В последнюю версию браузера Chrome 98 добавили функцию, с помощью которой администратор локальной сети может блокировать просмотр HTML-кода страниц в браузере.



Это сделано в первую очередь для учебных заведений, где школьники таким способом обходят блокировку и фильтры. Однако специалисты по безопасности и разработчики выражают опасение, что тем самым создаётся неприятный прецедент. Ведь HTML изначально создавался как полностью открытый стандарт. Никогда не предполагалось его прятать от посторонних глаз.

Всё это происходит на фоне истории с американским веб-разработчиком и журналистом, который нашёл конфиденциальные данные прямо в коде HTML на сайте правительства штата Миссури — и написал про это безобразие. Теперь ему грозит тюремный срок за хакерство.

Если кто-то не слышал о той истории, в октябре 2021 года журналист и веб-разработчик Джош Рено (Josh Renaud) опубликовал статью в местной газете St. Louis Post-Dispatch с описанием уязвимости в коде веб-приложения на сайте департамента начального и среднего образования штата Миссури.


Сайт департамента начального и среднего образования штата Миссури

Уязвимость выдавала номера социального страхования школьных учителей, администраторов и другого персонала (всего более 100 000 человек). На сайте была функция поиска, которая позволяла любому желающему без авторизации просмотреть информацию об учителях штата Миссури. В качестве поиска можно было ввести фамилию или четыре последние цифры номера социального страхования. Но из-за ошибки программного обеспечения сервер прописывал в HTML-коде страниц полные номера SSN — и отправлял клиенту.

Конкретный баг в CMS не называется, но говорится, что он известен уже более 12 лет.

Перед публикацией информации газета дала время школьному департаменту исправить уязвимость, а потом опубликовала информацию. В ответ школьный департамент обвинил журналиста и газету в разглашении конфиденциальных данных. В официальном пресс-релизе заявляется, что «хакер взял записи по крайней мере трёх педагогов, расшифровал исходный код HTML и просмотрел номер социального страхования (SSN) этих конкретных педагогов».



В реальности газета нашла девятизначные номера в коде HTML, в открытом виде — и проверила по сторонним базам, что эти цифры действительно являются номерами SSN трёх действующих сотрудников. Консультацию и помощь в проверке предоставил Шаджи Хан, профессор по информационной безопасности университета Миссури-Сент-Луиса.

Дальше ситуация начала накаляться. Педагогов неожиданно поддержал губернатор Майкл Парсон, который поручил полицейскому департаменту завести уголовное дело и расследовать «это преступление против учителей нашего штата Миссури». Якобы журналист взломал сайт департамента образования и разгласил приватные данные. Власти также начали расследование действий профессора Хана, к нему домой пришёл полицейский патруль для опроса.

Специалисты по информационной безопасности в один голос говорят, что просмотр открытого кода HTML нельзя считать преступлением. Но профессор уже нанял адвоката для возможной защиты в суде, потому что неизвестно, чем закончится эта история…


Что касается новой функции Chrome, там речь идёт об «исправлении бага» в системе URLBlocklist. Это списки разрешённых или запрещённых URL, которые прописываются в корпоративных политиках Chrome Enterprise и действуют для браузеров Chrome и устройств под операционной системой ChromeOS (такие дешёвые ноутбуки часто устанавливают в школах).

Школьники обходят блокировку копированием в онлайновый редактор HTML-кода страницы из поисковой выдачи Google. На видео, которое показал разработчикам Chrome учитель одной из школ Иллинойса, внешний сайт открывается внутри стороннего редактора htmledit.squarefree.com, куда загружается исходный код страницы с поисковой выдачей Google.

Кроме запуска посторонних игр, школьники якобы используют просмотр HTML-кода для читерства, чтобы узнать правильные ответы во время экзамена, если система запроектирована некорректно.

Конечно, апдейт не позволит самим сайтам скрывать свой код. Но есть опасения, что всё к этому идёт.

HTML — это базовый язык для веб-разработки. Неотъемлемое свойство веба — прозрачность. По умолчанию страницы все статичные страницы на сервере публично доступны и открыты для просмотра. В этом и суть публично доступной информации. Так было изначально задумано разработчиками WWW.

