!

Вот видишь, значит не зря люди старались!

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

24. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  –2 +/
Сообщение от Аноним (??) on 20-Авг-15, 09:37 
> А что все так возбудились?

Наверное, то что АНБ^W группа "equation" пользуясь случаем уже скорее всего задампило эти сервера и унесло все что можно было унести. Да и остальные наверное времени даром не теряли - дармовые ресурсы и информация для дата-майнинга всегда в цене.

> Может быть кому-то как раз эта информация нужна по работе.

Ну да, хакерам и любителям дата майнинга :)

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

2. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +9 +/
Сообщение от Crazy Alex (ok) on 20-Авг-15, 01:57 
Ярко светится идиотизм мозиллы...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

25. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +4 +/
Сообщение от Аноним (??) on 20-Авг-15, 09:39 
> Ярко светится идиотизм мозиллы...

Так они понабрали там каких-то виндовых скриптокидозников вместо разработчиков. А маркетинг победил здравый смысл. Неужели кто-то еще не понял что маркетоидам мозиллы просто хочется денег. Поперла беспринципная монетизация прожЕкта любой ценой.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

36. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  –2 +/
Сообщение от Аноним (??) on 20-Авг-15, 11:29 
> Так они понабрали там каких-то виндовых скриптокидозников вместо разработчиков. А маркетинг

Разработчики мозилы к Pocket не имеют никакого отношения. Это сторонний сервис по типу яндекс. Мозилла просто добавила интеграция(кнопку) в файрфокс.


Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

43. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +4 +/
Сообщение от Crazy Alex (ok) on 20-Авг-15, 13:25 
А то, что надо хоть какой-то аудит провести прежде чем своей репутацией рисковать - так сложно для понимания?
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

78. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +/
Сообщение от Аноним (??) on 21-Авг-15, 06:54 
> А то, что надо хоть какой-то аудит провести прежде чем своей репутацией
> рисковать - так сложно для понимания?

Ну так маркетологи же. А они знают что бабло побеждает зло. Они сейчас выжмут бренд и, уволившись, с чистой совестью пойдут устраиваться в новую компанию. Где платят больше, а шатдаун бизнеса еще не маячит на горизонте.

Ответить | Правка | ^ к родителю #43 | Наверх | Cообщить модератору

47. "Уязвимости в сервисе Pocket, поддержка которого недавно..."  +1 +/
Сообщение от arisu (ok) on 20-Авг-15, 13:42 
> Разработчики мозилы к Pocket не имеют никакого отношения. Это сторонний сервис по
> типу яндекс. Мозилла просто добавила интеграция(кнопку) в файрфокс.

ага. добавили под дулами автоматов, не иначе. а почему не мой сервис «pupkinkarman»? может, всё‐таки, деньги, а?

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

69. "Уязвимости в сервисе Pocket, поддержка которого недавно..."  +/
Сообщение от VEG (ok) on 20-Авг-15, 22:10 
Говорите так, будто это что-то плохое. Ну очевидно, что деньги. Надо же где-то Mozilla искать спонсоров.
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

79. "Уязвимости в сервисе Pocket, поддержка которого недавно..."  +/
Сообщение от Аноним (??) on 21-Авг-15, 06:58 
> Говорите так, будто это что-то плохое. Ну очевидно, что деньги. Надо же
> где-то Mozilla искать спонсоров.

Знаешь, на проституток всегда смотрят как-то косо. Раньше мозилла была командой инженеров. И им почему-то не требовались деньги в таком количестве и не надо было кидать пользователей. А потом, когда пришли маркетологи и создали мозилла корп - им видимо стало не хватать на яхты и виллы у топов. Поэтому про битье себя пяткой в грудь как некоммерческого фонда они забыли и скатились в откровенное вымогательство. Впрочем, т.к. их аудитория любила мозиллу совсем не за это - они уже пролюбили примерно половину юзерей. А если дальше так пойдет - через 5-10 лет это будет опера номер два.

