The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Более 5900 интернет-магазинов поражены вредоносным ПО для перехвата номеров кредитных карт

15.10.2016 10:35

Исследователь безопасности Willem de Groot опубликовал результаты анализа применения в сети вредоносного JavaScript-кода, нацеленного на перехват содержимого форм ввода для кражи номеров кредитных карт. Исследование показало, что скимминг в сети усиленно набирает обороты - по сравнению с прошлым годом число сайтов, на которых встречается вредоносный JavaScript-код, возросло на 69%. Сканирование представленных в сети 255 тысяч интернет-магазинов позволило выявить 5925 поражённых вредоносным ПО сайтов, которые могут стать источником утечки данных о параметрах кредитных карт клиентов.

В качестве одного из способов распространения вредоносного ПО упоминается эксплуатация неисправленных критических уязвимостей в движке электронной коммерции Magento. Выявлено несколько вариантов размещаемого после взлома вредоносного кода, в том числе встречаются как простые и читаемые скрипты, так и достаточно изощрённые варианты c многоуровневым запутыванием следов.

Примечательно, что опубликованный исследователем список уязвимых интернет-магазинов был удалён администрацией с сайта GitHub, а затем и с GitLab. Но список был быстро растиражирован и осел в архивах. Представители GitLab объяснили удаление недопустимостью раскрытия сведений о уязвимых сайтах до устранения проблемы, но не учли, что в списке присутствуют только уже поражённые вредоносным ПО сайты, которые представляют угрозу для посетителей. GitHub пока не пояснил причины удаления, не исключается, что репозиторий был удалён в процессе реагирования на запрос от владельца одного из упомянутых в списке магазинов.

Персонал некоторых сайтов из списка утверждает, что их магазины попали в список по ошибке и не поражены вредоносным ПО, но автор исследования считает, что они без лишней огласки устранили проблему и теперь пытаются сохранить репутацию. В качестве доказательства, что проблема на этих сайтах была, несмотря на то, что сейчас вредоносный код удалён, предлагается оценить наличие вредоносного кода в кэше на archive.org. Некоторые магазины также ссылаются на использование для совершения платежей внешних провайдеров, которые не позволяет вредоносному ПО получить информацию о кредитной карте, необходимую для списания средств.

Дополнение: администрация GitLab извинилась и вернула список.

  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
  2. OpenNews: Уязвимости в платформе электронной коммерции Magento
  3. OpenNews: Критическая уязвимость в платформе электронной коммерции Magento
  4. OpenNews: Половина протестированных интернет-магазинов на платформе Magento подвержены критической уязвимости
  5. OpenNews: Более 10% из миллиона крупнейших web-сайтов небезопасны
  6. OpenNews: eBay поглотил производителя открытой платформы Magento eCommerce
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: malware
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (115) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним (-), 11:04, 15/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +8 +/
    Им на нормальных сысадминов денег не хватило.
     
     
  • 2.2, sergio78 (?), 11:35, 15/10/2016 [^] [^^] [^^^] [ответить]  
  • +31 +/
    денег всегда хватает, просто жлобам их платить всегда что то не даёт.
     
     
  • 3.27, Имя (?), 19:45, 15/10/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Жлобовство и не даёт…
     
  • 3.37, КЭП (?), 23:31, 15/10/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Гипножаба ментально душит.
     
  • 3.110, Аноним (-), 11:08, 17/10/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вы зря так, весьма крупные с точки зрения пользователя интернет-магазины часто с... текст свёрнут, показать
     
  • 2.3, YetAnotherOnanym (ok), 11:38, 15/10/2016 [^] [^^] [^^^] [ответить]  
  • +31 +/
    Сысадминами там, скорее всего, вообще не пахло. Эти просто бизнес-схема, когда "предприниматель" заказывает "студии уёб-дизайна" готовый магазин, а студия состоит из хитропопого директора, который хватает любые заказы, какие попадутся, и уёб-кодыря, который в конвейерном режиме разворачивает на хостинге готовый "бандл", слегка рихтует морду - и в продакшон.
     
     
  • 3.34, Алексей Морозов (ok), 22:36, 15/10/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну, ваще-то, в случае магазинов 8212 это так и работает Конструктор магазино... текст свёрнут, показать
     
     
  • 4.47, Аноним (-), 01:05, 16/10/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ну что ты как маленький? Если хацкеры поломали сайт - они могут например показывать для ввода кредитки СВОЮ формочку. И эта формочка отправит данные креды вовсе и не на платежный шлюз. Вебмакаки настолько куски иди0тов что не могут себе представить что хакер вообще не обязан что-либо делать с платежным шлюзом? При этом вообще похрен насколько безопасен платежный шлюз - до него дело может не дойти вообще.
     
