Это сделано в первую очередь для учебных заведений, где школьники таким способом обходят блокировку и фильтры. Однако специалисты по безопасности и разработчики выражают опасение, что тем самым создаётся неприятный прецедент. Ведь HTML изначально создавался как полностью открытый стандарт. Никогда не предполагалось его прятать от посторонних глаз.
Всё это происходит на фоне истории с американским веб-разработчиком и журналистом, который нашёл конфиденциальные данные прямо в коде HTML на сайте правительства штата Миссури — и написал про это безобразие. Теперь ему грозит тюремный срок за хакерство.
Если кто-то не слышал о той истории, в октябре 2021 года журналист и веб-разработчик Джош Рено (Josh Renaud) опубликовал статью в местной газете St. Louis Post-Dispatch с описанием уязвимости в коде веб-приложения на сайте департамента начального и среднего образования штата Миссури.
Сайт департамента начального и среднего образования штата Миссури
Уязвимость выдавала номера социального страхования школьных учителей, администраторов и другого персонала (всего более 100 000 человек). На сайте была функция поиска, которая позволяла любому желающему без авторизации просмотреть информацию об учителях штата Миссури. В качестве поиска можно было ввести фамилию или четыре последние цифры номера социального страхования. Но из-за ошибки программного обеспечения сервер прописывал в HTML-коде страниц полные номера SSN — и отправлял клиенту.
Конкретный баг в CMS не называется, но говорится, что он известен уже более 12 лет.
Перед публикацией информации газета дала время школьному департаменту исправить уязвимость, а потом опубликовала информацию. В ответ школьный департамент обвинил журналиста и газету в разглашении конфиденциальных данных. В официальном пресс-релизе заявляется, что «хакер взял записи по крайней мере трёх педагогов, расшифровал исходный код HTML и просмотрел номер социального страхования (SSN) этих конкретных педагогов».
В реальности газета нашла девятизначные номера в коде HTML, в открытом виде — и проверила по сторонним базам, что эти цифры действительно являются номерами SSN трёх действующих сотрудников. Консультацию и помощь в проверке предоставил Шаджи Хан, профессор по информационной безопасности университета Миссури-Сент-Луиса.
Дальше ситуация начала накаляться. Педагогов неожиданно поддержал губернатор Майкл Парсон, который поручил полицейскому департаменту завести уголовное дело и расследовать «это преступление против учителей нашего штата Миссури». Якобы журналист взломал сайт департамента образования и разгласил приватные данные. Власти также начали расследование действий профессора Хана, к нему домой пришёл полицейский патруль для опроса.
Специалисты по информационной безопасности в один голос говорят, что просмотр открытого кода HTML нельзя считать преступлением. Но профессор уже нанял адвоката для возможной защиты в суде, потому что неизвестно, чем закончится эта история…
Что касается новой функции Chrome, там речь идёт об «исправлении бага» в системе URLBlocklist. Это списки разрешённых или запрещённых URL, которые прописываются в корпоративных политиках Chrome Enterprise и действуют для браузеров Chrome и устройств под операционной системой ChromeOS (такие дешёвые ноутбуки часто устанавливают в школах).
Школьники обходят блокировку копированием в онлайновый редактор HTML-кода страницы из поисковой выдачи Google. На видео, которое показал разработчикам Chrome учитель одной из школ Иллинойса, внешний сайт открывается внутри стороннего редактора htmledit.squarefree.com, куда загружается исходный код страницы с поисковой выдачей Google.
Кроме запуска посторонних игр, школьники якобы используют просмотр HTML-кода для читерства, чтобы узнать правильные ответы во время экзамена, если система запроектирована некорректно.
Конечно, апдейт не позволит самим сайтам скрывать свой код. Но есть опасения, что всё к этому идёт.
HTML — это базовый язык для веб-разработки. Неотъемлемое свойство веба — прозрачность. По умолчанию страницы все статичные страницы на сервере публично доступны и открыты для просмотра. В этом и суть публично доступной информации. Так было изначально задумано разработчиками WWW.
Однако некоторые владельцы сайтов думают, что им принадлежит право собственности на HTML-код — и можно запретить другим людям смотреть на него. В принципе, логика понятная. Но в этом случае нужно выполнять код на сервере — и отправлять в браузер только результат. А если код отправлен в браузер пользователя, сохранён на его компьютере (в кеше) и проиндексирован поисковыми системами, то как-то странно угрожать уголовным преследованием за просмотр этой информации.
Комментарии (165)
dartraiden
16.11.2021 01:22-9Расширения для просмотра исходного кода никто не отменяет же. Типа Quick source viewer. Причём, они гораздо удобнее, т.к. подсвечивают синтаксис и красиво форматируют код.
Таким образом все останутся довольны: пользователи не лишаются возможности смотреть код, а школьнику расширение не установить, если грамотно настроены политики.
Inobelar
16.11.2021 01:44+7Всё-ещё можно сохранить страницу и открыть в редакторе
CaptainFlint
16.11.2021 02:49+27В мире современных реактов-ангуляров есть немаленький шанс получить страницу-заглушку с единственным существенным тегом вида <div id="app"/>.
yarkov
16.11.2021 10:04+15Вы бы хоть попробовали сохранить прежде чем писать.
MatiasGray
16.11.2021 13:19+6Часто достаю из кода картинки/видео, и в последнее время всё чаще натыкаюсь на такую фигню. Не для всей странички, а для медиа. Благо плагины-ленивки эти штуки раскусывают.
Mohave
29.11.2021 08:54А можно список? А то немного раздражает искать URL в html, хотя часто там можно найти больший размер вместо показываемого.
MatiasGray
29.11.2021 14:22Решение проблемы поиска ссылки в коде страницы очень простое:
инструкция с картинками
Заходите в режим живого редактирования разметки (пкм-исследовать элемент в хроме или пкм-исследовать в лисе, или F12). Нажимаете вот эту кнопочку.
Наводите курсор на нужный кусок страницы, щёлкаете.
В html коде курсор переходит на тот элемент, на который вы жмякнули. Как правило, ссылка на нужную штуку будет лежать прямо там, или недалеко.
А для спрятанного видео у меня несколько наудачу скачанных расширений. В основном я пользуюсь Offmp4 (у которого в описании сказано "Просто самый быстрый и простой способ скачать видео и аудио с YouTube, VK, Twitter, Facebook и многое другое").