Однако некоторые владельцы сайтов думают, что им принадлежит право собственности на HTML-код — и можно запретить другим людям смотреть на него. В принципе, логика понятная. Но в этом случае нужно выполнять код на сервере — и отправлять в браузер только результат. А если код отправлен в браузер пользователя, сохранён на его компьютере (в кеше) и проиндексирован поисковыми системами, то как-то странно угрожать уголовным преследованием за просмотр этой информации.

Комментарии (165)


  1. acklamterrace
    16.11.2021 01:03
    +70

    Забавно, что теперь всякую мерзость нам втюхивают не под предлогом защиты детей, а для защиты ОТ детей.


    1. edogs
      16.11.2021 01:29
      +11

      Помнится во время очередной волны педоистерии попалась на глаза статья про miracle village, деревушка спецом для секс преступников, т.к. там намеренно не было детей и детских учреждений, что бы преступники не совершили чего плохого (или как преподносится — что бы гуляли свободно не думая где тут очередные 100 футов до школы).
      Первая мысль была — да это ж рай, не надо думать что там очередной ребенок выдумает из-за чего тебя посадят. Чуть позже подотпустило, но эффект запомнился.


      1. StjarnornasFred
        16.11.2021 01:55
        +3

        Так это хорошо или плохо? По сути - обычная заимка для вольноссыльных или даже колония-поселение максимально свободного режима. В принципе, обоюдовыгодно (и общество не пострадает от потенциально опасных лиц, и они не пострадают от недобросовестных членов общества).


        1. CodARM
          16.11.2021 19:15
          +2

          Это плохо, очень плохо. По крайней мере если думать о этой деревне более 5-ти минут. Как пример тот же вопрос, если у двух поселенцев появился ребенок, то что делать?


          1. vvzvlad
            16.11.2021 20:27

            Уехать из деревни?


            1. Sly_tom_cat
              16.11.2021 22:06
              +2

              ... в обычную тюрьму?


              1. vvzvlad
                16.11.2021 22:08

                А в каком контексте эта деревня всплыла вообще? В смысле, она добровольная или принудительная?
                Если добровольная — то просто уехать.
                Если принудительная — то одним из условий логично будет являться неразмножение.


                1. Sly_tom_cat
                  16.11.2021 22:40

                  Деревня для осужденных как бы не может считаться совсем свободной...

                  Но и размножаться там запретить навряд-ли смогут.... разве что именно тем методом про который я сказал - размножились - перемещаемся в обычную тюрьму где есть возможность содержать детей.


                  1. pda0
                    17.11.2021 01:55
                    +1

                    Ещё можно отдельно создавать такие деревни "для мальчиков" и "для девочек". И вроде бы такие поселения для условно досрочно освобождённых. А в этом случае могут в комплекте с освобождением идти дополнительные ограничения, вроде необходимости жить в определённом месте (да, получается не полное освобождение). Но тут уже по желанию - не хочешь - сиди свои полные 40 лет, потом на свободу с чистой совестью...


                1. vikarti
                  18.11.2021 18:37

                  Судя по статье про это miracle village — добровольно и не факт что пустят еще
                  Also according to the organization's website, they do not accept violent offenders or serial offenders, nor minister to pedophiles, which they define as "someone who can only become sexually aroused by a child".[9] It receives 10–20 applications a week, but only accepts 1 in 20;[10][4] residents participate in the selection process.[11]


  1. dartraiden
    16.11.2021 01:22
    -9

    Расширения для просмотра исходного кода никто не отменяет же. Типа Quick source viewer. Причём, они гораздо удобнее, т.к. подсвечивают синтаксис и красиво форматируют код.

    Таким образом все останутся довольны: пользователи не лишаются возможности смотреть код, а школьнику расширение не установить, если грамотно настроены политики.


    1. ilialin
      16.11.2021 13:02
      +35

      Написать нормально сайт они не могут, но грамотно настроить политики — это всегда пожалуйста.


      1. nochkin
        17.11.2021 19:48
        +3

        Надо идти дальше. Дать школьникам компьютеры (они же нужны для обучения), но запретить их включать (там же интернет и маньяки).