Ответить | Правка | ^ к родителю #69 | Наверх | Cообщить модератору

90. "Уязвимости в сервисе Pocket, поддержка которого недавно..."  +/
Сообщение от soarin (ok) on 21-Авг-15, 08:15 
так раньше у них крыша была чисто гугляндская, ну и хромиума не было. щас ситуация для них сложнее
Ответить | Правка | ^ к родителю #79 | Наверх | Cообщить модератору

98. "Уязвимости в сервисе Pocket, поддержка которого недавно..."  +/
Сообщение от arisu (ok) on 21-Авг-15, 13:27 
> щас ситуация для них сложнее

конечно, сложнее: надо ещё толпу дармоедов кормить. а дармоеды на макаронах и сосисках жить не хотят. зато уверены, что ftp в браузере не нужен, потому что «в хроме ж убирают!»: https://bugzilla.mozilla.org/show_bug.cgi?id=1174462

Ответить | Правка | ^ к родителю #90 | Наверх | Cообщить модератору

106. "Уязвимости в сервисе Pocket, поддержка которого недавно..."  +/
Сообщение от soarin (ok) on 21-Авг-15, 17:05 
правильно, ибо ftp вообще не нужен - 2015-ый год на дворе
Ответить | Правка | ^ к родителю #98 | Наверх | Cообщить модератору

109. "KEEFOX_CHECKED_FLAG_TRUE"  +/
Сообщение от scorry (ok) on 23-Авг-15, 19:55 
> правильно, ибо ftp вообще не нужен - 2015-ый год на дворе

Ты в зеркало-то смотрел с утра? Сам-то ты нужен в 2015, а?

Ответить | Правка | ^ к родителю #106 | Наверх | Cообщить модератору

74. "Уязвимости в сервисе Pocket, поддержка которого недавно..."  +/
Сообщение от count0krsk (ok) on 21-Авг-15, 06:34 
Ну ладно-ладно, им просто забашляли. Этож капитализм, за нужную сумму даже директор гугля тебе пятки оближет ))
Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

108. "Уязвимости в сервисе Pocket, поддержка которого недавно..."  +/
Сообщение от scorry (ok) on 23-Авг-15, 19:47 
>> Разработчики мозилы к Pocket не имеют никакого отношения. Это сторонний сервис по
>> типу яндекс. Мозилла просто добавила интеграция(кнопку) в файрфокс.
> ага. добавили под дулами автоматов, не иначе. а почему не мой сервис
> «pupkinkarman»? может, всё‐таки, деньги, а?

Конечно же, с одной стороны — деньги.
А с другой стороны — отсутствие вменяемой опенсорсной альтернативы. Автор wallabag'а, например, на запрос фичи сохранения полной версии страницы, без кастрации её посредством readability, заявил, что типа это уничтожает саму идею программы. Ну вот такое. А я на пхп не пишу, чтобы в сорцы того же валлабэга лезть.

Ответить | Правка | ^ к родителю #47 | Наверх | Cообщить модератору

110. "Уязвимости в сервисе Pocket, поддержка которого недавно..."  +/
Сообщение от arisu (ok) on 23-Авг-15, 20:59 
> А с другой стороны — отсутствие вменяемой опенсорсной альтернативы.

чему? с какого испугу место этих всех примочек — в браузере, а не на AMO? Firefox всегда был весёлым конструктором: кости, жир, изолента — остальное на AMO. в этом и была его уберфича. всё‐таки разница между «эта фигня отключена… наверное, но всё равно торчит» и «да не собираюсь я её ставить, и потому её нет вообще» — огромная. а сделать расширениями пока ещё можно всё, они ничем не отличаются по возможностям от того, что «в коробке» поставляется.

Ответить | Правка | ^ к родителю #108 | Наверх | Cообщить модератору

111. "Уязвимости в сервисе Pocket, поддержка которого недавно..."  +/
Сообщение от scorry (ok) on 24-Авг-15, 00:04 
>> А с другой стороны — отсутствие вменяемой опенсорсной альтернативы.
> чему? с какого испугу место этих всех примочек — в браузере, а
> не на AMO? Firefox всегда был весёлым конструктором: кости, жир, изолента
> — остальное на AMO. в этом и была его уберфича. всё‐таки
> разница между «эта фигня отключена… наверное, но всё равно торчит» и
> «да не собираюсь я её ставить, и потому её нет вообще»
> — огромная. а сделать расширениями пока ещё можно всё, они ничем
> не отличаются по возможностям от того, что «в коробке» поставляется.