Для картинок есть Image saver, который обещает "Save any images in page directly from context menu, this includes svg elements, css background images and direct child images. Now supports creating dataurls for any image or svg as well."
Я пользуюсь лисой, поэтому ссылки на лисовый магазн расширений. Мне кажется эти аддоны с таким же названием есть и для хрома. Ну или похожие)
CaptainFlint
16.11.2021 16:07+8Похоже, не будучи в веб-деве, я упустил момент, когда браузеры стали засовывать в сохраняемый файл текущее состояние страницы. Спасибо за указание на это.
Теперь придётся иметь в виду, что если нужна исходная версия загруженных данных, то надо лезть через wget.
iROOT
16.11.2021 17:22+1Не обязательно, нужно просто в сетевых запросах сохранить первоначальный ответ запроса который загружает HTML.
CaptainFlint
16.11.2021 18:18+2Да, тоже вариант. Хотя переключиться в терминал и запустить короткую команду, мне кажется, будет быстрее, чем открыть тормозные девтулзы, перезагрузить страницу, протыкать мышкой вкладку->запрос->ответ, выделить код, скопировать в текстовик, сохранить.
jooher
02.12.2021 17:22Ctrl+U вам в помощь (в хроме). Показывает исходный HTML страницы, а не текущее состояние DOM. Или можно вручную в адресной строке писать view-source:https://...
CaptainFlint
02.12.2021 17:30Эта ветка велась в контексте новости из статьи, что прямой просмотр кода может быть запрещён.
nochkin
17.11.2021 19:50Только что попробовал сайт на React сохранить в html. Там как раз только этот <div> и есть.
Попробовал в последнем Хроме. Я что-то не так сделал или не понял?
CaptainFlint
18.11.2021 16:38+2Похоже, зависит от того, какой тип выбрать при сохранении. Хрома у меня нет, а в Вивальди если я выбираю Webpage, Complete, то дампится текущий рендер; если Webpage, HTML Only — то сырой исходник.
nochkin
18.11.2021 17:48Ага, верно. Именно так и есть. Я до этого сделал только "Webpage, HTML only".
wyfinger
16.11.2021 01:55+32В истории про Джоша Рено и сайте департамента начального и среднего образования штата Миссури интересно а не попали ли эти поисковые выдачи с номерами социального страхований в кеш гугла?
Так-то с гуглом было бы сильно сложнее судиться.
venanen
16.11.2021 02:13-46С одной стороны, действительно, если мы считаем HTML языком программирования, а верстку - программным кодом, то тогда с одной стороны запрет его просмотра вполне имеет резон, ведь сейчас де-факто любая верстка open-sourse, бери, копируй. Также мне сходу на ум не приходит ни одного сценария, когда кому-то в рамках стандартного использования сайта нужен просмотр кода в проде (читай на сайте). Зато меньше фишинговых сайтов, которые тупо копируют верстку станет и электронный дневник уже так легко не подделать :)
С другой, даже если взвесить все за и против, и решиться на такой шаг - то смысла в нем нет. То, что хром закроет доступ к коду, значит лишь то, что хром закроет доступ к коду, а получить его можно будет все равно. Ведь это клиентская часть сервиса, которую через сниффер трафика можно будет получить. Да и школьникам win+r -> iexplorer.exe ничего не мешает ввести.
powerman
16.11.2021 02:26+48У Вас в профиле написано "Fronetend Developer" (орфография сохранена :)), уж Вы-то должны знать, что HTML - это не язык программирования, а язык разметки.
Также мне сходу на ум не приходит ни одного сценария, когда кому-то в рамках стандартного использования сайта нужен просмотр кода в проде (читай на сайте).
Я лично периодически этим пользуюсь для обхода разных багов на так называемом проде разных сайтов. Не часто, но случается. Иногда - для ручного составления правил блокировки рекламы. Временами - в процессе написания собственных UserJS или UserCSS для улучшения юзабилити или дизайна сайта. Всё это - вполне стандартное использование сайтов для продвинутого юзера/разработчика.
P.S. Кстати, я даже не фронтендер и никогда им не был (лет 20 назад недолго считал себя условным фулстеком на уровне "могу сделать админку на jQuery" если очень-очень попросят).
venanen
16.11.2021 02:46-8Ну так я и написал, если мы считаем.
От багов я тоже часто лезу в код, но скажем прямо, это не стандартный кейс, а проблема сайта - ведь если у нас не работает программа, мы же не лезем ее чинить. Опять же, сейчас прошло время сайтов, пререндеренных в php, а сам код фронтенда - сейчас уже полноценный проект со своей, часто обширной, логикой, а не 5 файлов, как раньше. И желание эту логику спрятать - вполне естественно (ведь все остальные non-open sourсе прячут свой код поглубже). Поэтому рассуждения в эту сторону имеют право быть.
powerman
16.11.2021 02:51+29А в чём смысл рассуждений, которые начинаются фразой "если мы считаем козу баяном, то …"?
Graf54r
16.11.2021 10:12+3У нас же свободное общество и рассуждения могут быть любыми, в рамках закона естественно.
А смысл от рассуждений это перебор вариантов, в том числе и глупых на первый взгляд.
MTyrz
16.11.2021 15:06Хотя бы в том, что законодательные прецеденты создаются для всех граждан, а не для социальной группы фронтендеров. И из тех граждан (к которым вполне относятся судьи и прочие губернаторы) языком программирования HTML назовет кабы не большинство.
powerman
16.11.2021 16:43+7Для социальной группы "судьи и губернаторы" предусмотрен механизм привлечения экспертов, задача которых как раз в том, чтобы компенсировать невежество данной социальной группы в нужных областях. Поощрять невежество в законодательных прецедентах чревато крупными неприятностями в (ближайшем) будущем.
invasy
16.11.2021 15:43+8если у нас не работает программа, мы же не лезем ее чинить
Приехали. Free and Open Source software так и работает. Если есть компетенции, то почему бы патч не отправить.
LynXzp
16.11.2021 16:50+4если у нас не работает программа, мы же не лезем ее чинить
Over 9000 патчей, чинящих баги, можно найти на множетсво неподдерживаемых игр, а иногда и ПО.ru.wikipedia.org/wiki/Хакер… Эксперт в компьютерной безопасности, ищущий слабые места в системе, который либо их исправляет, либо использует в своих корыстных целях.(Крэкер)
tempick
16.11.2021 04:44+1Я лично периодически этим пользуюсь для обхода разных багов на так называемом проде разных сайтов.