     
  • 5.100, Анонимный Алкоголик (??), 05:02, 17/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну что ты как маленький? Если хацкеры поломали сайт - они могут
    > например показывать для ввода кредитки СВОЮ формочку. И эта формочка отправит
    > данные креды вовсе и не на платежный шлюз. Вебмакаки настолько куски
    > иди0тов что не могут себе представить что хакер вообще не обязан
    > что-либо делать с платежным шлюзом? При этом вообще похрен насколько безопасен
    > платежный шлюз - до него дело может не дойти вообще.

    Поставим вопрос по-другому. Чем веб-макака с формочкой магазина лучше любого другого крякера?

     
  • 5.116, Crazy Alex (ok), 22:32, 18/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так нормальный человек жмет кнопку "оплатить" и попадает настраницу пейпала или ещё кого известного. А если не попадает - то либо идёт куда-то ещё либо ему наплевать - дальше какое-нибудь VISA 3d Secure.

    Кстати, чтобы безвозвратно потерять деньги с карты надо что-то печальное творить. Недавно вот двоим коллегам вернули - хрен знает, где уж у них данные карт уволокли, но когда сняли деньги - возврат решился в течение пары дней. Тем более, что если через интернет - совершенно тривиально отследить, что местоположение не совпадает. А дальше - механика отката сто лет как отработана.

     
  • 4.60, YetAnotherOnanym (ok), 11:54, 16/10/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Дорогие коллеги, не ставьте минусов этому комментарию. Очень хочется знать, сколько людей согласны с таким подходом.
     
     
  • 5.67, тоже Аноним (ok), 13:17, 16/10/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если вам интересно, обзвоните студии с вопросом "сколько у вас будет стоить интернет-магазин"? Те, кто назовет бюджетную сумму - согласны...
     
  • 5.112, Колюня (?), 12:27, 17/10/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А какой может быть другой подход? Если предприниматель хочет начать торговать в интернете то ему нужно сразу дом заложить чтобы сайт сделать?
     
  • 5.124, Алексей Морозов (ok), 16:42, 20/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Я чо-та как-та теряюсь Гражданин хороший, оторвитесь от линукзов и интернетов ... текст свёрнут, показать
     
  • 4.69, Kodir (ok), 15:36, 16/10/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Мы ж говорим не про саму бизнес-схему, а то, что в результате её макакского подхода, страдают все, кроме говноклепателей сайтегов "за 300 рэ под ключ". Все эти похапэхи и жабоскриптписаки - всех на рудники! :) Самые отвратительные и дырявые сайты - их.
     
     
  • 5.71, тоже Аноним (ok), 15:38, 16/10/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Как будто решение задачи "магазин за три дня и три тысячи" на Жабе или дотНете не приведет к аналогичному (а то и худшему) результату. Примитивное хейтерство, пещерная логика...
     
     
  • 6.73, Аноним (-), 16:06, 16/10/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Как будто решение задачи "магазин за три дня и три тысячи" на
    > Жабе или дотНете не приведет к аналогичному (а то и худшему)
    > результату. Примитивное хейтерство, пещерная логика...

    А ты что, программы на дельфи и 1С не видел? Да и жабисты с дотнетчиками отличаются только наглостью и аппетитами, потому что считают себя интерпрайзом. Реально те же гомнокодеры, вид в профиль. И код такой же, вместе с понятиями - зачем же думать?! За меня подумает фрймворк и рантайм. А потом в сайте оказывается куча глупых багов.

    Например проблема когда бэкэнд верит джентльменам из фронтэнда на слово - вообще от ЯП не зависит. Если джентльмен с браузером при этом не полный даун - ему карта как поперла!

     
     
  • 7.103, nama (?), 08:07, 17/10/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    вот так пробрало: поток сознания, родившийся от горящей задницы во время поедания ролтона? не переживай так сильно. подумаешь, тебе не легко в жизни, в этом никто не виноват и тебе ещё улыбнётся солнце
     
  • 2.14, Sabakwaka (ok), 15:21, 15/10/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >> нормальных сысадминов денег не хватило...

    А ссысадмин-то тут при чтом?
    Это вопрос организации путей данных при аквайринге.
    Архитектурка-с.

    Это проблема выбора аквайрера.
    Нормальный аквайрер никогда не позволит вбивать циферки на стороне "магазина".

     
     
  • 3.17, Аноним (-), 16:18, 15/10/2016 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Magento - опенсорс. Стандартный набор - php+mysql, так что баги в геноме - это нормально в данном случае. :)
     
     
  • 4.35, Sabakwaka (ok), 22:44, 15/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >> php+mysql, так что баги в геноме

    пхп-мхп тут не при чтом.