Да я не про файрфокс же писал, а про расширение для сохранения страниц. Про отсутствие опенсорсной альтернативы именно покету.

Ответить | Правка | ^ к родителю #110 | Наверх | Cообщить модератору

112. "Уязвимости в сервисе Pocket, поддержка которого недавно..."  +/
Сообщение от arisu (ok) on 24-Авг-15, 00:27 
я понял, но на это же отвечать неинтересно…
Ответить | Правка | ^ к родителю #111 | Наверх | Cообщить модератору

77. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +/
Сообщение от Аноним (??) on 21-Авг-15, 06:52 
> Разработчики мозилы к Pocket не имеют никакого отношения.

...кроме того что засунули этот крап в свой браузер на видное место. Ну а раз впаривали это - пусть и предъявы за дырявость выкусывают.

> Это сторонний сервис по типу яндекс. Мозилла просто добавила интеграция(кнопку) в файрфокс.

Ну вот мозилла впаривала дырявый сервис на видном месте. Стало быть разработчики мозилы - ДЛБ!


Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

5. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  –4 +/
Сообщение от slavius on 20-Авг-15, 02:33 
как же хорошо что я фоксу запретил обновляться))
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +7 +/
Сообщение от Аноним (??) on 20-Авг-15, 02:52 
browser.pocket.enabled;false в день премьеры выставил.
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

26. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +3 +/
Сообщение от Аноним (??) on 20-Авг-15, 09:40 
> browser.pocket.enabled;false в день премьеры выставил.

Попробуем угадать - какую г-няшку при следующем обновлении подложит мозилла корп? :) И да, сколько там уже мин наш сапер обезвредил? Хороший у мозиллы софт.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

34. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  –1 +/
Сообщение от slavius on 20-Авг-15, 11:14 
учитывая что у меня система режет все входящие соединения,  можно и покет включить и понаблюдать что он ценного передать хочет)) а заодно и дыры поискать. так для себя)) если уж они умудрились доступ к /etc/passwd открыть , мож еще че откроется?))
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

42. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +/
Сообщение от rmh on 20-Авг-15, 13:24 
Есть ли где-то спискок опций из about:config, которые нужно отключить для новых выпусков? А то я уже теряюсь в этом реестре.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

48. "Уязвимости в сервисе Pocket, поддержка которого недавно..."  –5 +/
Сообщение от arisu (ok) on 20-Авг-15, 13:44 
> Есть ли где-то спискок опций из about:config, которые нужно отключить для новых
> выпусков? А то я уже теряюсь в этом реестре.

а чем тебе хром не нравится? ff — это же такой недохром, кривой, косой и горбатый. и то, что из ff хотят сделать хром, мозиллой не скрывается. так возьми уже оригинал, зачем тебе эта недореплика?

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

55. "Уязвимости в сервисе Pocket, поддержка которого недавно..."  +/
Сообщение от ъ on 20-Авг-15, 14:41 
webgl на ati видяхах выключен не конфигами, а так скомпилировано. На лисе все работает - и текстуры и свет, в хроме-хромиуме и др. это пока не решенный кейс в листе разрабов. Хотя на интелах и нвидии работает. Это ограничение рынка... пусть используют api от ОС, а не свою ОС в браузер пихают, да так что AMD-ATI в пролете.
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

80. "Уязвимости в сервисе Pocket, поддержка которого недавно..."  +/
Сообщение от Аноним (??) on 21-Авг-15, 07:02 
> и нвидии работает. Это ограничение рынка... пусть используют api от ОС,
> а не свою ОС в браузер пихают, да так что AMD-ATI в пролете.

Что ты там куришь? Гугль ни разу и не писал свой вариант GL, системный использует. И какой у тебя драйвер - проприетарный, опенсорсный, или чего? Судя по бухтению - он в блеклисте за глюкавость. И да, знаешь, вывешивать бажный драйвер ж..й в интернет, равно как и апи ОС через которые его можно завалить - удовольствие ниже среднего.

Ответить | Правка | ^ к родителю #55 | Наверх | Cообщить модератору

102. "Уязвимости в сервисе Pocket, поддержка которого недавно..."  +/
Сообщение от ъ on 21-Авг-15, 14:31 
> Судя по бухтению - он в блеклисте за глюкавость.