Также я использую иногда, чтобы просто посмотреть вёрстку и стили для обучения. Да, часто там могут быть не самые лучшие решения, но часто это всё же лучше, чем городить что-то своё. Т.к. я больше бэкендер, и с html-версткой знаком не очень сильно, то часто есть необходимость что-то подглядеть у других
vvzvlad
16.11.2021 20:26уж Вы-то должны знать, что HTML — это не язык программирования, а язык разметки.
А где граница между языком разметки и языком программирования? В декларативности/императивности? Так нет, куча декларативных языков.powerman
16.11.2021 22:30+2Для абсолютного большинства языков - это полнота по Тьюрингу. Есть пара известных исключений (напр. SQL), которые принято называть языком программирования, хотя, на мой взгляд, это скорее исторически сложившаяся практика нежели корректное название. Подробнее можно почитать в https://en.wikipedia.org/wiki/Programming_language#Definitions
gremlin244
16.11.2021 03:28+8Если уже за просмотр полностью открытого HTML кода есть желание закрыть, то уж за перехват как бы «закрытого» кода сниффером посадят 100%.
Vilgelm
16.11.2021 03:37+17когда кому-то в рамках стандартного использования сайта нужен просмотр кода в проде
Постоянно пользуюсь чтобы убрать какой-нибудь очередной надоедливый баннер на полэкрана.
jok40
16.11.2021 15:54Ublock Origin позволяет это сделать буквально в три клика мышки — без просмотра html-кода.
CaptainFlint
16.11.2021 16:04+3Если у баннера айдишник вида «irk85dM», то эти три клика помогут лишь одноразово, до следующего посещения сайта.
jok40
16.11.2021 16:22+3А просмотр html-кода позволит ибавиться от такого баннера? Если да, то можно чуть подробностей — каким образом? (вопрос без подвоха)
LynXzp
16.11.2021 16:56+5Например можно увидеть что родительский элемент этого банера всегда имеет уникальный селектор, или что этот элемент идет по счету четвертым всегда, или что у него есть определенный текст внутри. Я не фронтендер, но почти всегда за пару минут любой баннер, или не нужный элемент («похожие публикации»), уходит.
vesper-bot
16.11.2021 16:57+1Там помимо кода есть теги script, которые довольно часто содержат один статический entry point для всей рекламы, который можно заблокировать, скормив его урл или его часть ublock'у. Всё-таки полностью динамическую верстку создавать для обхода ублока довольно нерентабельно.
CaptainFlint
16.11.2021 18:14+3В общем-то, выше уже ответили. Гарантированного решения, конечно, это может не дать, но во многих случаях по коду можно найти более универсальный способ блокировки, чем тот, что uBlock предлагает при использовании пипетки.
trokhymchuk
16.11.2021 14:37+8если мы считаем HTML языком программирования
А мы умные, потому так делать не будем.
то тогда с одной стороны запрет его просмотра вполне имеет резон
Нет, не имеет. Если запретить смотреть на коррупцию, она не пропадёт.
сейчас де-факто любая верстка open-sourse
Вы и понятия не имеете, что термин open source определяется OSI, а смысл не только в открытости кода, не так ли?
бери, копируй
Вообще нет.
С другой, даже если взвесить все за и против, и решиться на такой шаг - то смысла в нем нет. То, что хром закроет доступ к коду, значит лишь то, что хром закроет доступ к коду, а получить его можно будет все равно.
Да, но прецедент всё равно плохой.
Да и школьникам win+r -> iexplorer.exe ничего не мешает ввести
И получить неработающий сайт?
cleverate
16.11.2021 19:33+1Для тех, у кого, о боже, могут украсть их заветный html и css, который никто не должен даже пальцем тронуть, теперь существует flutter, т.к. это буквально бинарник в браузере, который рисует в canvas (возрождаем flash?)
gban
16.11.2021 02:16+43В ближайшем черном будущем: "...Используя запрещенную програму wget получил сведения..."
powerman
16.11.2021 02:29+3Ха! Это будущее уже давно наступило: https://habr.com/ru/company/flant/blog/543736/
SerjV
16.11.2021 02:53+9Точнее, "используя вредоносную программу для ЭВМ "вгет". Это чтобы ст.273 УК РФ получилось...
salnicoff
16.11.2021 08:31+2Не так. Лучше: «...используя программу „вгет“ в качестве вредоносной». Т. е. тщательно подошел к планированию и совершению преступления, использовал предметы, широко распространенные в гражданском обороте. :-(
SerjV
16.11.2021 11:53Не, так не подходит под диспозицию ст.273 УК РФ - там требуется, чтобы программа была вредоносной. Но формулировка вредоносности достаточно "резиновая".
Ст.273 УК РФ относится к т.н.з. статьям с формальным составом преступления - т.е. цель использования, мотивы и последствия/ущерб не требуются, но доктрина предполагает, что применение статей УК с формальным составом допускается только в случая прямого умысла правонарушителя. Собственно, именно поэтому если бы ст.273 УК РФ применялась "как написана", а не избирательно - половина Лаборатории Касперского уже давно должна сидеть.
SquareRootOfZero
17.11.2021 09:26+4В конце 90-х или начале 00-х, помнится, была новость: некая контора выпустила продукт с защитой от чего-то, реализованной следующим образом: когда пользователь вставляет CD-ROM, запускается autorun и, не спрашивая, устанавливает защиту (ну, вы знаете, Windows 95, никиких там UAC и этого всего). Не помню, реально они судились с неким чуваком, написавшем где-то, что можно обойти эту «защиту», зажав на клавиатуре кнопку, отключающую autorun, или только собирались судиться. Когда им указали, что это не какое-то там «хакерство», а всего лишь использование штатных возможностей компьютера путем нажатия кнопки на клавиатуре, они обещали подготовить иск к производителям клавиатур: типа, чо они делают их с хакерскими кнопками, позволяющими обходить защиту. Подробностей не помню, возможно, и фейк, правда.
vikarti
18.11.2021 18:41Что-то вспоминается -:).
Но — а почему к производителям клавиатур?