    Страница с формой платежа на сайте магазина — НЕ должна предлагать юзеру впечатывать данные карты.
    Нормальный подход — подсоленная электронная подпись метаданных платежа.
    Типа сумма, номер заказа, дата, солёное время.
    С этой хернёй, валидной в течение 60 сек, на шлюз аквайрера.
    Со шлюза аквайрер пустит на страничку для ввода данных карты.

    Прибыль. Все сосут.

     
     
  • 5.49, Аноним (-), 01:35, 16/10/2016 [^] [^^] [^^^] [ответить]  
  • +5 +/
    > Страница с формой платежа на сайте магазина — НЕ должна предлагать юзеру
    > впечатывать данные карты.

    А вот еще одна вебмакака. Вопрос: что помешает хакерам на поломаном сайте показывать такую форму, забив на ламерские рассусоливания о том кто и что "должен"? С чего вебмакаки решили что хакеры ведут себя так как удобно вебмакакам?

    > Нормальный подход — подсоленная электронная подпись метаданных платежа.

    Если хакер поломал сайт, он может показывать на сайте что угодно. В том числе и свою форму для ввода параметров креды, отправляющую данные хзкуда. Какое хакеру при этом дело до каких-то там подписей каких-то там метаданных?

     
     
  • 6.61, Аноним (-), 11:54, 16/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Если хакер поломал сайт, он может показывать на сайте что угодно. В
    > том числе и свою форму для ввода параметров креды, отправляющую данные
    > хзкуда. Какое хакеру при этом дело до каких-то там подписей каких-то
    > там метаданных?

    Если бы это не была общепринятая практика попорукства, то пользователь в этом случае сразу бы насторожился, типа " а чегой-то это я должен вводить свои данные ЗДЕСЬ?"
    И хоть десять форм показывай и перенаправляй ...

     
     
  • 7.72, Kodir (ok), 15:41, 16/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Если бы это не была общепринятая практика попорукства, то пользователь в этом
    > случае сразу бы насторожился, типа " а чегой-то это я должен
    > вводить свои данные ЗДЕСЬ?"

    Ты слишком оптимистично оцениваешь интеллект юзеров :) Кроме того, никто вообще не смотрит на адресную строку: можно показать попап якобы платёжной системы, а это фэйк с текущего сайта.


     
  • 7.74, Аноним (-), 16:21, 16/10/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    1 Бы - не считается 2 Пользователь ни разу не эксперт в процессинге кредитных... текст свёрнут, показать
     
     
  • 8.117, Crazy Alex (ok), 22:40, 18/10/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Я вообще не пойму, в чём проблема Есть СМС-подтверждения, есть возврат, который... текст свёрнут, показать
     
  • 5.62, YetAnotherOnanym (ok), 12:16, 16/10/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Хомячёк нажал оформить заказ , выскочила форма ввода номера карты, хомячёк ввёл... текст свёрнут, показать
     
     
  • 6.64, КО (?), 12:34, 16/10/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > какой URL в этот момент в строке адреса - он не смотрит.

    Учитывая, что "модные стильные молодежные" браузеры прячут эту самую строку и даже если и показывают, то не совсем то, откуда собираются качать контент, то смотри не смотри...

     
  • 6.96, Sabakwaka (ok), 01:15, 17/10/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Хомячёк нажал "оформить заказ", выскочила форма...

    ХомячОк нажал "оформить заказ", — НЕ выскочила форма, хомячок.
    В этом смысл, хомячок.
    НЕ выскакивает форма, хоть бы ты, хомячок, коню отдался :)
    НЕ выскакивает :)

     
  • 6.101, Анонимный Алкоголик (??), 05:16, 17/10/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Хомячёк нажал "оформить заказ", выскочила форма ввода номера карты, хомячёк ввёл номер
    > и нажал "оплатить". Что там внутри - его не интересует, какой
    > URL в этот момент в строке адреса - он не смотрит.

    Ну раз не интересует, то всё в порядке. Хоть там и шиш (без масла).

     
  • 6.118, Crazy Alex (ok), 22:44, 18/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Собственно, если ты штатовский хомячок - то это самый правильный подход. А дальше - заявление, и пусть банк с визой возятся, они это умеют прекрасно. Тут проблема ровно в том, что в некорых диких местностях некоторые банки платежи реализовали, а защиту владельца - ни хрена. А кто хотел - у того Visa 3d-secure, явное открыти лимита на платежи в интернете и т.д.
     
  • 3.65, pkdr (ok), 12:53, 16/10/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Нормальный аквайрер никогда не позволит вбивать циферки на стороне "магазина".