Игры работают, стим работает, лиса работает... но нет, в хромиум webgl мы выключим и --ignore-gpu-blacklist проигнорируем.

Ответить | Правка | ^ к родителю #80 | Наверх | Cообщить модератору

64. "Уязвимости в сервисе Pocket, поддержка которого недавно..."  –1 +/
Сообщение от Аноним (??) on 20-Авг-15, 19:11 
Еще лучше опера под описание подходит.
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

83. "Уязвимости в сервисе Pocket, поддержка которого недавно..."  +/
Сообщение от Аноним (??) on 21-Авг-15, 07:27 
> Еще лучше опера под описание подходит.

Опера нынче - это такая шкурка к хромиуму. Да и вообще, вроде как опера продается. Компания, в смысле.

Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

70. "Уязвимости в сервисе Pocket, поддержка которого недавно..."  +/
Сообщение от VEG (ok) on 20-Авг-15, 22:10 
Chrome не такой гибкий. В нём нельзя серьёзно изменить интерфейс расширениями.
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

81. "Уязвимости в сервисе Pocket, поддержка которого недавно..."  +1 +/
Сообщение от Аноним (??) on 21-Авг-15, 07:03 
> Chrome не такой гибкий. В нём нельзя серьёзно изменить интерфейс расширениями.

Мозилла со своим австралопитекисом успешно над этим поработала. Впрочем, в новых версиях нельзя даже урл для страницы новой вкладки задать - очень "гибкий" интерфейс стал.

Ответить | Правка | ^ к родителю #70 | Наверх | Cообщить модератору

101. "Уязвимости в сервисе Pocket, поддержка которого недавно..."  +/
Сообщение от ъ on 21-Авг-15, 14:28 
>>в новых версиях нельзя даже урл для страницы новой вкладки задать

Нельзя задать этот урл через расширения, что бы не подменяли твою новую вкладку на рекламный урл, руками все задается через settings. (Кроме чтения новостей про безопасность хорошо бы проверять, а так ли вы поняли что там поменяли).

Ответить | Правка | ^ к родителю #81 | Наверх | Cообщить модератору

103. "Уязвимости в сервисе Pocket, поддержка которого недавно..."  +/
Сообщение от arisu (ok) on 21-Авг-15, 14:45 
> Нельзя задать этот урл через расширения, что бы не подменяли твою новую
> вкладку на рекламный урл, руками все задается через settings.

а, то есть, поменять prefs.js — это теперь задача непосильная. защита что надо, очень удобная и действенная. ну, в стиле современной мозиллы.

Ответить | Правка | ^ к родителю #101 | Наверх | Cообщить модератору

50. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +/
Сообщение от анином on 20-Авг-15, 13:58 
присоединяюсь к вопросу.
Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

45. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +/
Сообщение от Аноним (??) on 20-Авг-15, 13:33 
Забавно что mozilla пишет:
browser.toolbarbuttons.introduced.pocket-button;true - установлено пользователем, но пользователь не ставил :)
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

58. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +/
Сообщение от Аноним (??) on 20-Авг-15, 15:09 
> Забавно что mozilla пишет:
> browser.toolbarbuttons.introduced.pocket-button;true - установлено пользователем,
> но пользователь не ставил :)

Это нормально. Это просто означает, что значение префы не дефолтное. По умолчанию оно очевидно false, при первом открытии показывается какой-нибудь хелп и её ставит в true, чтобы больше не вылезало. Если отключить покет, то скорее всего её тоже в true ставит на всякий случай. Не создавать же файл для таких мелочей, когда префу получить/изменить одной строкой в js можно.