Надо к Microsoft, что они обрабатыват нажатие на хакерские кнопки (а еще сделали опцию для отключения autorun в принципе)
Wesha
16.11.2021 02:33-20Ви так волнуетесь, как будто форкруть лису афигеть как сложно.
Ogra
16.11.2021 13:18+24Да, форкнуть лису офигеть как сложно.
Если не согласны - форкните и поподдерживайте её хотя бы полгодика.
LynXzp
16.11.2021 17:03На ChromeOS причем. (Для тех кто статью не читал, запрет касается этих девайсов)
Wesha
16.11.2021 23:55-3Ахренительное умнение читать комментарии: сам за автора додумал, сам себя опроверг.
Пальцем покажите, где я что-то писал про "поддержку"?
Ogra
17.11.2021 07:52+9- Товарищ прапорщик, а можно телевизор посмотреть? - Можно! Только не включайте!
Форк без поддержки и развития никому не нужен. "Форкнуть лису" так, чтобы это кому-то было нужно - офигеть как сложно.
Wesha
18.11.2021 01:19Кончайте уже двигать ворота.
Сначало было "ой,
гипс снимают, клиент уезжаетбраузер запретит нам просматривать HTML-код". Потом стало "ой, если форкнуть лису, то не будет поддержки" (кстати, товарищ Торвальдс чтой-то этим вопросом не задавался). Потом стало "ой, если форкнуть лису, то она никому не будет нужна" (LibreWolf, WaterFox, Tor Browser и ещё с десяток форков смотрят на Вас с недоумением). Астанавитесь уже!
Devoter
20.11.2021 03:43Большинство этих форков существует только за счет того, что постоянно мерджат себе изменения из апстрима. Не будет развития апстрима - не будет и их развития со всеми вытекающими.
Wesha
20.11.2021 05:20Кончайте. Двигать. Ворота.
Пальцем покажите, где в изначальном комментарии кто-то сказал про "изменения", "поддержку" и проч.
Devoter
20.11.2021 13:32+2Вам уже выше иносказательно посредством анекдота объяснили, что форк без поддержки не имеет смысла, а в комментарии выше я попытался объяснить - почему. Если для вас вывод неочевиден, то ничем не могу вам помочь.
zorn-v
16.11.2021 06:03+11где школьники таким способом обходят блокировку и фильтры
А разве не должны за это гнать в шею админов, если они через html блокировки и фильтры делают ?
Reformat
16.11.2021 06:40+26Кажется настоящие злоумышленики в этот момент покатываются со смеху и потирают руки в предвкушении нового поколения приложений со "скрытыми" данными в HTML...
zorn-v
16.11.2021 11:54+2Вот и выросло поколение, которое считает изменение HTML взломом )))
AlexJameson
16.11.2021 12:15-1Это поколение не выросло, а состарилось
zorn-v
16.11.2021 12:27+3Эм, назовите мне исследователя по безопасности, который эту дичь как vulnerability примет ?
Его запинают "старички".
У гугла политика и прочее, оно не всегда со здравым смыслом контачит...
ksbes
16.11.2021 12:36+1Могу назвать троих, которые буквально заявляли подобное - но это будет разглашением личной информации. Правда это не столько исследователи, сколько управленцы и "специалисты".
Вообще поражает тотальное незнание матчасти (и нежелание её знать) у "специалистов" и "аналитиков" по информационной безопасности. Как, блин, плохой автомеханик, который разучил ритуалы кручения гаек, но несёт полную дичь по физике процессов в моторе. Так и эти говорят про "окна и поверхности опасности", но просишь дать оценку риска в потерях $$$ в месяц - смотрят на меня гигантскими непонимающими глазами как на марсианина. А начинаешь спрашивать об уровнях OSI, TCP/IP (в контексте: где какие фильтры/защиты нужны), так вообще теряют дар членораздельной речи.
AlexJameson
16.11.2021 13:25+4Я скорее про тех, кто за счет своей выслуги лет уже принимает не vulnerabilities, а решения о том, что ими является, а что нет.
kmeaw
16.11.2021 08:15+1А чем плоха ситуация, когда пользователя ограничивают в использовании компьютера, который ему не принадлежит? Чем блокировка view-source: принципиально отличается от любых других блокировок (например через групповые политики в Windows)?
Druj
16.11.2021 08:57+28Тем что это прецедент который может лечь в основу неприятной цепочки:
1. Дети читерят, а давайте дадим возможность закрыть просмотр исходного кода.
2. Ой, эта фича такая популярная, давайте сделаем просмотр закрытым по умолчанию и вынесем его включение в настройки.
3. Ой, обычные пользователи его не включают, давайте вообще в about:config
4. Ой, оказывается об этой фиче знают только разработчики. Давайте же накатим DRM.
…
66. На этом шаге сайты отдаются в виде подписанных бинарников, пользователи рады скорости, бизнес рад тому что больше не палит код написанный разработчиками, гугл счастлив что его зонды/рекламу больше не вырезать.
tyomitch
16.11.2021 09:44-14Видеоигры уже прошли весь этот путь. И что?
Druj
16.11.2021 10:08+16И всё, мысль закончена. А мнения пользователей о современном геймдеве можете найти под любой соответствующей статьей, они довольно однозначны.
tyomitch
16.11.2021 10:49-16Мнения халявщиков о чём угодно можно найти под любой статьёй, вы правы.
«Платить не хочу, рекламу не хочу, зонды не хочу, ублажайте меня просто так.»
vassabi
16.11.2021 11:32+7о, не думал что встречу тут хотящего зондов!
PS: то что вы заплатите денег - не значит, что у вам их не постараются всунутью Только исходники еще как-то могут обеспечить вам знание - есть они там или нет...
Druj
16.11.2021 11:39+6Зачем вы приписываете мне придуманную вами позицию и о каких халявщиках идёт речь? Если кто-то заявил что товары должны быть бесплатными то он не прав, но таких я тут не видел. Или под халявщиками вы подразумеваете недовольных модной нынче политикой «жри что дают или голодай»? Если так, то вам стоит исправить последнюю строку
Платить хочу, платную возможность отключить рекламу хочу, зонды не хочу, ублажите меня за мои деньги а не кормите дерьмом
fpir
16.11.2021 11:41+18Пока что наоборот, халявщики стоят в сторонке и посмеиваются над добросовестными пользователями. А те бьются в истерике–"я заплатил приличные деньги, а мне подсовывают поделье, которое ещё и тормозит безбожно из за DRM". А если конкретно про гейм дев, то они еще всхлипывают про лутбоксы и pay2win. Халявщиков эти проблемы не трогают, они скачали с торрента, у них ничё не тормозит, модеры им причесали баги и разблокировали бонусы.