    Вообще-то позволяют. Но те, кому такое позволяют должны проводить через себя достаточно много платежей, соблюдать все требования PCI DSS и регулярно проходить аудит своей системы на соответствие этим требованиям и регулярно проводить тесты на взломоустойчивость.

    И это даже более-менее работает, несмотря на то, что и сам PCI DSS штука довольно странная, иногда нелогичная и некоторые требования устарели. Да и реализуют его частенько спустя рукава, лишь бы бумажка была о соответствии. Ну а уж "тесты на взломоустойчивость" - по факту вообще ерунда - запускают готовый набор для скрипткиддисов, пытающийся перебрать известные дыры всяких джумловордпрессодрупалов.

     
     
  • 4.97, Sabakwaka (ok), 01:39, 17/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >>сам PCI DSS и реализуют его частенько спустя рукава...

    Нормально реализуют.
    Клиент в полной безопасности.

     

  • 1.4, Аноним (-), 11:43, 15/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Радуют ответы некоторых интернет-магазинов после отправке им жалобы о мегадыре:

    Thanks for your suggestion, but our shop is totally safe. There is just an annoying javascript error.

    Our shop is safe because we use https


    Лично сталкивался с подобным, пытаясь донести до одного очень известного сайта сведения об ошибке. Суппорт был абсолютно уверен в непогрешимости и в том, что проблема на стороне пользователя, и лишь признал факт проблемы после пяти писем с полным разжёвыванием и требованием отправки копии ответа вышестоящему начальству.

     
     
  • 2.7, Аноним (-), 12:27, 15/10/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > our shop is totally safe

    Ахахах, спасибо, поржал.

    > Суппорт был абсолютно уверен в непогрешимости и в том, что проблема на стороне пользователя

    Скажите спасибо, что они ещё не говорили, что вы хакер и взломали их.

     
  • 2.11, OramahMaalhur (ok), 13:59, 15/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Один крупный украинский интернет-магазин одежды имел в своём самописном говнодви... текст свёрнут, показать
     
     
  • 3.21, Аноним (-), 17:39, 15/10/2016 [^] [^^] [^^^] [ответить]  
  • +4 +/
    С такими можно не мелочиться и просто слить баг в паблик. Когда к ним начнут приходить ушлые мешочники, декларирующие что им должны вагон одежды и 100 000 денег сверху за скидку - они наверное призадумаются :)
     
  • 3.105, nama (?), 08:15, 17/10/2016 [^] [^^] [^^^] [ответить]  
  • –5 +/
    одним словом, хохлы
     
     
  • 4.106, Аноним (-), 08:20, 17/10/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Не хохлы, а идиоты которые есть везде.
     

  • 1.5, 5kbps (ok), 11:54, 15/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Заглянул в
    > простые и читаемые скрипты

    Вижу строчку
    >  var myid = ms.getTime()+"-"+Math.floor(Math.random()*(999999999-11111111+1)+11111111);

    Кто-нибудь может объяснить, зачем эти девятки и единицы?

     
     
  • 2.6, Владимир (??), 12:07, 15/10/2016 [^] [^^] [^^^] [ответить]  
  • +11 +/
    Могу. Надо задумать числа от 11111111 до 999999999. Есть функция math.random, она задумывает числа от 0 до 1. Чтобы задумать числа до 999999999 - надо умножить math.random на 999999999, и отбросить дробную часть. Но это будут числа от нуля. Чтобы числа были от 11111111, а не от нуля -- надо это число к результату добавить. Но тогда числа будут не до 999999999, а до 999999999+11111111, что нам не надо. Поэтому будем задумывать не до 999999999, а до 999999999-11111111, тогда все будет нормально.

    Зачем там +1 не знаю, округление какое-нибудь.

     
     
  • 3.8, Анином (?), 12:59, 15/10/2016 [^] [^^] [^^^] [ответить]  
  • +7 +/
    Пря детектив какой-то. Читал , затаив дыхание.
     
     
  • 4.109, _hide_ (ok), 10:26, 17/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Вот только почему
    +11111111  
    а не просто
    +10000000
    ?
     
  • 3.9, Аноним (-), 13:06, 15/10/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    В жабаскрипте Math.random() выдаёт числа в интервале [0, 1) (https://developer.mozilla.org/en-US/docs/Web/JavaScript/Reference/Global_Objec). В сочетании с округлением в меньшую сторону это означает, что без "+1" число 999999999 не получится никогда.
     
  • 3.33, кверти (ok), 20:57, 15/10/2016 [^] [^^] [^^^] [ответить]  
  • –4 +/
    (999999999+11111111+1)
    А все программисты делают это настролько дибильно? Неужели нельзя результат написать и не писать эту ересь в скобках?
     