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

57. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +/
Сообщение от WiseLord on 20-Авг-15, 14:49 
Увы, browser.pocket.enabled;false не заставляет исчезнуть пункт "Показать список Pocket" в меню "Закладки"
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

72. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +1 +/
Сообщение от paulus (ok) on 21-Авг-15, 04:25 
убирает, но не всегда и сразу :)
Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

56. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +/
Сообщение от Аноним (??) on 20-Авг-15, 14:43 
Молодец, возьми с полки пирожок.
https://blog.mozilla.org/security/2015/08/06/firefox-exploit.../
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

9. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  –3 +/
Сообщение от Аноним из Сибири on 20-Авг-15, 04:40 
apparmor решает проблему на 100%, но сам факт удручает конечно
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

14. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +3 +/
Сообщение от Аноним (??) on 20-Авг-15, 07:13 
С чем решает? Или он сам собой на их серверах включится?
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

19. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +12 +/
Сообщение от Аноним (??) on 20-Авг-15, 08:40 
Угоняешь ~/id_rsa Заходишь на их сервера, проводишь аудит безопасности, обновляешь софт, Ksplice, пачишь ядро в памяти, настраиваешь apparmor/selinux, ставишь suricata, загоняешь их веб сервер в контейнер. Profit.
А то совсем пользователи обленились.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

21. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +3 +/
Сообщение от Аноним (??) on 20-Авг-15, 08:41 
>~/id_rsa

~/.ssh/id_rsa

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

27. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +1 +/
Сообщение от Аноним (??) on 20-Авг-15, 09:41 
> А то совсем пользователи обленились.

Да не боись, сейчас им NSA^W equation group еще и прошивки хардов заапдейтит своим самоходным программным обеспечением :)

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

33. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  –4 +/
Сообщение от Аноним из Сибири on 20-Авг-15, 11:00 
во-первых, если на ваших серверах крутится самый новый firefox, уязвимости в pocket - далеко не самая серьёзная проблема.
во-вторых, написать политику для apparmor можно даже при наличии умственной отсталости. если человек хочет безопасность и новый firefox - берёт и пишет, не вижу проблемы.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

35. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +5 +/
Сообщение от Аноним (??) on 20-Авг-15, 11:25 
На каких серверах какой firefox крутится? Вы пьяны шоле? Уязвимость в серверах backend-а pocketa. Никакая политика apparmor вам не поможет.
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

46. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +1 +/
Сообщение от Аноним (??) on 20-Авг-15, 13:35 
Напиши мне политику AppArmor чтоб она работала на сервере Pocket`а.
Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

75. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +/
Сообщение от count0krsk (ok) on 21-Авг-15, 06:40 
> Напиши мне политику AppArmor чтоб она работала на сервере Pocket`а.

Гыгы. Так если сервера покета - ССЗБ, может и шут с ними? Написать в /etc/motd: "Здесь был opennet", и наслаждаться репортажем на NBC о том как русские хацкеры Амазон взломали )))

Ответить | Правка | ^ к родителю #46 | Наверх | Cообщить модератору

82. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +/
Сообщение от Аноним (??) on 21-Авг-15, 07:17 
Ну ты то известный русский хацкер. Считающий что под DOS вирусов нет.
Ответить | Правка | ^ к родителю #75 | Наверх | Cообщить модератору

10. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  –1 +/
Сообщение от samsan66 on 20-Авг-15, 04:45 
В ESR такого нет.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

54. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +3 +/
Сообщение от Ivan (??) on 20-Авг-15, 14:34 
Всему свое время. Когда-то в той тихой гавани и австралиса не было.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

15. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +/
Сообщение от Аноним (??) on 20-Авг-15, 07:52 
В seamonkey такого нету.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +2 +/
Сообщение от Аноним (??) on 20-Авг-15, 07:57 
> анализ защищённости службы Pocket

Нарушает  условия пользования службы Pocket. Встретимся в суде.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +/
Сообщение от Аноним (??) on 20-Авг-15, 07:58 
https://getpocket.com/tos
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

20. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +6 +/
Сообщение от llolik (ok) on 20-Авг-15, 08:41 
Не в Oracle работаете часом? :)
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +/
Сообщение от Аноним (??) on 20-Авг-15, 08:10 
>Pocket does not provide monetary compensation for any identified or possible vulnerability.

http://help.getpocket.com/customer/portal/articles/1225832-p...

>Благодарим за найденные уязвимости в 2015 году!

Edgar Boda-Majer (@edgarboda)
Paulos Yibelo (@PaulosYibelo)
... еще 40 имен.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +/
Сообщение от Аноним (??) on 20-Авг-15, 09:43 
>>Pocket does not provide monetary compensation for any identified or possible vulnerability.

Прозрачный намек хакерам на то что покет следует беспринципно гасить сплойтами, не рапортуя баги мозилле. Хе.


Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

29. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +4 +/
Сообщение от Аноним (??) on 20-Авг-15, 09:49 
Меня больше беспокоит, что в сервисе, который:
1. Авторизует пользователя.
2. Принимает список закладок в json
3. Отдает список закладок в json
находят 40 уязвимостей в год.
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

32. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  –1 +/
Сообщение от Аноним (??) on 20-Авг-15, 10:59 
> находят 40 уязвимостей в год.

Ну так https://www.opennet.ru/openforum/vsluhforumID3/104284.html#25

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

31. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +/
Сообщение от Аноним (??) on 20-Авг-15, 10:51 
Как будто кто-то этого не ожидал.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

37. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +/
Сообщение от Аноним (??) on 20-Авг-15, 11:39 
"отложить в Pocket ссылку"... не сразу понял, что это.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

84. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +/
Сообщение от Аноним (??) on 21-Авг-15, 07:29 
> "отложить в Pocket ссылку"... не сразу понял, что это.

Мозилла тонко намекает во что скатывается их браузер.

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

107. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +/
Сообщение от клоун on 21-Авг-15, 18:57 
В первых переводах офисных продуктов было не Копировать и Вставить, а Положить в карман и Взять из кармана чтобы пользователи понимали как это работает. Но прижилось ушлёпское Отрезать, Копировать которое не копирует, Вставить кому-то что-то.

А Pocket переводится как раз как Карман.

Ответить | Правка | ^ к родителю #84 | Наверх | Cообщить модератору

38. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +/
Сообщение от Аноним (??) on 20-Авг-15, 11:42 
Слава яицам эта дрянь отключается в конфигах, бесила эта кнопка не зря.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

39. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  –1 +/
Сообщение от ононим88 on 20-Авг-15, 12:23 
можно ли этот сервис как-то удалить из фокса? или посоветуйте сборку фокса без этого мусора. симанки и другие браузеры не предлагать.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

41. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +2 +/
Сообщение от sasha (??) on 20-Авг-15, 12:43 
> можно ли этот сервис как-то удалить из фокса? или посоветуйте сборку фокса
> без этого мусора. симанки и другие браузеры не предлагать.

Disable Hello, Pocket & Reader
я вот это дополнение использую

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

85. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +/
Сообщение от Аноним (??) on 21-Авг-15, 07:31 
Это дополнение на самом деле называется Pale Moon :)
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

53. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +/
Сообщение от Аноним (??) on 20-Авг-15, 14:28 
https://www.reddit.com/r/firefox/comments/382b6u/remove_pock.../
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

73. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  –1 +/
Сообщение от paulus (ok) on 21-Авг-15, 04:30 
> посоветуйте сборку фокса без этого мусора.

http://sourceforge.net/projects/lightfirefox/

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

86. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +2 +/
Сообщение от Аноним (??) on 21-Авг-15, 07:33 
> http://sourceforge.net/projects/lightfirefox/

А спайварь от сорсфоржа там как, предустановлена? :)

Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

100. "Уязвимости в сервисе Pocket, поддержка которого недавно..."  +/
Сообщение от arisu (ok) on 21-Авг-15, 13:31 
> sourceforge.net

уже смешно. нет, кому‐то, может, и охота туда лазить, но проект, настолько не уважающий пользователей, что даже не посчитал нужным уйти с malware-хостинга…

Ответить | Правка | ^ к родителю #73 | Наверх | Cообщить модератору

93. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +/
Сообщение от Аноним (??) on 21-Авг-15, 09:57 
Не знаю, насколько подойдет, но попробуйте GNU Icecat http://www.gnu.org/software/gnuzilla/
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

40. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +/
Сообщение от Аноним (??) on 20-Авг-15, 12:35 
Попробовал этот покет, - он не работает у меня..
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

44. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +/
Сообщение от 1 (??) on 20-Авг-15, 13:27 
может у тебя просто /etc/passwd нема ?
Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

51. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +3 +/
Сообщение от анином on 20-Авг-15, 14:01 
уже?
Ответить | Правка | ^ к родителю #44 | Наверх | Cообщить модератору

87. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +1 +/
Сообщение от Аноним (??) on 21-Авг-15, 07:34 
> Попробовал этот покет, - он не работает у меня..