Cheater
16.11.2021 15:02+4Купил лицензионную третью соньку, все игры покупаю в сторе. Если вы не в курсе, на PS3 в меню игр висит неудаляемая предустановленная игра SingStar. На этом диалог про "халявщики не хотят рекламу" думаю можно завершить.
Alozar
16.11.2021 18:01+51. Недавно rockstar games launcher навернулся, и те кто честно купил игры, не могли их запустить.
2. Из-за сраного starforce я не могу поиграть в часть честно купленных игр, т.к. либо диск не читается из-за царапины, либо привод не воспринимается
…
А что «халявщики»… они в этой ситуации спокойно играют, не задумываясь о проблемах.
nsinreal
17.11.2021 00:03+1Это в общем-то всегда так. Из-за того, что у вас есть какие-то там проблемы, всем остальным нужно ограничить свободу. Очень милая позиция.
unsignedchar
16.11.2021 10:38+559
Повсеместное HTTPS (та же цифровая подпись, вид сбоку), приколоченные сертификаты, прослушать траффик низзя, изменить низзя.
Вы находитесь здесь, если что.
tmin10
16.11.2021 13:24Локально всё сделать можно, корпоративно тоже (установив корневой сертификат компании на все компы.)
PereslavlFoto
16.11.2021 15:36+1Не вполне понимая вашу реплику, прошу уточнить: почему я обязан перевести сайт на HTTPS и приделать к нему сертификат?
Я несколько раз искал людей, которые хотели бы принудить меня к этому. Однако не нашёл. Более того — людям вообще неприятен вопрос о том, какой программой получать сертификат под windows XP и какой командой подключить сертификат к веб-серверу IIS 5.1.unsignedchar
16.11.2021 15:58+4почему я обязан перевести сайт на HTTPS и приделать к нему сертификат?
Если я правильно понимаю общую тенденцию, стандартный броузер в Windows 14 ваш сайт не откроет. А firefox, собранный старинным компилятором из старинных исходников, не откроет современных сайтов на html6.
PereslavlFoto
16.11.2021 16:16+2Ага, то есть мейнстрим к тому движется, чтобы отказаться от HTTP. Но ведь здесь получается коллизия. Либо надо создавать инструменты, которые позволят всё наследие переводить под HTTPS. Либо надо отказываться от всего наследия.
С одной стороны, отказываться от наследия всё-таки дорого, потому что оно большое и полезное.
С другой стороны, создавать инструменты, которые позволят делать «let's encrypt автоматизацию» под windows xp, никто не спешит.
Тут возникает вопрос, зачем же поддерживать старые решения. А вот зачем. Старые решения давно уже построены, они не требуют заботы. Чтобы их переделать, нужен расход. Чтобы покрыть расход, нужен доход. А дохода от старых решений нету, они не ради дохода были сделаны.
Проще говоря, старые решения работают сами, а для их обновления нужен расход!
WraithOW
16.11.2021 16:42-2они не требуют заботы
А дыры в этих решениях, надо полагать, сами себя божьей милостью чинят.PereslavlFoto
16.11.2021 16:44+1Там нет дыр. Там есть сайт, который не получает от клиента никаких параметров и ничего не записывает.
unsignedchar
16.11.2021 18:59+1Этот сайт не генерирует (и не будет генерировать) никаких финансовых потоков — это и есть фатальный недостаток старинных решений.
PereslavlFoto
16.11.2021 19:01-1Я совершенно согласен с вашим словом. Я об этом и талдычу. И вот по этой причине у такого сайта нет денег для перехода на HTTPS.
unsignedchar
16.11.2021 19:05+1у такого сайта нет денег для перехода на HTTPS
Но letsencrypt оно же бесплатное…
Tatikoma
16.11.2021 20:54Кушать вкусный стейк так же бесплатно, но за его приготовление - я предпочитаю заплатить профессионалам )
tmin10
16.11.2021 21:19+2Это дополнительная инфраструктура, поддержка, настройка. Может быть там сайт на статике вообще был, почти ничего не ел, а тут надо и вебсервер менять на актуальный и настраивать получение сертификатов по расписанию и т.д.
На моём шаред вебхостинге сертификаты, что встроены в cPanel платные, а бесплатные не очень просто настроить (точно не пара кликов).
unsignedchar
17.11.2021 13:30+1Эксплуатировать IIS 5 это тоже не бесплатно. Где-то находится старый сервер, который жрёт энергию, занимает место в стойке, и в любой момент может развалиться просто от старости.
За домен кто-то платит.
За подключение к интернету.
Да, возможно, его перетащили в виртуальную машину. Так это ведь тоже не бесплатно.
tmin10
17.11.2021 13:34Верно, поэтому и написал, что «почти ничего не ел».
А так, дополнительные расходы чтобы что? Чтобы хакеры не подменили страничку моего блога конечным пользователям через MITM атаку?
unsignedchar
17.11.2021 14:10+2Вы, как владелец блога, имеете право хостить его хоть на gоofer'е внутри старой микроволновки ;)
Но если хочется, чтобы блог был доступен разным пользователям с разными терминалами, и чтобы в поисковой выдаче не проваливался — приходится соответствовать трендам.
DaemonGloom
17.11.2021 10:45+4Знаете, в чём проблема ваших суждений? Вы думаете, что статический сайт — безопасен.
Пример уязвимости RCE, которой хватает IIS 5.1 и не нужна динамика: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-4360. И она не одна такая. Ваш сайт может быть уже не совсем ваш. Как и ваш сервер.
WraithOW
17.11.2021 12:48+2IIS 5.1
Там нет дыр.