     
  • 4.38, Стог сена (?), 23:38, 15/10/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > (999999999-11111111+1)

    Тогда неясно будет, откуда взялось именно такое число, и придётся пояснять в комментарии.

     
     
  • 5.44, тоже Аноним (ok), 00:05, 16/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Более того - перепроверять каждый раз при поиске ошибок в этом коде.
     
     
  • 6.50, кверти (ok), 02:16, 16/10/2016 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Что значит не ясно???? (min, max)*число1 + число2. И если min и max 0 и 1 соответственно, то что тут неясного??? Я фигею, программисты математику не знают...Быдлокодеры одним словом.
    PS Можете минусовать, посмотрим сколько здесь вас)))
     
     
  • 7.70, тоже Аноним (ok), 15:37, 16/10/2016 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Вы не поняли сказанного. Дело в том, что компьютер априори знает математику, и подобные формулы на практике ни на единую миллисекунду не замедляют исполнение скрипта.
    А вот ошибки при подсчете программист сделать вполне может.
    И тот, кому потом придется сопровождать этот код, должен иметь возможность как можно меньше думать над ним. Очевидная формула в этом смысле значительно лучше ее результата. Ибо формула читается бегло, результат же заставляет непродуктивно потратить время на его анализ.

    Собственно, ваши "очевидные", а на деле - бессмысленные (и даже вредные) оптимизации - это частая ошибка новичков, тех самых быдлокодеров, которыми вы, не дав себе труда задуматься, обзываете собеседников.

     
     
  • 8.93, Сириус (?), 22:11, 16/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    И тут я почувствовал себя старым Ведь я помню ещё FDIV bug в первых Пентиумах ... текст свёрнут, показать
     
     
  • 9.94, тоже Аноним (ok), 00:43, 17/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    В память о котором AMD самонадеянно назвали свой флагман Бульдозером ... текст свёрнут, показать
     
  • 9.107, Аноним (-), 09:26, 17/10/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Для человека уже аццкинепостльная задача сделать в уме 988888889 1 ... текст свёрнут, показать
     
     
  • 10.113, НяшМяш (ok), 12:50, 17/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ну не микроконтроллер же программируем, где умножение сдвигом делают В вебе всё... текст свёрнут, показать
     
  • 8.128, InuYasha (?), 11:45, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Это при том, что об этой строке УЖЕ задали вопрос, в треде которого ты отвечаешь... текст свёрнут, показать
     
  • 6.88, мимо проходил (?), 20:56, 16/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    И ты хочешь сказать что с одного взгляда подсчитал количество единиц и девяток
    в 999999999, 11111111 и 11111111?

    Вот эта херня - Math.floor(Math.random()*(999999999-11111111+1)+11111111);
    взята копипастом из документации.
    В которой Math.floor(Math.random() * (max - min + 1)) + min;

    Только копипастер не сообразил что max и min "говорящие" имена.
    И не додумался использовать константы.

     
     
  • 7.91, тоже Аноним (ok), 21:26, 16/10/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Я хочу сказать, что с одного взгляда видно, что ошибки подсчета здесь нет. Потому что он не выполнялся.
    Возможна ошибка программиста, но для ее проверки не надо делать обратный расчет, достаточно пересчитать единицы (минимальное значение результата) и девятки (максимальное). Ну, и проверить, одинаково ли количество единиц в двух случаях. Чисто механическая работа, в которой допустить ошибку самому гораздо маловероятнее, нежели при обратном пересчете.
     
  • 3.40, Стог сена (?), 23:43, 15/10/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Зачем там +1 не знаю, округление какое-нибудь.

    Возможно, для того, что Math.random() выдаёт значения из открытого интервала [0, 1), поэтому 1.0 она никогда не выдаст и целая часть максимального числа будет на 1 меньше 999999999.
    Если так, то программер -- перфекционист.

     
  • 2.25, Аноним (-), 18:34, 15/10/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Кто-нибудь может объяснить, зачем эти девятки и единицы?

    Это яваскрипт, детка. Он простой и читаемый. Но состоит из костылей чуть более чем полностью.

     
     
  • 3.29, angra (ok), 20:05, 15/10/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    И в чем здесь костыль? Неужто отсутсвие встроенного варианта random работающего не в [0,1), а сразу дающего целые числа от 0 до n вводит "программистов" на правильных языках в ступор?
     
     
  • 4.30, Аноним (-), 20:27, 15/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > И в чем здесь костыль?

    Наверное в том что код выглядит как свалка костылей. Как там говорится? Сам либу для замка, коня и принцессы, а пока ты их выписываешь - принцесса переезжает в другой замок и рыцарь обнаруживает что замок уже забросили? :)

     
     
  • 5.46, angra (ok), 00:40, 16/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Еще раз, в чем костыльность именно этой строки кода? Покажи, как ее переписать правильно и без костылей на ТРУЪ ЯП.
     