Так это не баг, это фича :)

Ответить | Правка | ^ к родителю #40 | Наверх | Cообщить модератору

59. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  –1 +/
Сообщение от Anonplus on 20-Авг-15, 16:28 
А я, внезапно, начал пользоваться этим сервисом. Из-за недуга большую часть дня вынужден проводить в лежачем положении, так что просто сажусь за стационарник, разгребаю почту, срочные дела, а всё из разряда "почитать" скидываю в Pocket и потом читаю с планшета.

Уязвимости сервера меня не очень беспокоят, что узнают злоумышленники? Мою почту, используемую для реги во всяких мелких сервисах? Ну она для того и заведена, чтобы основную не светить. Мой пароль? На здоровье, он уникальный. Список статеек в интернетах, которые я читаю? Читайте на здоровье, они интересные.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

62. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +1 +/
Сообщение от Crazy Alex (ok) on 20-Авг-15, 17:44 
А чего просто закладки не синхронизировать?
Ответить | Правка | ^ к родителю #59 | Наверх | Cообщить модератору

88. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +/
Сообщение от Аноним (??) on 21-Авг-15, 07:37 
> А чего просто закладки не синхронизировать?

Ты еще скажи - на свой сервер. Хомяки понимают что вляпались в дepьмо лишь когда лаборант начинает в них втыкать шприц.

Ответить | Правка | ^ к родителю #62 | Наверх | Cообщить модератору

60. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  –5 +/
Сообщение от Аноним (??) on 20-Авг-15, 16:32 
Большая часть комментаторов выше даже не поняла, что уязвимость на веб-серверах Pocket никак не затрагивает пользователей, которые этим покетом в мозилле не пользуются.

Что с вас взять, придурки вы и есть придурки.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

63. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +2 +/
Сообщение от Crazy Alex (ok) on 20-Авг-15, 17:46 
Придурки - это те, кто подсунул пользователям кривой сервис, фактически поручившись своим добрым именем. Логично предположить, что они и всё остальное так же делают (что, в общем-то, практикой подтверждается).
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

65. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  –1 +/
Сообщение от Аноним (??) on 20-Авг-15, 19:14 
Большая часть комментаторов всегда не поняла.
Ответить | Правка | ^ к родителю #60 | Наверх | Cообщить модератору

68. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  –4 +/
Сообщение от Psykukumber (ok) on 20-Авг-15, 21:34 
Какая желтушная новость.

Пинать Мозиллу за косяк стороннего сервиса? Серьезно? Ребята интегрировали кнопку, код которой открыт и которая взаимодействует с апи сервиса. Давайте тепрь будем хаять мозиллу за уязвимости гугла. А чо, ведь гуглпоиск же встроен в лису.

Ребята из Пакета конечно знатно зафейлили, но отчего пинать мозиллу - не понятно.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

71. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +/
Сообщение от Аноним (??) on 20-Авг-15, 22:53 
Суть в том, что пользователям Firefox навязали изначально кривой и дырявый сервиc, в котором сведения о том, что сохраняет пользователь могут утекать направо и налево. Данные о том, что в Pocket правят по пять дыр каждый месяц и с годами ничего не меняется у Mozilla были, но их проигнорировали. Формально причиной добавления Pocket была забота о пользователе, но спорим, через год Pocket будет фигурировать в числе доноров в финансовом отчете Mozilla? Google в отличии от Pocket наряду с другими поисковыми системами и сразу сказано, что он добавлен за деньги. Pocket пока только один, альтернативы проигнорированы, другие полезные сервисы тоже не спешат добавлять.
Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

76. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +1 +/
Сообщение от count0krsk (ok) on 21-Авг-15, 06:44 
Вот читаю я новости о фурифоксе постоянно, и понимаю что не зря несколько месяцев назад пересел на icecat )) Интерфейс никто не меняет, новые багофичи не интегрирует. Скукотааа... Только такими новостями и развлекаюсь.
Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

104. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +/
Сообщение от Psykukumber (ok) on 21-Авг-15, 15:48 
> Суть в том, что пользователям Firefox навязали изначально кривой и дырявый сервиc, в котором сведения о том, что сохраняет пользователь могут утекать направо и налево.