Спасибо, посмеялся в голос. Вам там одну уже накинули, держите еще две
CVE-2002-0150 — remote code execution
CVE-2003-0223 — XSS
И это мы только об IIS говорим. Что-то мне подсказывает, что если хорошенько постучаться по портам вашего сервера — найдется что-нибудь такое же несвежее.
vesper-bot
17.11.2021 09:51+4HTTPS в первую очередь предназначен для защиты от прослушки и модификации данных третьей стороной (не клиентом и не сервером), точнее, этим занимается TLS. А инструменты для внедрения TLS перед всякими там IIS5 есть, и довольно распространенные, под общим названием
nginx-proxyproxy server.
tyomitch
17.11.2021 10:01+1То, что из популярных браузеров уже выпилили FTP, а из почтовиков NNTP — вас задевает так же сильно? А ведь кто-то продолжал(ет) держать старые сервера: месяц назад здесь постили, что даже Gopher-сервера не все вымерли, но для доступа к ним теперь приходится искать экзотический софт.
tyomitch
17.11.2021 09:48Лично мне на прошлой неделе понадобилось перевести сайт на HTTPS и приделать к нему сертификат, чтобы вставить изображение с него на хабр: хром теперь отказывается загружать по HTTP изображения для страниц, загруженных по HTTPS.
К счастью, у меня не Windows XP и не IIS 5.1, так что апгрейд сайта был очень простым.
Vitaly83vvp
16.11.2021 08:47+8Итак, получается, что школьники гораздо больше понимают школьных админов и это плохо? Может, этим специалистам пройти курсы повышения квалификации? Или, на крайний случай, попросить этих самих школьников подтянуть их...
Когда-то я занимался сайтом для тестирования. Озадачил момент, что правильный ответ можно найти на самой странице. Это как? Один запрос, который возвращает вопросы и ответы для тестирования и сохраняет в коде страницы, что ли?
А что касается сайта штата Миссури, то это уже норма - государственные сайты не отличаются наличием защиты. И, если человек, прямо указал на некоторые проблемы, то за что его наказывать? Ведь, он мог просто тихо слить данные заинтересованным лицам и пополнить свой кошелёк.
Одно дело, если используются сложные схемы обхода защиты, но другое, когда данные лежат в открытом доступе и их обнаружение - только дело времени. Правильнее наказывать тех, кто допустил такую ошибку, нет? Или сайт делали "по-знакомству", либо, решив сэкономить, передали студентам?
ksbes
16.11.2021 09:40+8Ну так "за-shit-а чести мундира" - явление интернациональное. Для чиновника важно, чтобы его проблемы оставались только его проблемами и открыто не обсуждались. А там аштээмэль-маштээмель ему не важно: заткнуть рот, причём максимально показательно, чтобы другим не повадно было.
Vitaly83vvp
16.11.2021 10:20Ну, хорошо, заткнут рот, дальше что? Никто не захочет уведомлять об ошибках. Будут появляться "сливы". Когда начнут копать, докопаются до этих бедолаг (разработчиков), которые за копейки или "за спасибо" сделали по-быстрому сайт.
ksbes
16.11.2021 10:56+5Ну да, а все чиновники будут в белом, да ещё и плюшки получат за "выявление" и "оперативное реагирование" (+деньги с распилов и откатов). В этом и смысл.
Поэтому и не нравится людям работать с государством/корпорациями. Но с другой стороны: а с кем же тогда ещё работать?
PereslavlFoto
16.11.2021 15:38+2Если человек указал на проблемы, это означает опасность. Даже две опасности.
1) Он недобросовестный и желает искать чужие проблемы.
2) Он недобросовестный и сможет найти чужие проблемы.
То и другое — небезопасное поведение для тех, у кого есть проблемы. Поэтому надо запретить и не пущать!!!!!!Vitaly83vvp
16.11.2021 16:32+1Запретить человеков?
Бывает так, что ошибки можно найти случайно. Ну, например, какой-то элемент неправильно отображается, из-за чего не видно содержимого. Открываем панель разработчика и... о-па!
Если человек указал на проблемы, то возможно, что этот самый человек использует эту систему и не хочет, чтобы какие-либо его (или вообще) данные был в открытом доступе.
А, вот, если человек не указал на ошибку, то тут две опасности:
Ему плевать на систему.
Он собирается использовать эту информацию в своих корыстных целях.
General_Failure
16.11.2021 09:05+3Вспомнилась байка с
shit happens, где в школу пришли с районо устанавливать интырнет-фильтры на каждый компьютер. Самописные, местного разлива (студенты видимо писали), под винду. Только там во-первых фильтрация уже стояла на прокси-сервере, во-вторых учитель информатики на ученические компы тогда поставил линуксы, и та поделка если даже и ставилась под вайном, то работать конечно же совсем не могла.
MagDen
16.11.2021 09:14+7Закрыв просмотр кода они лишь усугубят проблему создав Иллюзию безопасности. Теперь те, кто считал допустимым хранить в коде "лёгкие" метаданные решат,что можно хранить и "тяжёлые" типа паролей. Ну а чё, доступ же закрыт, не?(нет)
shyneko
16.11.2021 09:31+12function login() { if ($("#password").val() === "1234") { location.replace("/secure.html"); } }tyomitch
16.11.2021 09:50+3В точности так они сайты и пишут: thedailywtf.com/articles/the_spider_of_doom
Arcpool
16.11.2021 22:14+1Я даже встречал вариант, в котором замена https://domain/login.cgi на https://domain/index.html давала полный доступ к контенту включая админку.
MightyRavendark
16.11.2021 11:00+1Переходим на WASM с рендером на канвасе - и все, исходный код сайта защищен от 99% любопытствующих. Трансляторов WAST в какие-либо вменяемые языки, вроде как, еще нет, а смотреть чистый WAST - ну такое.
static_cast
16.11.2021 11:23+3Пока этому мешает необходимость индексации в поисковых сервисах. Но условному Фейсбуку, у которого есть своя собственная экосистема, ничего не мешает что-нибудь подобное сделать, и я думаю, что рано или поздно сделают.
vsb
16.11.2021 13:13+1Веб-приложениям индексация в поисковых сервисах не нужна.
А так - в теории можно распознавать текст. Хотя полагаю, что это сильно затратно по ресурсам и вряд ли будет применяться поисковиками.
NikRag
16.11.2021 12:44+4Удивительно, насколько в "большой" юрисдикции кладут на принцип "не умножай сущности без надобности".
Если владелец данных (страницы) хочет их шифровать, то для этого есть двести способов, вплоть до
флешапередачи итоговой векторной картинки страницы. Для скриптов на эту тему webassembly придумали, и как-то никто особо не обломался.Если данные доступны в свободном виде неограниченному кругу лиц, а тут именно так и было, то ответственен тот, кто допустил утечку. Как я понимаю, на этот счёт никаких движений никем не делается. Почему-то.