  1. Inobelar
    16.11.2021 01:44
    +7

    Всё-ещё можно сохранить страницу и открыть в редакторе


    1. CaptainFlint
      16.11.2021 02:49
      +27

      В мире современных реактов-ангуляров есть немаленький шанс получить страницу-заглушку с единственным существенным тегом вида <div id="app"/>.


      1. yarkov
        16.11.2021 10:04
        +15

        Вы бы хоть попробовали сохранить прежде чем писать.


        1. MatiasGray
          16.11.2021 13:19
          +6

          Часто достаю из кода картинки/видео, и в последнее время всё чаще натыкаюсь на такую фигню. Не для всей странички, а для медиа. Благо плагины-ленивки эти штуки раскусывают.


          1. Mohave
            29.11.2021 08:54

            А можно список? А то немного раздражает искать URL в html, хотя часто там можно найти больший размер вместо показываемого.


            1. MatiasGray
              29.11.2021 14:22

              Решение проблемы поиска ссылки в коде страницы очень простое:

              инструкция с картинками

              Заходите в режим живого редактирования разметки (пкм-исследовать элемент в хроме или пкм-исследовать в лисе, или F12). Нажимаете вот эту кнопочку.

              Наводите курсор на нужный кусок страницы, щёлкаете.

              В html коде курсор переходит на тот элемент, на который вы жмякнули. Как правило, ссылка на нужную штуку будет лежать прямо там, или недалеко.

              А для спрятанного видео у меня несколько наудачу скачанных расширений. В основном я пользуюсь Offmp4 (у которого в описании сказано "Просто самый быстрый и простой способ скачать видео и аудио с YouTube, VK, Twitter, Facebook и многое другое").

              Для картинок есть Image saver, который обещает "Save any images in page directly from context menu, this includes svg elements, css background images and direct child images. Now supports creating dataurls for any image or svg as well."

              Я пользуюсь лисой, поэтому ссылки на лисовый магазн расширений. Мне кажется эти аддоны с таким же названием есть и для хрома. Ну или похожие)


        1. CaptainFlint
          16.11.2021 16:07
          +8

          Похоже, не будучи в веб-деве, я упустил момент, когда браузеры стали засовывать в сохраняемый файл текущее состояние страницы. Спасибо за указание на это.

          Теперь придётся иметь в виду, что если нужна исходная версия загруженных данных, то надо лезть через wget.


          1. iROOT
            16.11.2021 17:22
            +1

            Не обязательно, нужно просто в сетевых запросах сохранить первоначальный ответ запроса который загружает HTML.


            1. CaptainFlint
              16.11.2021 18:18
              +2

              Да, тоже вариант. Хотя переключиться в терминал и запустить короткую команду, мне кажется, будет быстрее, чем открыть тормозные девтулзы, перезагрузить страницу, протыкать мышкой вкладку->запрос->ответ, выделить код, скопировать в текстовик, сохранить.


              1. tyomitch
                17.11.2021 07:27

                Это если всякие хитрые куки для запроса не нужны.


                1. CaptainFlint
                  17.11.2021 16:26

                  В такой ситуации — да, согласен.


          1. jooher
            02.12.2021 17:22

            Ctrl+U вам в помощь (в хроме). Показывает исходный HTML страницы, а не текущее состояние DOM. Или можно вручную в адресной строке писать view-source:https://...


            1. CaptainFlint
              02.12.2021 17:30

              Эта ветка велась в контексте новости из статьи, что прямой просмотр кода может быть запрещён.


        1. nochkin
          17.11.2021 19:50

          Только что попробовал сайт на React сохранить в html. Там как раз только этот <div> и есть.

          Попробовал в последнем Хроме. Я что-то не так сделал или не понял?


          1. CaptainFlint
            18.11.2021 16:38
            +2

            Похоже, зависит от того, какой тип выбрать при сохранении. Хрома у меня нет, а в Вивальди если я выбираю Webpage, Complete, то дампится текущий рендер; если Webpage, HTML Only — то сырой исходник.


            1. nochkin
              18.11.2021 17:48

              Ага, верно. Именно так и есть. Я до этого сделал только "Webpage, HTML only".


  1. wyfinger
    16.11.2021 01:55
    +32

    В истории про Джоша Рено и сайте департамента начального и среднего образования штата Миссури интересно а не попали ли эти поисковые выдачи с номерами социального страхований в кеш гугла?

    Так-то с гуглом было бы сильно сложнее судиться.


  1. venanen
    16.11.2021 02:13
    -46

    С одной стороны, действительно, если мы считаем HTML языком программирования, а верстку - программным кодом, то тогда с одной стороны запрет его просмотра вполне имеет резон, ведь сейчас де-факто любая верстка open-sourse, бери, копируй. Также мне сходу на ум не приходит ни одного сценария, когда кому-то в рамках стандартного использования сайта нужен просмотр кода в проде (читай на сайте). Зато меньше фишинговых сайтов, которые тупо копируют верстку станет и электронный дневник уже так легко не подделать :)
    С другой, даже если взвесить все за и против, и решиться на такой шаг - то смысла в нем нет. То, что хром закроет доступ к коду, значит лишь то, что хром закроет доступ к коду, а получить его можно будет все равно. Ведь это клиентская часть сервиса, которую через сниффер трафика можно будет получить. Да и школьникам win+r -> iexplorer.exe ничего не мешает ввести.


    1. powerman
      16.11.2021 02:26
      +48

      У Вас в профиле написано "Fronetend Developer" (орфография сохранена :)), уж Вы-то должны знать, что HTML - это не язык программирования, а язык разметки.

      Также мне сходу на ум не приходит ни одного сценария, когда кому-то в рамках стандартного использования сайта нужен просмотр кода в проде (читай на сайте).

      Я лично периодически этим пользуюсь для обхода разных багов на так называемом проде разных сайтов. Не часто, но случается. Иногда - для ручного составления правил блокировки рекламы. Временами - в процессе написания собственных UserJS или UserCSS для улучшения юзабилити или дизайна сайта. Всё это - вполне стандартное использование сайтов для продвинутого юзера/разработчика.

      P.S. Кстати, я даже не фронтендер и никогда им не был (лет 20 назад недолго считал себя условным фулстеком на уровне "могу сделать админку на jQuery" если очень-очень попросят).


      1. venanen
        16.11.2021 02:46
        -8

        Ну так я и написал, если мы считаем.

        От багов я тоже часто лезу в код, но скажем прямо, это не стандартный кейс, а проблема сайта - ведь если у нас не работает программа, мы же не лезем ее чинить. Опять же, сейчас прошло время сайтов, пререндеренных в php, а сам код фронтенда - сейчас уже полноценный проект со своей, часто обширной, логикой, а не 5 файлов, как раньше. И желание эту логику спрятать - вполне естественно (ведь все остальные non-open sourсе прячут свой код поглубже). Поэтому рассуждения в эту сторону имеют право быть.


        1. powerman
          16.11.2021 02:51
          +29

          А в чём смысл рассуждений, которые начинаются фразой "если мы считаем козу баяном, то …"?


          1. Graf54r
            16.11.2021 10:12
            +3

            У нас же свободное общество и рассуждения могут быть любыми, в рамках закона естественно.

            А смысл от рассуждений это перебор вариантов, в том числе и глупых на первый взгляд.


            1. TrashboxBobylev
              16.11.2021 13:54
              +3

              Это не Ace Attorney, где тупейший вариант приводит к истине.


          1. MTyrz
            16.11.2021 15:06

            Хотя бы в том, что законодательные прецеденты создаются для всех граждан, а не для социальной группы фронтендеров. И из тех граждан (к которым вполне относятся судьи и прочие губернаторы) языком программирования HTML назовет кабы не большинство.


            1. powerman
              16.11.2021 16:43
              +7

              Для социальной группы "судьи и губернаторы" предусмотрен механизм привлечения экспертов, задача которых как раз в том, чтобы компенсировать невежество данной социальной группы в нужных областях. Поощрять невежество в законодательных прецедентах чревато крупными неприятностями в (ближайшем) будущем.


