Tonchik (tonchikk) wrote,
Tonchik
tonchikk

  • Mood:

сегодняшний мир или бага c .svn directory at web servers

Когда мы были на Крите в 1998 году, нам рассказывали (пересказываю адаптированно но как можно ближе к смыслу): "Удивляетесь, что мотороллеры стоят непривязанными а машины с опущенными стеклами? Знаете, еще 10 лет назад тут никто не закрывал двери домой, можно было войти в любой дом, но никому не было нужно. Потом понаехали всякие, привили, теперь двери закрываются. Транспорт пока не трогают, слава богу, но все к тому и идет... Грустно..."


Так же грустно и сейчас читать всякие инет ресурсы: Были получены исходники 3300 глобальных интернет-проектов на habrahabr.ru повествует о найденной недоделке, баге дизайна с дирой .svn на веб-проектах, недосмотре в большинстве инет-проектов. Притом я уже не вижу традиционно скупого или информационно помогающего стиля статей по инет безопасности. Двое "умных" людей делают себе "карму" на сайте:
P.P.P.S. Не обделяйте oowlкармой )
и понтуются
P.P.P.P.S. Никаких сорцов Яндекса получено не было, однако были получены корни веб морды некоторых ресурсов. Верстка, xmlapi, xsl шаблоны итп. Ничего серьезного, разве что все адреса репозиториев, логины разработчиков итп.
Никакой чести и достоинства. Ой нашли уязвимость, о которой кстати в банальном виде вот тут предупреждал FAQ по SVN. Очень порадовало название нашего основного портала в их нотации rbk.ru, это какими надо внимательными быть, чтоб не заметить моментальную переадресацию на www.rbc.ru?
затем, сегодняшней ночью, письма получили остальные 3000+ сайтов.

- по всем правилам этикета дается МЕСЯЦ на устранение уязвимостей, месяц, а не жалкие сутки. Как минимум так было 7-8 лет назад.

Могу сказать более:

Как я уже было сказано, было решено просканировать весь рунет на наличие подобной уязвимости. Были подняты прокси-сервера, написан парсер и получена свежая база доменов в зоне ru. Первая версия скрипта работала две недели, получая сайт за сайтом в один поток. К завершению сканирования, база насчитывала более 3000 уязвимых сайтов и занимала более ста гигабайт исходных кодов.

Тянет на УК РФ и сего статьи о незаконном доступе к информации.

Пока есть так мыслящие люди, пока они смеют опубликовывать такую информацию открыто, пока смеют нагло красть через открытую форточку мои горшки с цветами или золотые цепочки, пока в них нет социальной ответственности, а есть только желание попиариться на чужой навазелиненной ими жеппе, ничего путного не выйдет из всего, что творится в интернете.

Отдельно хотелось бы высказаться по поводу коментаторов. В далекие концы 90х и fido, начала 2000х и форумов было такое понятие как флуд. Еще многие начали учить как писать проекты. Только до сих пор ни один из них не указал на существование этого факта в часто задаваемых вопросах по SVN. Никто из них не признался, что использовал SVN. Это еще раз показывает какого уровня люди пытаются претендовать на роль профессионалов разработки, знающих что к чему.

Согласен, сами лохи, недосмотрели, узнали об этом сегодня, уже все прикрыли, кто не надо попытался влезть и влез, ничего стремного не произошло, исходников за сегодня никто не утянул. Мы ж не влезаем со нравоучениями и злорадствами "мы уже закрыли, а вы еще нет, нам +100 за скорость в карму". И ДА! Пока что я не могу найти в архивах ни одного письма от этих ребят с предупреждением.

Какая то в общем нездоровая обстановка...




UPD, comment @ habrahabr:

FlamingDeth, 23 сентября 2009, 17:11

Захватывающий и полезный топик, спасибо вам. :)

Но описывая ваше исследование, вы публично признались, что вас можно забирать по статьям 272 и 273 УК РФ. Надеюсь, что у оповещенных вами крупных компаний хватит мозгов на то, чтобы не идти в суд.


UPD2: http://twocomrades.ru/client
Нас добавили в своих клиентов. Ни один я не можем припомнить это компанию в аутсорсерах, которых мы помним как облупленного каждого, специфика работы такая.

Tags: охереваю над миром, работа
Subscribe
  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 9 comments