Это - всё.
По сути, человеку предъявляют за то, что он вообще умеет читать.
Zalechi
16.11.2021 14:21Видимо все придет к тому: нашел мину, неси в полицию оформлять, а потом труби в газеты..
transcengopher
16.11.2021 18:29+1нашел мину, неси в полицию оформлять, а потом труби в газеты
Скорее так: нашёл мину, неси в полицию оформлять, а заодно пиши заявление, что сдаёшься правосудию по собственной инициативе, вину свою признаёшь и принимаешь, и просишь учесть этот факт при составлении приговора.
PereslavlFoto
16.11.2021 15:47+2Человеку предъявляют за то, что он умеет читать, однако не умеет читать только дозволенное.
OldNileCrocodile
16.11.2021 23:51Ему предъявляют за то, что он разгласил "уязвимость". Хоть и не говорят об этом в открытую (а говорят, что он хакер, взломал и слил данные учителей). Кроме того, с какого буя он потащился в ГАЗЕТУ, Карл, в ГАЗЕТУ. Это как если Ваш клиент вместо того, чтобы пожаловаться на баг и дыры в коде, побежит трепаться об этом на местное телевидение, соцсети, и в СМИ, дискредитируя Вашу компанию, и подстрекая других хакеров и народ посмотреть на Вашу уязвимость и поиграться с этим.
mrsantak
17.11.2021 00:24+2Не хотите чтобы кто-то в СМИ дискредитировал вашу компанию за ваши же косяки - не косячьте. А то ввели моду - виновным считать не того кто косяк допустил, а того кто "сор из избы вынес".
powerman
17.11.2021 01:54+2Вы считаете нормальным скрывать свой баг от своего же заказчика/начальника? (Извините, вопрос риторический, подразумевает ответ "нет".)
В случае гос.учреждений вроде обсуждаемого, работающих на налоги, заказчиком являются налогоплательщики. ГАЗЕТА, Карл, это один из самых обычных способов донести до налогоплательщиков важную для них информацию. :)
LevPos
17.11.2021 04:56+2Так он журналист в этой газете. При этом:
Перед публикацией информации газета дала время школьному департаменту исправить уязвимость, а потом опубликовала информацию.
NikRag
17.11.2021 11:13Из того, что прочитал я, там не было уязвимости, информация находилась в открытом виде. Карл, если угодно.
Аналогии с "моим клиентом" вообще некорректны, взаимодействие с клиентами строится на взаимной выгоде, всегда. Не говоря о том, что приватная информация как правило защищена лицензионным соглашениям. Фразы типа "запрещается реверс-инжинерить код и данные" вам знакома?
Т.е. снова умножение сущностей без этого самого.
tmin10
16.11.2021 13:16+1Это сделано в первую очередь для учебных заведений, где школьники таким способом обходят блокировку и фильтры.
Если блокировку и фильтры можно обойти просмотром кода страницы, то может быть проблема в системах фильтрации, а не в функциях брайзера?
Dmitriy_Volkov
16.11.2021 14:05ИМХО машинный код также нельзя запрещать просматривать, запускать и даже публиковать найденные ошибки, либо обсуждать решения. Скажем не должно быть никаких отличий от книги.
То есть, как в случае с книгой, нарушением должно быть лишь либо плагиат, либо незаконное завладение.
Иначе имеем сужение прав пользователя да и просто глупости, как в данном случае а-ля в HTML не смотри, сообщения об ошибках и эксепшены не смотри, корки не смотри. И, не дай Бог, ни с кем не обсуждай
SerjV
16.11.2021 14:19ИМХО машинный код также нельзя запрещать просматривать, запускать и даже публиковать найденные ошибки, либо обсуждать решения. Скажем не должно быть никаких отличий от книги.
Формально "программы для ЭВМ" защищаются как литературные произведения, что исходный код, что исполняемый.
Иначе имеем сужение прав пользователя
А у пользователей и так прав нет, к сожалению. Что сужать-то?.. Даже на книгу-то права есть только на ту пачку бумаги, на которой она напечатана....
hungry_forester
16.11.2021 14:42+1Адвокаты-то порезвятся на фоне всеобщей интеллектуальной импотенции... То, что журналист имел возможность (как и все остальные :)))) просмотреть персональные данные, не означает, что он имел право их разглашать.
IlliaHai
16.11.2021 16:28+2Так а он не разглашал данные. Он сообщил, что данные там есть.
LevPos
17.11.2021 04:43+1А это можно посчитать разглашением?
В реальности газета нашла девятизначные номера в коде HTML, в открытом виде — и проверила по сторонним базам, что эти цифры действительно являются номерами SSN трёх действующих сотрудников. Консультацию и помощь в проверке предоставил Шаджи Хан, профессор по информационной безопасности университета Миссури-Сент-Луиса.
... Власти также начали расследование действий профессора Хана, к нему домой пришёл полицейский патруль для опроса.
v1000
16.11.2021 15:16+2Еще интересная тема с API. Потому что это тоже вроде-как общедоступная информация, но как тогда быть, если запросы отправляются не из приложения, а напрямую. В том числе и такие, которые на уровне приложения отправляться не могли, и поэтому на стороне сервера правильно не обрабатывались.
LevOrdabesov
16.11.2021 16:03+1В судебной системе Штатов, в отличие от других, мне известных, есть проблески независимости и адекватности. Другой вопрос, что:
1. Прецедентное право, хотя и обеспечивает часть этой независимости (ценой адекватности, к сожалению), очень сложно как система;
2. Граждане, из которых, в принципе, и состоит государственная система (см., например, habr.com/ru/post/290210), должно обладать мало того, что серьёзным уровнем политической и юридической (как минимум) грамотности, так ещё и большими материальными ресурсами (налоги) для поддержки этой системы в рабочем состоянии.
«Государство – это мы». Однако общество, а именно крайнее его проявление – толпа, не вызывают оптимизма. Средний уровень любого общества всё ещё низок для стоящих перед обществом задач. А значит, в вопросе решения о распределении ресурсов толпа-"буриданов осёл" выберет, скорее всего, корпорации, дающие дешёвый, простой и яркий фастфуд без необходимости нести ответственность.