        1. invasy
          16.11.2021 15:43
          +8

          если у нас не работает программа, мы же не лезем ее чинить
          Приехали. Free and Open Source software так и работает. Если есть компетенции, то почему бы патч не отправить.


        1. LynXzp
          16.11.2021 16:50
          +4

          если у нас не работает программа, мы же не лезем ее чинить
          Over 9000 патчей, чинящих баги, можно найти на множетсво неподдерживаемых игр, а иногда и ПО.
          ru.wikipedia.org/wiki/Хакер
          … Эксперт в компьютерной безопасности, ищущий слабые места в системе, который либо их исправляет, либо использует в своих корыстных целях.(Крэкер)


      1. tempick
        16.11.2021 04:44
        +1

        Я лично периодически этим пользуюсь для обхода разных багов на так называемом проде разных сайтов.
        Также я использую иногда, чтобы просто посмотреть вёрстку и стили для обучения. Да, часто там могут быть не самые лучшие решения, но часто это всё же лучше, чем городить что-то своё. Т.к. я больше бэкендер, и с html-версткой знаком не очень сильно, то часто есть необходимость что-то подглядеть у других


      1. vvzvlad
        16.11.2021 20:26

        уж Вы-то должны знать, что HTML — это не язык программирования, а язык разметки.

        А где граница между языком разметки и языком программирования? В декларативности/императивности? Так нет, куча декларативных языков.


        1. powerman
          16.11.2021 22:30
          +2

          Для абсолютного большинства языков - это полнота по Тьюрингу. Есть пара известных исключений (напр. SQL), которые принято называть языком программирования, хотя, на мой взгляд, это скорее исторически сложившаяся практика нежели корректное название. Подробнее можно почитать в https://en.wikipedia.org/wiki/Programming_language#Definitions


          1. garwall
            18.11.2021 12:30

            Но можно отметить, что на HTML5+CSS3 можно реализовать rule 101, и следовательно -- они тьюринг-полны


            1. powerman
              18.11.2021 16:14
              +2

              А уж в отношении HTML+JS вообще нет никаких вопросов… только сам HTML от этого языком программирования не становится.


          1. igormu
            18.11.2021 14:04

            Рекурсивные SQL-запросы тоже Тьюринг-полны.


            1. powerman
              18.11.2021 16:15

              Речь шла про SQL-92, а рекурсию добавили позднее.


    1. gremlin244
      16.11.2021 03:28
      +8

      Если уже за просмотр полностью открытого HTML кода есть желание закрыть, то уж за перехват как бы «закрытого» кода сниффером посадят 100%.


    1. Vilgelm
      16.11.2021 03:37
      +17

      когда кому-то в рамках стандартного использования сайта нужен просмотр кода в проде

      Постоянно пользуюсь чтобы убрать какой-нибудь очередной надоедливый баннер на полэкрана.


      1. jok40
        16.11.2021 15:54

        Ublock Origin позволяет это сделать буквально в три клика мышки — без просмотра html-кода.


        1. CaptainFlint
          16.11.2021 16:04
          +3

          Если у баннера айдишник вида «irk85dM», то эти три клика помогут лишь одноразово, до следующего посещения сайта.


          1. jok40
            16.11.2021 16:22
            +3

            А просмотр html-кода позволит ибавиться от такого баннера? Если да, то можно чуть подробностей — каким образом? (вопрос без подвоха)


            1. LynXzp
              16.11.2021 16:56
              +5

              Например можно увидеть что родительский элемент этого банера всегда имеет уникальный селектор, или что этот элемент идет по счету четвертым всегда, или что у него есть определенный текст внутри. Я не фронтендер, но почти всегда за пару минут любой баннер, или не нужный элемент («похожие публикации»), уходит.


            1. vesper-bot
              16.11.2021 16:57
              +1

              Там помимо кода есть теги script, которые довольно часто содержат один статический entry point для всей рекламы, который можно заблокировать, скормив его урл или его часть ublock'у. Всё-таки полностью динамическую верстку создавать для обхода ублока довольно нерентабельно.