     
  • 6.51, oopsy (?), 02:25, 16/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    myid = "{}-{}".format(ms.getTime(), random.randint(11111111,999999999))
     
     
  • 7.55, angra (ok), 06:52, 16/10/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Молодец, подтвердил то, что я сказал раньше: 'отсутствие встроенного варианта random работающего не в [0,1), а сразу дающего целые числа от 0 до n вводит "программистов" на правильных языках в ступор'. Ну и добавил к этому неэффективность в виде использования функции форматирования вместо банальной конкатенации.
    Кто следующий блеснет интеллектом?
     
     
  • 8.68, oopsy (?), 14:03, 16/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Просил переписать на Ъ-языке Так там там есть подходящие функции it depend б... текст свёрнут, показать
     
     
  • 9.98, angra (ok), 02:23, 17/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Бедный С, это же самый костыльный язык из всех распространенных, в нем нет таког... текст свёрнут, показать
     
  • 6.75, Аноним (-), 16:30, 16/10/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > переписать правильно и без костылей на ТРУЪ ЯП.

    Не ушлепищно, очевидно, выглядит random(100500). Дающий random от 0 до 100500. Это так сложно для яваскриптеров? :)

     
  • 6.90, мимо проходил (?), 21:07, 16/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем ТРУЪ ЯП?

    Вот как правильно писать на javascript
    getRandomIntInclusive(11111111, 999999999);

     

  • 1.10, Аноним (-), 13:35, 15/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А киньте актуальную ссылку на список магазинов.
     
     
  • 2.12, Аноним (-), 14:32, 15/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Так в новости есть: https://web.archive.org/web/20161014133252/https://gitlab.com/gwillem/public-snippets/snippets/28813
     
  • 2.13, Аноним (-), 14:59, 15/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    И на pastebin: http://pastebin.com/rYqEeuNm
     

  • 1.15, Где правда (?), 15:52, 15/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +9 +/
    Так значит Гитлаб такое же продажное гoвно как и Гитхаб. А есть альтернативы неподстилки?
     
     
  • 2.19, Аноним (-), 17:25, 15/10/2016 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > Так значит Гитлаб такое же продажное гoвно как и Гитхаб. А есть
    > альтернативы неподстилки?

    Тут скорее нужно искать распределенную замену Git т.е. систему без центрального сервера.

     
     
  • 3.22, Аноним (-), 17:39, 15/10/2016 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Хм.. Нужно подумать.. может git?
     
  • 3.24, Аноним (-), 17:58, 15/10/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Подними у себя GitLab и пользуй, это ж не проприетарный Github.
     
  • 3.32, Аноним (-), 20:35, 15/10/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Тут скорее нужно искать распределенную замену Git т.е. систему без центрального сервера.

    Сам по себе git вообще никаких серверов не требет. Можешь хоть флоппинетом перекидываться. А то что HTTP сервера централизованные - наверное не git виноват.


     
  • 2.31, Аноним (-), 20:31, 15/10/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > альтернативы неподстилки?

    Да, свой сервер. На всякий случай желательно на абузоустойчивом хостинге. Еще лучше - несколько серверов. Тогда желающие шатдауна отправятся писать в спортлото.

     

  • 1.16, Аноним (-), 16:17, 15/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    ИсследЫватель прошёлся по платным порносайтам -вот вам и статистэга. Ждём дальнейших интриг и сгандалофф.
     
  • 1.18, Аноним (-), 17:19, 15/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Представители GitLab объяснили удаление недопустимостью раскрытия сведений о уязвимых сайтах до устранения проблемы, но не учли, что в списке присутствуют только уже поражённые вредоносным ПО сайты, которые представляют угрозу для посетителей. GitHub пока не пояснил причины удаления, не исключается, что репозиторий был удалён в процессе реагирования на запрос от владельца одного из упомянутых в списке магазинов.

    Дайте им крепкого, сочного пендаля.

     
     
  • 2.26, Аноним (-), 18:36, 15/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Дайте им крепкого, сочного пендаля.

    Это легко. Приходишь к ним со скидкой в 110%, они очень удивятся :)

     

  • 1.23, Аноним (-), 17:46, 15/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    По граблям к звездам, или тернистый путь пользователей CMS, написанных на PHP.
     
     
  • 2.42, Аноним (-), 23:56, 15/10/2016 [^] [^^] [^^^] [ответить]  
  • –3 +/
    От постинга к нобелевской премии, или тернистый путь неосилившего PHP.
     