Rosh1ck
16.11.2021 18:00Школьники, конечно, молодцы, что используют смекалку и пробуют способы для обхода системы
silinio
16.11.2021 18:33+3школьная смекалка может помочь не светить почту/имя и на известных ИБ сайтах — rt-solar.ru/analytics/webinars/2431
просто смотрим код:<script> el2359.onclick = function() { toggleModal('modal-video'); $('#modal-submit-event').val('Анализ кода и бинарных файлов для обеспечения ИБ государственных организаций и ведомств'); $('#name-video').html('Анализ кода и бинарных файлов для обеспечения ИБ государственных организаций и ведомств'); $('#video').attr('href', 'https://www.youtube.com/watch?v=hZ_dFFrIzYA&t=1406s');; }; </script>
оп!
d1gital_love
16.11.2021 19:31-1Заголовок: в огороде бузина, а в Киеве дядька.
Пост, аргументы в посте: в огороде бузина, а в Киеве дядька.
Комментаторы: в огороде бузина, а в Киеве дядька.
Фича в Chromium: а мне норм.
johnfound
16.11.2021 19:39+2Вот почему нельзя использовать продуктов корпорации! Даже когда они вроде бы свободные и с открытом кодом. Всегда норовят какую-то корпоративную бяку подсунуть. Используйте только продукты разрабатываемые обществом.
unsignedchar
16.11.2021 20:22Используйте только продукты разрабатываемые обществом.
Попробовал открыть этот сайт через lynx — что-то не зашло.johnfound
16.11.2021 22:31+1Ну, не знаю насчет lynx, я его не использую, но через elinks, вполне достойно:
А в PaleMoon, совсем даже ничего:
d1gital_love
16.11.2021 19:51-1Всё это происходит на фоне истории с американским веб-разработчиком и журналистом, который нашёл конфиденциальные данные прямо в коде HTML на сайте правительства штата Миссури — и написал про это безобразие. Теперь ему грозит тюремный срок за хакерство.
Абсолютно ничего нового. Я всегда говорил, говорил и буду говорить не работать на: правительство США, компании из США.
Их УК это какая-то злая шутка.
Tatikoma
16.11.2021 21:10+2То есть посетитель государственного сайта хотел посмотреть общедоступную информацию по учителям, а злостные нарушители правопорядка разработавшие этот сайт, вместо запрошенных пользователем данных - намеренно присылали ему приватные данные учителей, включая номера страхования? - Причем разработчики обязаны были отлично знать, что в этом случае приватные данные будут автоматически сохранены в кэш на компьютере пользователя, если он использует стандартный софт в обычном режиме не совершая каких-то специальных действий для сохранения, пользователь мог даже не знать, что ему что-то подкинули. Эти люди намеренно подбросили журналисту приватные данные и подали на него в суд, всё верно?
Кажется у иска есть все шансы прилететь в обратную сторону, по крайней мере хотелось бы верить.
Dreamka
16.11.2021 22:33+2Кроме запуска посторонних игр, школьники якобы используют просмотр HTML-кода для читерства, чтобы узнать правильные ответы во время экзамена, если система запроектирована некорректно.
Именно так мы и делали в универе. Была у нас внутренняя система тестов, правильный ответ в тесте всегда был в радиоинпуте со значением value=1, а у инпутов просто был рандомный порядок вывода. Года через 2 после внедрения пофиксили когда кто-то обнаглел до такой степени, что написал js проходивший тест за секунды
sleirsgoevy
19.11.2021 03:35Функция, описанная в статье, может быть полезна, например, для создания киосков. Ни к чему, чтобы любой мимо крокодил мог "открыть страшные хакерские буковки" волшебной комбинацией ctrl-u, даже если в самих буковках ничего секретного нет. Хотя бы потому, что (в случае аппарата а ля банкомат/платёжный терминал) он заставит людей за ним в очереди гадать, как эту гадость закрыть.
acklamterrace
Забавно, что теперь всякую мерзость нам втюхивают не под предлогом защиты детей, а для защиты ОТ детей.
edogs
Помнится во время очередной волны педоистерии попалась на глаза статья про miracle village, деревушка спецом для секс преступников, т.к. там намеренно не было детей и детских учреждений, что бы преступники не совершили чего плохого (или как преподносится — что бы гуляли свободно не думая где тут очередные 100 футов до школы).
Первая мысль была — да это ж рай, не надо думать что там очередной ребенок выдумает из-за чего тебя посадят. Чуть позже подотпустило, но эффект запомнился.
StjarnornasFred
Так это хорошо или плохо? По сути - обычная заимка для вольноссыльных или даже колония-поселение максимально свободного режима. В принципе, обоюдовыгодно (и общество не пострадает от потенциально опасных лиц, и они не пострадают от недобросовестных членов общества).
CodARM
Это плохо, очень плохо. По крайней мере если думать о этой деревне более 5-ти минут. Как пример тот же вопрос, если у двух поселенцев появился ребенок, то что делать?
vvzvlad
Уехать из деревни?
Sly_tom_cat
... в обычную тюрьму?
vvzvlad
А в каком контексте эта деревня всплыла вообще? В смысле, она добровольная или принудительная?
Если добровольная — то просто уехать.
Если принудительная — то одним из условий логично будет являться неразмножение.
Sly_tom_cat
Деревня для осужденных как бы не может считаться совсем свободной...
Но и размножаться там запретить навряд-ли смогут.... разве что именно тем методом про который я сказал - размножились - перемещаемся в обычную тюрьму где есть возможность содержать детей.
pda0
Ещё можно отдельно создавать такие деревни "для мальчиков" и "для девочек". И вроде бы такие поселения для условно досрочно освобождённых. А в этом случае могут в комплекте с освобождением идти дополнительные ограничения, вроде необходимости жить в определённом месте (да, получается не полное освобождение). Но тут уже по желанию - не хочешь - сиди свои полные 40 лет, потом на свободу с чистой совестью...
vikarti
Судя по статье про это miracle village — добровольно и не факт что пустят еще
Also according to the organization's website, they do not accept violent offenders or serial offenders, nor minister to pedophiles, which they define as "someone who can only become sexually aroused by a child".[9] It receives 10–20 applications a week, but only accepts 1 in 20;[10][4] residents participate in the selection process.[11]