            1. druss
              16.11.2021 17:41
              +1

              можно блокировать по xpath или по css selector


            1. CaptainFlint
              16.11.2021 18:14
              +3

              В общем-то, выше уже ответили. Гарантированного решения, конечно, это может не дать, но во многих случаях по коду можно найти более универсальный способ блокировки, чем тот, что uBlock предлагает при использовании пипетки.


    1. trokhymchuk
      16.11.2021 14:37
      +8

      если мы считаем HTML языком программирования

      А мы умные, потому так делать не будем.

      то тогда с одной стороны запрет его просмотра вполне имеет резон

      Нет, не имеет. Если запретить смотреть на коррупцию, она не пропадёт.

      сейчас де-факто любая верстка open-sourse

      Вы и понятия не имеете, что термин open source определяется OSI, а смысл не только в открытости кода, не так ли?

      бери, копируй

      Вообще нет.

      С другой, даже если взвесить все за и против, и решиться на такой шаг - то смысла в нем нет. То, что хром закроет доступ к коду, значит лишь то, что хром закроет доступ к коду, а получить его можно будет все равно.

      Да, но прецедент всё равно плохой.

      Да и школьникам win+r -> iexplorer.exe ничего не мешает ввести

      И получить неработающий сайт?


    1. cleverate
      16.11.2021 19:33
      +1

      Для тех, у кого, о боже, могут украсть их заветный html и css, который никто не должен даже пальцем тронуть, теперь существует flutter, т.к. это буквально бинарник в браузере, который рисует в canvas (возрождаем flash?)


  1. gban
    16.11.2021 02:16
    +43

    В ближайшем черном будущем: "...Используя запрещенную програму wget получил сведения..."


    1. powerman
      16.11.2021 02:29
      +3

      Ха! Это будущее уже давно наступило: https://habr.com/ru/company/flant/blog/543736/


    1. SerjV
      16.11.2021 02:53
      +9

      Точнее, "используя вредоносную программу для ЭВМ "вгет". Это чтобы ст.273 УК РФ получилось...


      1. salnicoff
        16.11.2021 08:31
        +2

        Не так. Лучше: «...используя программу „вгет“ в качестве вредоносной». Т. е. тщательно подошел к планированию и совершению преступления, использовал предметы, широко распространенные в гражданском обороте. :-(


        1. SerjV
          16.11.2021 11:53

          Не, так не подходит под диспозицию ст.273 УК РФ - там требуется, чтобы программа была вредоносной. Но формулировка вредоносности достаточно "резиновая".

          Ст.273 УК РФ относится к т.н.з. статьям с формальным составом преступления - т.е. цель использования, мотивы и последствия/ущерб не требуются, но доктрина предполагает, что применение статей УК с формальным составом допускается только в случая прямого умысла правонарушителя. Собственно, именно поэтому если бы ст.273 УК РФ применялась "как написана", а не избирательно - половина Лаборатории Касперского уже давно должна сидеть.


    1. habrabkin
      16.11.2021 09:15
      +5

      Чуть позже: "… используя запрещенный Интернет..."


      1. SerjV
        16.11.2021 14:14
        +4

        Просто "...используя иностранную сеть Интернет" - Интернет и так уже в кучу статей записали как отягчающее обстоятельство.


    1. SquareRootOfZero
      17.11.2021 09:26
      +4

      В конце 90-х или начале 00-х, помнится, была новость: некая контора выпустила продукт с защитой от чего-то, реализованной следующим образом: когда пользователь вставляет CD-ROM, запускается autorun и, не спрашивая, устанавливает защиту (ну, вы знаете, Windows 95, никиких там UAC и этого всего). Не помню, реально они судились с неким чуваком, написавшем где-то, что можно обойти эту «защиту», зажав на клавиатуре кнопку, отключающую autorun, или только собирались судиться. Когда им указали, что это не какое-то там «хакерство», а всего лишь использование штатных возможностей компьютера путем нажатия кнопки на клавиатуре, они обещали подготовить иск к производителям клавиатур: типа, чо они делают их с хакерскими кнопками, позволяющими обходить защиту. Подробностей не помню, возможно, и фейк, правда.