     
  • 3.114, НяшМяш (ok), 12:55, 17/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Хренов тот язык, который позволяет писать говно, не ломая при этом кисти рук. Есть япы, на которых можно написать говно, но при этом тебе будут намекать разными способами, что так не делают. Есть япы, на которых очень сложно написать говно. А вот ПХП позволяет написать говно, при этом никак не подталкивая кодерманки на развитие скилла.
     

  • 1.36, Аноним (-), 23:21, 15/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Так выглядит хостинг здорового человека: https://about.gitlab.com/2016/10/15/gitlab-reinstates-list-of-servers-that-hav

    > CEO of @gitlab just called, apologized for wrong interpretation of data and will restore repo shortly. Gitlab, you are the best

    Это вам не гитхаб, что удаляет всё даже не дожидаясь жалоб.

     
  • 1.39, Аноним (-), 23:43, 15/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >> Но список был быстро растиражирован и осел в архивах

    Что делает осел в архивах?

     
     
  • 2.41, Аноним (-), 23:54, 15/10/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Но список был быстро растиражирован и ещё в архивах был какой-то осёл
    > Что делает осел в архивах?

    Это не осёл, это директор гитхаба. Попал на лаве и не знает, что делать теперь.

     
  • 2.43, Led (ok), 23:58, 15/10/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>> Но список был быстро растиражирован и осел в архивах
    > Что делает осел в архивах?

    То же, что и ты в апельсинах?

     

  • 1.45, Аноним (-), 00:40, 16/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Я в таких магазинах не отовариваюсь.
     
     
  • 2.54, Аноним (-), 04:59, 16/10/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Спасибо что сообщили! Держите нас в курсе
     

  • 1.48, Дуплик (ok), 01:20, 16/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >2016 год
    >Не использовать PayPal, а вводить номер карты/CVVC в магазинах by Vasya Zapupkin
     
     
  • 2.76, Аноним (-), 16:42, 16/10/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >>2016 год
    >>Не использовать PayPal, а вводить номер карты/CVVC в магазинах by Vasya Zapupkin

    Можно использовать. Визу виртуал по типу киви. К тому моменту как кардер доберется до разувания карты, баланс будет безнадежно спущен самим юзером и брать там будет нечего. А через пару месяцев карта превратится в тыкву, чтобы совсем хорошо. Собственно для этого visa virtual и существует.

     
  • 2.79, тоже Аноним (ok), 17:03, 16/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    При микроплатежах, например, у Палки комиссия конская по сравнению с обычным пластиком.
    Разница, конечно, не для вас, а для магазина, но компенсировать эту разницу магазин будет не из своего, а из вашего кармана. Так или иначе.
     

  • 1.53, Онаним (?), 03:31, 16/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А какой толк со всех этих данных при том, что для сетевых операций банки уже давно стали требовать SMS-авторизацию?
     
     
  • 2.56, лол (?), 08:42, 16/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ага? прям банк, и прям требует?
     
     
  • 3.57, Аноним (-), 09:55, 16/10/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Ага? прям банк, и прям требует?

    Ну да. Сбербанк требует. Неудобно, но двухфакторная аутентификация. Приходит код на телефон, и пока его не вобьёшь в форму, деньги не переведут. Телефон известен только банку, продавец его не знает. Конечно, хакер может слить из банка базу пользователей с номерами счетов и телефонами, но на сегодня это слишком сложно, проще обворовывать тех, чьи банки не требуют привязки к телефону.

     
     
  • 4.59, Аноним (-), 11:50, 16/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Это случайно не тот же самый сбербанк, который утверждает, что мой мобильный оператор (Летай) не поддерживается их системой и мне нужно перейти на например MTS, чтобы пользоваться онлайн-кабинетом и оплачивать покупки в интернете?
     
  • 4.63, Аноним (-), 12:19, 16/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Конечно, хакер может слить из банка базу пользователей с номерами счетов и телефонами

    И как знание этих номеров поможет хакеру получить смс с одноразовым кодом?

     
     
  • 5.77, Аноним (-), 16:45, 16/10/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > И как знание этих номеров поможет хакеру получить смс с одноразовым кодом?

    SS7 signalling вообще никак не защищен и джентльмены верят друг другу на слово. Поэтому кто угодно может запретендовать что у него именно твой номер и получить смску. А как ты думал аккаунты телеграма и прочих систем привязанных к телефонным номерам вскрывают? :)

     
  • 5.87, YetAnotherOnanym (ok), 20:09, 16/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >> Конечно, хакер может слить из банка базу пользователей с номерами счетов и телефонами
    > И как знание этих номеров поможет хакеру получить смс с одноразовым кодом?

    Пользователь вобьёт его в форму на взломанном сайте. Ваш Кэп.


     
     
  • 6.89, Аноним (-), 21:07, 16/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Что он вобьет вместо одноразового пароля?
     