Но могут и не утекать, если юзер не авторизован в нем.

> но спорим, через год Pocket будет фигурировать в числе доноров в финансовом отчете Mozilla?

Ну так сотрудников за что-то нужно же кормить. И даже тех же самых маркетологов, которых все считают ненужными, но которые при должной прямоте рук бывают крайне нужны.

> Google в отличии от Pocket наряду с другими поисковыми системами
> Pocket пока только один, альтернативы проигнорированы

Ну Пакет сейчас самый популярный сервис из себе подобных. К тому же никто ведь не мешает добавить поддержку Instapaper и Readability в будущем.

Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

105. "Уязвимости в сервисе Pocket, поддержка которого недавно..."  +/
Сообщение от arisu (ok) on 21-Авг-15, 16:02 
видимо, гениальная мысль не пихать всякое говно прямо в браузер, а делать как раньше — устанавливаемыми расширениями, — в черепа Очень Нужных Маркетологов никак не приходит.

впрочем, есть задача, с которой Очень Нужные Маркетологи справляются отлично: разгон пользователей. когда последний мерзкий пользователь, наконец, уйдёт — тогда уж Очень Нужным Маркетологам никто не будет мешать делать Браузер Мечты.

Ответить | Правка | ^ к родителю #104 | Наверх | Cообщить модератору

89. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +2 +/
Сообщение от Аноним (??) on 21-Авг-15, 07:40 
> Ребята из Пакета конечно знатно зафейлили, но отчего пинать мозиллу - не понятно.

Наверное, от того что мозилла подписалась своим именем, когда внедрила этот крап в фокс и сунула его на видное место. Так что вполне честно если репутация просядет не только у этих фэйлоров, но и у тех кто их продвигал. Глядишь, в следующий раз подумают - надо ли очередное гуано с подставами в браузер пхать. А не подумают - им же хуже, отправятся вслед за оперой. Как команда инженеров мозилла уже ноль, а свору маркетологов - не очень жалко.

Ответить | Правка | ^ к родителю #68 | Наверх | Cообщить модератору

91. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +/
Сообщение от marks on 21-Авг-15, 08:17 
Как бы то ни было, уязвимость сервиса никак не сказывается на работе браузера. Когда я зашел почитать новость, то я подумал, что это и для пользователей ФФ тоже важно.

У меня, кстати, стоит расширение, которое отключает всякие ненужности, вроде Hello и всякого такого. Так что да, навязывают, но не неотвратимо.

Ответить | Правка | ^ к родителю #89 | Наверх | Cообщить модератору

92. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +/
Сообщение от paulus (ok) on 21-Авг-15, 09:10 
>расширение, которое отключает всякие ненужности, вроде Hello и всякого такого

Как называется/ссылка? Это "Disable Hello, Pocket & Reader+"?

Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

94. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +/
Сообщение от paulus (ok) on 21-Авг-15, 09:57 
Что-то кривоватое оно какое-то :( Ридер не убирает с адресной строки, может и с остальным так же?
Ответить | Правка | ^ к родителю #92 | Наверх | Cообщить модератору

96. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +/
Сообщение от noname card on 21-Авг-15, 12:38 
Classic Theme Restorer тоже это все барахло может отключать, но оно и вручную через about:config отключается.
Ответить | Правка | ^ к родителю #92 | Наверх | Cообщить модератору

95. "Уязвимости в сервисе Pocket, поддержка которого недавно доба..."  +/
Сообщение от Товарищ Майор on 21-Авг-15, 10:51 
расширение отключающее расширения...
Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

99. "Уязвимости в сервисе Pocket, поддержка которого недавно..."  +2 +/
Сообщение от arisu (ok) on 21-Авг-15, 13:30 
> У меня, кстати, стоит расширение, которое отключает всякие ненужности

а раньше, помнится, ставили расширения, чтобы добавлять всякие нужности…

Ответить | Правка | ^ к родителю #91 | Наверх | Cообщить модератору

97. "Уязвимости в сервисе Pocket, поддержка которого недавно..."  +/
Сообщение от arisu (ok) on 21-Авг-15, 13:25 
мозилла? репутация? давно же уже нечего терять.
Ответить | Правка | ^ к родителю #89 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру