breaksw ,это self XSS, т.е. этой уязвимостью вы можете навредить только себе, и работает она только у вас. Если у вас другое мнение, и вам есть как обосновать своё «всё дырявое», то мы ждём вас с репортами на HackerOne: https://hackerone.com/mailru
Обьясните мне, а почему «Техдирекция» и технический директор, или HR и директор по персоналу выделены как отдельные проекты, а такая непонятная и сомнительная сущность как «Арт-директор» — висит где-то там под CEO?
AV-Test не писал потому что пиарятся? А что по поводу денег, ну и вы тогда Яндексу немножко денег давайте, за защиту. Вы же платите Касперу, или NOD32 или Symantec? У нас рыночная, мать её, экономика :)
Вот смотрю я сейчас на сайты предоставленные Андреем и вижу ачивки около них: «Возможно, данный сайт был взломан». Насколько я понимаю, именно это предупреждение означает что сайт какое-то время назад был замечен в фишинге. Это совсем никак не соотносится с malware которая размечается предупреждением: «Этот сайт может нанести вред вашему компьютеру». Ну и у Яндекса, к слову, ачивки про фишинг вообще нет.
Мария, как истинный джентльмен, спешу уведомить вас о том, что хотя мой опыт использования scapy и libnet лишь крепнет с годами, и мне безумно приятны ваши опасения, я к сожалению не мониторю Роем на наличие новостей о Яндексе :) И тридцатисекундный тест который я нопейсал, был запущен где-то в районе 21:00-22:00 вчерашнего дня, аккурат перед звонком Тохочке :) rate limit действительно включён, спасибо! По очевидным причинам, ваши наблюдения — это либо клиенты за NAT, либо использование вас в качестве forwarders на провайдерских DNS, ну или чьи-то еще попытки :)
А еще. Уважаемый Яндекс, а как у вас с безопасностью этого чуда? Возможен ли DNS Amplification DDoS? Как с Cache poisoning? Поддержка DNSSEC? Вот Google, например, описал все возможные виды атак на свой публичный DNS, и рассказал как он с ними борется: https://developers.google.com/speed/public-dns/docs/security — что помоему оч круто.
alexkuklin, Ну ОС допустим TCP Fingerprint-ом можно. Если правда обкуреный админ ресолвы по TCP делает :) А так, какова вероятность, что если, цитата:»в популярные роутеры D-Link и ZyXEL вышеуказанные адреса встроены в свежем обновлении «прошивок»» — то там ничего левого не уходит помимо DNS запросов.
Что простите что? :) DNS ответы имеют свойство кэшироваться, надолго. Браузером, промежуточными DNS серверами или каким-нибудь супер умным софтом у вас на машинке. Вот предположим, посчитал Яндекс в какой-то момент, что сайт oknarosta.ru содержит вирусы, и начал вместо него ресолвить свою заглушку. И мой компьютер этот ресолв запомнил, на неделю например. Сайт то может уже тысячу раз вылечился, а меня, как посетителя, потерял. Яндекс, вы же можете для зараженных сайтов принудительно ставить TTL поменьше? Это поможет частично решить проблему.
Pavel Rogozhin: Компания меняется и разворачивается в правильную сторону, от ненужных сотрудников и проектов избавляются. Новые люди приходят, и как минимум пытаются что-то сделать в отличии от… И слава богу, что кто-то сверху понял мантру о неизбежности изменений.
А помоему все нормально и правильно. Нефиг было: «hitting the site too quickly» во время DDoS. Логичные жертвы(юзеры за NAT-ом скорее всего туда-же попали) в угоду работоспособности.
Эх, самое главное не затронули, а как его семья то там себя чувствует? Устроилась ли жена на работу? Нашла друзей/подруг? Еще очень интересен уровень английского, обычно требуемый для переезда. Казалось бы, имея какой-нибудь разговорный intermediate(30-40% понимайт при быстрой речи), можно за несколько месяцев работы уже считать себя fluent-ом. Но как в таком случае проходить телефонное интервью?
Сдается мне, что господа говорят глупости. Обеспечить эмуляцию DOM — значит практически рендерить страницу целиком, а это нехилые вычислительные ресурсы, в сотни/тысячи раз медленнее чем просто выкачать и распарсить что-то. Врятли гугл готов пожертвовать столькими ресурсами ради какого-то сомнительного глубокого веба. Скорее всего, все выглядит как прикручивание JS движка, чего-нибудь наподобии V8 в некоторые части робота, для исполнения примитивного JS, типа document.write. Так-же, если следовать идее полноценного рендеринга и парсинга JS, гуглу прийдется выкачивать не только html страницы, а так-же все внешние скрипты и CSS стили. А вы видели в логах чтобы гуглбот качал такого рода контент? С заполнением форм и другими действиями якобы под пользователя — аналогично. Представьте себе, что произойдет если гугл начнет заполнять, ну например все формы на роеме. Оставлять комменты, подписываться на RSS, рассылки, регаться. Это будет мегаспам :) Гораздо интереснее выглядит идея использовать пользовательские браузеры(Хром, тулбар) в качестве робота. Тут тебе и DOM, и халявные вычислительные ресурсы, и корректное заполнение форм. Правда непонятно как быть с прайваси и безопасностью.
Дискуссии пользователя
breaksw ,это self XSS, т.е. этой уязвимостью вы можете навредить только себе, и работает она только у вас. Если у вас другое мнение, и вам есть как обосновать своё «всё дырявое», то мы ждём вас с репортами на HackerOne: https://hackerone.com/mailru
Тут люди предлагают запретить сотрудникам Роскомнадзора и Мизулиной лично, пользоваться Яндекс браузером. Прямо в соглашении это указать.