  • 4.99, bs0d (?), 03:08, 17/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    та прям, карта сбрбнк, покупи с али без смс кода.
    Публичная карта должна быть, товарищи, у каждого !
     
  • 4.108, КО (?), 09:54, 17/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >Телефон известен только банку, продавец его не знает.

    Т.е. покупатель не вбивает его тут же рядом для отслеживания доставки и т.д. и т.п.?
    :)

     
  • 3.58, Аноним (-), 11:44, 16/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    В РФ 3D-secure очень популярен, почти обязателен. А на очень многих сайтах с припиской в Штатах просто нет поля для ввода CVV/CVC кода, какие уж там смски. Так что эта проблема для пользователей банков РФ не особенно актуальна.
     
     
  • 4.66, pkdr (ok), 13:17, 16/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Вообще, банковская система в США всегда славилась некоторой технической отсталостью идущей наряду с передовыми решениями. Например у них появился свифт, но ещё 10 лет назад "банковский платёж" у них происходил в виде пересылки бумажки с подписями и мокрыми печатями из банка в другой, иногда он шёл пару недель.
    Или те же карты, ещё лет 10 назад, как сейчас не знаю, там больше половины платёжных терминалов в магазинах были тупо оффлайновыми, причём считывали даже не магнитную полосу (о всяких чипованных картах умолчим), а механически считывали буковки, что выдавлены на карте. И это при том, что все новшества в плане безопасности карт придумываются именно там.
     
     
  • 5.119, Crazy Alex (ok), 22:55, 18/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Там безопасность держится на здоровенной кредитной истории. Другими словами, банк занет, кому можно доверять - и претензии этих людей удовлетворяются моментально. Да и в общем чаржбек там - не проблема абсолютно. Все риски - на продавце.
     
  • 2.86, Del (?), 17:48, 16/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > А какой толк со всех этих данных при том, что для сетевых
    > операций банки уже давно стали требовать SMS-авторизацию?

    Стим, например, не требует...

     

  • 1.80, Аноним (-), 17:04, 16/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Если бы магазины перенаправляли не платежные шлюзы вместо того чтобы пилить свои интерефейсы оплаты, то такой бы проблемы не было.
     
     
  • 2.92, тоже Аноним (ok), 21:31, 16/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Выше несколько раз разжевали очевидное: если на сайт подсажен троян, он легко подсунет пользователю свой интерфейс вместо того, что реализовано в магазине. Да, если магазин сам не принимает платежные реквизиты, а только инициирует запрос на платежную систему, трояну не удастся сделать вид, что ничего не было - даже если он тоже перебросит пользователя, куда положено, там заново запросят реквизиты.
    Но это разве что ускорит обнаружение трояна. А вот попавшемуся на него покупателю никак не поможет - его реквизиты уже сворованы.
     
  • 2.125, Аноним (-), 17:23, 22/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Для этого уже и payment api добавили в стандарт. Ждем массового использования.
     

  • 1.111, Black Paladin (?), 11:28, 17/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Итого новость: 2,22% из проверенных сайтов оказались чем-то заражены.
    Жуть-то какая.
     
     
  • 2.115, KBAKEP (ok), 14:30, 17/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Более интересным было бы число пользователей этих магазинов.
     
     
  • 3.120, Crazy Alex (ok), 22:57, 18/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Я ради интереса проглядел украинские - какая-то редчайшая хрень, о которой, наверное, кроме владельца и его собаки вообще никто не слышал. В общем, невелика беда.
     

  • 1.121, beos (ok), 09:19, 20/10/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Хм, а каким боком тут скимминг (мошенничество путем изготовления копии магнитной полосы банковской карты) ????- правильно будет заменить на фишинг.
     
     
  • 2.122, Аноним (-), 11:05, 20/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Хм, а каким боком тут скимминг (мошенничество путем изготовления копии магнитной полосы
    > банковской карты) ????- правильно будет заменить на фишинг.

    Магнитная полоса тут непричём, это лишь один из частных случаев. Суть скимминга в перехвате параметров карты. В offline это делается специальными накладками на банкомат, а в online мошенническими формами ввода или перехватом передачи параметров через нормальные формы.

     
     
  • 3.123, beos (ok), 11:18, 20/10/2016 [^] [^^] [^^^] [ответить]  
  • +/
    В данном случае чистейший фишинг Ибо именно в этом случае мошенники НЕ получ... текст свёрнут, показать
     
     
  • 4.129, InuYasha (?), 11:56, 13/05/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Обоим ораторам пора уже знать, что помимо XOR есть ещё и OR.
    Т.е. скимминг путём фишинга.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    MIRhosting
    Fornex
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру