Сценарий апокалипсиса
В рейтинге topsape.ru уже свыше 500 с почти 8500 сайтами.
Представим на минутку, что данные (логин/хэш) аккаунтов утекли налево, и сайты, доходы с каждого и т.п. опубликованы в открытом доступе. А учитывая, что topsape.ru размещен на shared хостинге, вариантов поиметь базу есть более чем достаточно.
Loading ...
Март 10, 2010 в 05:03
Дык, можно разместить скрипт у себя на хостинге и в топсапе указать линк на этот скрипт. Тогда никто хэш и не спалит
Оцените:
0 
2
[Ответить]
sapovod Ответ:
Март 10th, 2010 at 5:10 дп
Только при этом никакой актуальности и достоверности данных, ага?
Оцените:
4 
3
[Ответить]
Март 10, 2010 в 05:21
Это уже попахивает паранойей. Все сайты находящиеся в sape может вытащить любой маломальский программист. Доходы, конечно, нет. Но всё же.
Оцените:
0 
1
[Ответить]
sapovod Ответ:
Март 10th, 2010 at 5:26 дп
Это не паранойя, это провокация
Вытащить с сапы все сайты сложно, т.к. сапа скорее всего забреет большое количество запросов по id сайта, опять-же, довольно многие скрывают url, а значит до покупки не будет показаны если я себе конечно правильно представляю всё.
Оцените:
0 
2
[Ответить]
Юс Питерский Ответ:
Март 10th, 2010 at 6:07 дп
Нет, не правильно представляешь;) Есть способ проверить сайт на наличие в sape – элементарный и 100%-ный, доступный для всех. И никаких id не нужно.
Скоро спалю эту тему в блоге.
Оцените:
0 
1
[Ответить]
sapovod Ответ:
Март 10th, 2010 at 6:10 дп
Я знаю несколько способов, но проверить ОДИН сайт на наличие в сапе это одно, а получить данные по МНОЖЕСТВУ для автоматического получения полных данных, это другое, ведь так?
Оцените:
0 
1
Март 10, 2010 в 06:17
ОМГ, уже 8 спрутов собралось))) Приятно познакомится))
Я понимаю всю важность защиты информации, и внимательно к этому отношусь. Хотя, конечно, абсолютной гарантии нет – взломать можно что угодно, дело только в количестве сил, которые придется на это потратить.
Однако я не понимаю всеобщей истерии по поводу паления урлов. Ну опубликуют в общем доступе, и что? Яндекс забанит? Он и так все эти сайты знает, хотел бы – давно бы их забанил. В ГБЛ занесут? Так там есть и вполне приличные сайты. Найдут секретную методику создания сайта/получения контента/накачки тИЦ? Большинство в этом не разберется, а те, кто что-то понимают, и так находят эти сайты (из той же сапы). Так и в чем же тогда опасность? Нет, я не призываю палить урлы, я и сам скрываю их за Privat Person, и стараюсь лишний раз не светить (да и в топсапе они никогда не появятся). Однако у меня нет по этому поводу паранойи)
Гораздо более высокая опасность – это непосредственно расшифровка хеша и доступ в аккаунт сапы, а так же к другим сервисам (мыло, аська, форумы, кошельки и т.д.). К счастью, это решается с помощью мало-мальски сложного пароля и использовании разных паролей. Ну и я тоже продумаю этот вариант, давно пора пропгрейдить безопасность)
PS. А скрипт скоро уравняется с хешем, хотя и в этом случае сайты будут в базе (зато логина-хеша не будет)
Оцените:
1 
1
[Ответить]
sapovod Ответ:
Март 10th, 2010 at 6:24 дп
А вот это интереснее, а как быть с проверкой данных? Опять на первой странице не будет тех, кто отдает статистику скриптом?
Оцените:
0 
1
[Ответить]
Spryt Ответ:
Март 10th, 2010 at 6:45 дп
Все просто – скрипт работает как шлюз, и отправляет все полученные запросы напрямую в апи и возвращает результат. Правда, тут я опять знаю как можно сфальсифицировать данные, хоть это и гораздо сложнее. Зашифровать скрипт дабы не лазили по исходникам, с сожалению, нельзя) Зато теперь и у пользователей со скриптом будет полная статистика, а не урезанная.
Оцените:
2 
1
[Ответить]
Март 10, 2010 в 06:18
Я не программер, но если на пальцах, достаточно вводить название сайта + парсить ответ. Факт, это вполне под силу каждому. Ограничений там быть не может, скоро поймёте почему.
Оцените:
0 
1
[Ответить]
Март 10, 2010 в 06:19
Хехе, ну, допустим, кто-то упёр базу с сайтами и доходами. И что? 8000 писем Платону с просьбой забанить сайт? Думается, яндексоинды и так осведомлены о том, есть ли продажность сайта или нет. Далее, если вдруг будут взломаны хэши некоторых простых паролей (подозреваю, что массовый перебор будет проще), то и это ничего не даст – нужно знать пароль от кошелька и от почты.
В общем, паранойааа=)
Оцените:
0 
1
[Ответить]
sapovod Ответ:
Март 10th, 2010 at 6:22 дп
Ну например можно изыскано издеваться, через api отклонять ссылки, удалять страницы
Оцените:
0 
1
[Ответить]
Spryt Ответ:
Март 10th, 2010 at 6:40 дп
Читаем спецификацию: http://api.sape.ru/xmlrpc/
Что можно сделать, кроме статистики:
1. Добавил в блек лист (класс)
2. Изменить число продаваемых ссылок состраницы.
3. Изменить некоторые настройки проекта
4. Активировать новые страниц сайтов
Простор для издевательств
PS. А расширенное API (тсс!!!) по умолчанию отключено.
Оцените:
1 
1
[Ответить]
sapovod Ответ:
Март 10th, 2010 at 10:21 дп
Пользуясь случаем
передаю приветхочу попросить, сделайте уже чтобы топсапа работала и с www, а то в отчете ли.ру переходы с http://www.topsape.ruОцените:
1 
1
Март 10, 2010 в 07:08
Не стоит поднимать панику, если даже утащат базу то хеш будут долго ломать:)
Будем надеятся что Спрут среагирует быстрее и оповестит о том что базу сперли, чтобы успели сменить пароли
Оцените:
0 
1
[Ответить]
Март 10, 2010 в 11:01
Любому человеку довольно просто нагадить, зная URLы его сайтов.
Понятно, что если сильно захотят – ничего не спасет. Но чем легче нагадить, тем больше вероятность, что сделают это.
Кто-то, конечно, посчитает это паранойей. Соглашусь, веротяность маленькая, но ставка слишком высока – можно потерять весь свой доход и годы работы пойдут насмарку.
Я отчетливо вижу процесс по шагам, как можно было бы нагадить мне, если бы я предоставлял кому-то хеш от сапы.
Хороший комментарий. Проголосуй:
8 
1
[Ответить]
Март 10, 2010 в 23:17
Вы может быть сами подаете кому-то эту идею взлома своими такими нехорошими постами. Если скрипт такой надежный, то почему бы не использовать только его для топсейп?
Оцените:
0 
2
[Ответить]
Март 12, 2010 в 02:32
Будем надеятся что налоговая не узнает какие бабосы зарабатывает топ 10
Оцените:
0 
1
[Ответить]
Март 15, 2010 в 19:11
спрут респект тебе, стимул людям даёшь:)
Оцените:
0 
1
[Ответить]