Обьясните мне, а почему «Техдирекция» и технический директор, или HR и директор по персоналу выделены как отдельные проекты, а такая непонятная и сомнительная сущность как «Арт-директор» — висит где-то там под CEO?
AV-Test не писал потому что пиарятся? А что по поводу денег, ну и вы тогда Яндексу немножко денег давайте, за защиту. Вы же платите Касперу, или NOD32 или Symantec? У нас рыночная, мать её, экономика :)
Ребят, а вы пишите об этом в саппорт, не стесняйтесь. Чуть более чем полностью уверен, что вам там помогут, да еще и огромное спасибо скажут =)
В интернете кто-то не прав (с)
Вот смотрю я сейчас на сайты предоставленные Андреем и вижу ачивки около них: «Возможно, данный сайт был взломан». Насколько я понимаю, именно это предупреждение означает что сайт какое-то время назад был замечен в фишинге. Это совсем никак не соотносится с malware которая размечается предупреждением: «Этот сайт может нанести вред вашему компьютеру». Ну и у Яндекса, к слову, ачивки про фишинг вообще нет.
Мария, как истинный джентльмен, спешу уведомить вас о том, что хотя мой опыт использования scapy и libnet лишь крепнет с годами, и мне безумно приятны ваши опасения, я к сожалению не мониторю Роем на наличие новостей о Яндексе :) И тридцатисекундный тест который я нопейсал, был запущен где-то в районе 21:00-22:00 вчерашнего дня, аккурат перед звонком Тохочке :) rate limit действительно включён, спасибо! По очевидным причинам, ваши наблюдения — это либо клиенты за NAT, либо использование вас в качестве forwarders на провайдерских DNS, ну или чьи-то еще попытки :)
А еще. Уважаемый Яндекс, а как у вас с безопасностью этого чуда? Возможен ли DNS Amplification DDoS? Как с Cache poisoning? Поддержка DNSSEC? Вот Google, например, описал все возможные виды атак на свой публичный DNS, и рассказал как он с ними борется: https://developers.google.com/speed/public-dns/docs/security — что помоему оч круто.
alexkuklin, Ну ОС допустим TCP Fingerprint-ом можно. Если правда обкуреный админ ресолвы по TCP делает :) А так, какова вероятность, что если, цитата:»в популярные роутеры D-Link и ZyXEL вышеуказанные адреса встроены в свежем обновлении «прошивок»» — то там ничего левого не уходит помимо DNS запросов.
Что простите что? :) DNS ответы имеют свойство кэшироваться, надолго. Браузером, промежуточными DNS серверами или каким-нибудь супер умным софтом у вас на машинке. Вот предположим, посчитал Яндекс в какой-то момент, что сайт oknarosta.ru содержит вирусы, и начал вместо него ресолвить свою заглушку. И мой компьютер этот ресолв запомнил, на неделю например. Сайт то может уже тысячу раз вылечился, а меня, как посетителя, потерял. Яндекс, вы же можете для зараженных сайтов принудительно ставить TTL поменьше? Это поможет частично решить проблему.
Как быть с кэшированием DNS? Забанили мне через DNS, предположим, гугл. За вирусы. И закэшировался у меня результат на неделю, и чего?
Селекция в чистом виде :) Скрещиваем, смотрим на результат, скрещиваем еще раз…PROFIT!
Pavel Rogozhin: Компания меняется и разворачивается в правильную сторону, от ненужных сотрудников и проектов избавляются. Новые люди приходят, и как минимум пытаются что-то сделать в отличии от… И слава богу, что кто-то сверху понял мантру о неизбежности изменений.
Ден, он офигительный. Браво МС. А Яндекс методично теряет лучшие кадры :(
А помоему все нормально и правильно. Нефиг было: «hitting the site too quickly» во время DDoS. Логичные жертвы(юзеры за NAT-ом скорее всего туда-же попали) в угоду работоспособности.
Эх, самое главное не затронули, а как его семья то там себя чувствует? Устроилась ли жена на работу? Нашла друзей/подруг? Еще очень интересен уровень английского, обычно требуемый для переезда. Казалось бы, имея какой-нибудь разговорный intermediate(30-40% понимайт при быстрой речи), можно за несколько месяцев работы уже считать себя fluent-ом. Но как в таком случае проходить телефонное интервью?
Интересно, откуда они берут статистику посещений пользователей? У них ж вроде тулбаров никаких нет. Агент? Если Агент — то почему так мало данных…
Сдается мне, что господа говорят глупости. Обеспечить эмуляцию DOM — значит практически рендерить страницу целиком, а это нехилые вычислительные ресурсы, в сотни/тысячи раз медленнее чем просто выкачать и распарсить что-то. Врятли гугл готов пожертвовать столькими ресурсами ради какого-то сомнительного глубокого веба. Скорее всего, все выглядит как прикручивание JS движка, чего-нибудь наподобии V8 в некоторые части робота, для исполнения примитивного JS, типа document.write. Так-же, если следовать идее полноценного рендеринга и парсинга JS, гуглу прийдется выкачивать не только html страницы, а так-же все внешние скрипты и CSS стили. А вы видели в логах чтобы гуглбот качал такого рода контент? С заполнением форм и другими действиями якобы под пользователя — аналогично. Представьте себе, что произойдет если гугл начнет заполнять, ну например все формы на роеме. Оставлять комменты, подписываться на RSS, рассылки, регаться. Это будет мегаспам :) Гораздо интереснее выглядит идея использовать пользовательские браузеры(Хром, тулбар) в качестве робота. Тут тебе и DOM, и халявные вычислительные ресурсы, и корректное заполнение форм. Правда непонятно как быть с прайваси и безопасностью.