      1. vikarti
        18.11.2021 18:41

        Что-то вспоминается -:).
        Но — а почему к производителям клавиатур?
        Надо к Microsoft, что они обрабатыват нажатие на хакерские кнопки (а еще сделали опцию для отключения autorun в принципе)


      1. nibb13
        18.11.2021 19:05

        ЕМНИП, Sony была замечена в подобном скандале.


  1. Wesha
    16.11.2021 02:33
    -20

    Ви так волнуетесь, как будто форкруть лису афигеть как сложно.


    1. Ogra
      16.11.2021 13:18
      +24

      Да, форкнуть лису офигеть как сложно.

      Если не согласны - форкните и поподдерживайте её хотя бы полгодика.


      1. LynXzp
        16.11.2021 17:03

        На ChromeOS причем. (Для тех кто статью не читал, запрет касается этих девайсов)


      1. Wesha
        16.11.2021 23:55
        -3

        Ахренительное умнение читать комментарии: сам за автора додумал, сам себя опроверг.

        Пальцем покажите, где я что-то писал про "поддержку"?


        1. Ogra
          17.11.2021 07:52
          +9

          - Товарищ прапорщик, а можно телевизор посмотреть? - Можно! Только не включайте!

          Форк без поддержки и развития никому не нужен. "Форкнуть лису" так, чтобы это кому-то было нужно - офигеть как сложно.


          1. Wesha
            18.11.2021 01:19

            Кончайте уже двигать ворота.

            Сначало было "ой, гипс снимают, клиент уезжает браузер запретит нам просматривать HTML-код". Потом стало "ой, если форкнуть лису, то не будет поддержки" (кстати, товарищ Торвальдс чтой-то этим вопросом не задавался). Потом стало "ой, если форкнуть лису, то она никому не будет нужна" (LibreWolf, WaterFox, Tor Browser и ещё с десяток форков смотрят на Вас с недоумением). Астанавитесь уже!


            1. Devoter
              20.11.2021 03:43

              Большинство этих форков существует только за счет того, что постоянно мерджат себе изменения из апстрима. Не будет развития апстрима - не будет и их развития со всеми вытекающими.


              1. Wesha
                20.11.2021 05:20

                Кончайте. Двигать. Ворота.

                Пальцем покажите, где в изначальном комментарии кто-то сказал про "изменения", "поддержку" и проч.


                1. Devoter
                  20.11.2021 13:32
                  +2

                  Вам уже выше иносказательно посредством анекдота объяснили, что форк без поддержки не имеет смысла, а в комментарии выше я попытался объяснить - почему. Если для вас вывод неочевиден, то ничем не могу вам помочь.


                  1. Wesha
                    29.11.2021 09:48

                    ничем не могу вам помочь

                    Вы так говорите, как будто я Вас просил мне помогать.


    1. nibb13
      17.11.2021 17:35

      Простите за оффтоп, не удержался.

      А лису вы перед форком спросили?


  1. zorn-v
    16.11.2021 06:03
    +11

    где школьники таким способом обходят блокировку и фильтры

    А разве не должны за это гнать в шею админов, если они через html блокировки и фильтры делают ?


    1. Reformat
      16.11.2021 06:40
      +26

      Кажется настоящие злоумышленики в этот момент покатываются со смеху и потирают руки в предвкушении нового поколения приложений со "скрытыми" данными в HTML...


      1. zorn-v
        16.11.2021 11:54
        +2

        Вот и выросло поколение, которое считает изменение HTML взломом )))


        1. AlexJameson
          16.11.2021 12:15
          -1

          Это поколение не выросло, а состарилось


          1. zorn-v
            16.11.2021 12:27
            +3

            Эм, назовите мне исследователя по безопасности, который эту дичь как vulnerability примет ?

            Его запинают "старички".

            У гугла политика и прочее, оно не всегда со здравым смыслом контачит...


            1. ksbes
              16.11.2021 12:36
              +1

              Могу назвать троих, которые буквально заявляли подобное - но это будет разглашением личной информации. Правда это не столько исследователи, сколько управленцы и "специалисты".

              Вообще поражает тотальное незнание матчасти (и нежелание её знать) у "специалистов" и "аналитиков" по информационной безопасности. Как, блин, плохой автомеханик, который разучил ритуалы кручения гаек, но несёт полную дичь по физике процессов в моторе. Так и эти говорят про "окна и поверхности опасности", но просишь дать оценку риска в потерях $$$ в месяц - смотрят на меня гигантскими непонимающими глазами как на марсианина. А начинаешь спрашивать об уровнях OSI, TCP/IP (в контексте: где какие фильтры/защиты нужны), так вообще теряют дар членораздельной речи.


            1. AlexJameson
              16.11.2021 13:25
              +4

              Я скорее про тех, кто за счет своей выслуги лет уже принимает не vulnerabilities, а решения о том, что ими является, а что нет.


  1. kmeaw
    16.11.2021 08:15
    +1

    А чем плоха ситуация, когда пользователя ограничивают в использовании компьютера, который ему не принадлежит? Чем блокировка view-source: принципиально отличается от любых других блокировок (например через групповые политики в Windows)?


    1. Druj
      16.11.2021 08:57
      +28

      Тем что это прецедент который может лечь в основу неприятной цепочки:
      1. Дети читерят, а давайте дадим возможность закрыть просмотр исходного кода.
      2. Ой, эта фича такая популярная, давайте сделаем просмотр закрытым по умолчанию и вынесем его включение в настройки.
      3. Ой, обычные пользователи его не включают, давайте вообще в about:config
      4. Ой, оказывается об этой фиче знают только разработчики. Давайте же накатим DRM.

      66. На этом шаге сайты отдаются в виде подписанных бинарников, пользователи рады скорости, бизнес рад тому что больше не палит код написанный разработчиками, гугл счастлив что его зонды/рекламу больше не вырезать.


      1. tyomitch
        16.11.2021 09:44
        -14

        Видеоигры уже прошли весь этот путь. И что?


        1. Druj
          16.11.2021 10:08
          +16

          И всё, мысль закончена. А мнения пользователей о современном геймдеве можете найти под любой соответствующей статьей, они довольно однозначны.


          1. tyomitch
            16.11.2021 10:49
            -16

            Мнения халявщиков о чём угодно можно найти под любой статьёй, вы правы.
            «Платить не хочу, рекламу не хочу, зонды не хочу, ублажайте меня просто так.»


            1. vassabi
              16.11.2021 11:32
              +7

              о, не думал что встречу тут хотящего зондов!

              PS: то что вы заплатите денег - не значит, что у вам их не постараются всунутью Только исходники еще как-то могут обеспечить вам знание - есть они там или нет...


            1. Druj
              16.11.2021 11:39
              +6

              Зачем вы приписываете мне придуманную вами позицию и о каких халявщиках идёт речь? Если кто-то заявил что товары должны быть бесплатными то он не прав, но таких я тут не видел. Или под халявщиками вы подразумеваете недовольных модной нынче политикой «жри что дают или голодай»? Если так, то вам стоит исправить последнюю строку

              Платить хочу, платную возможность отключить рекламу хочу, зонды не хочу, ублажите меня за мои деньги а не кормите дерьмом


              1. PereslavlFoto
                16.11.2021 15:31

                Цифровые копии товаров, созданные клиентом, должны быть бесплатными.


            1. fpir
              16.11.2021 11:41
              +18

              Пока что наоборот, халявщики стоят в сторонке и посмеиваются над добросовестными пользователями. А те бьются в истерике–"я заплатил приличные деньги, а мне подсовывают поделье, которое ещё и тормозит безбожно из за DRM". А если конкретно про гейм дев, то они еще всхлипывают про лутбоксы и pay2win. Халявщиков эти проблемы не трогают, они скачали с торрента, у них ничё не тормозит, модеры им причесали баги и разблокировали бонусы.


            1. Cheater
              16.11.2021 15:02
              +4

              Купил лицензионную третью соньку, все игры покупаю в сторе. Если вы не в курсе, на PS3 в меню игр висит неудаляемая предустановленная игра SingStar. На этом диалог про "халявщики не хотят рекламу" думаю можно завершить.


            1. Alozar
              16.11.2021 18:01
              +5

              1. Недавно rockstar games launcher навернулся, и те кто честно купил игры, не могли их запустить.
              2. Из-за сраного starforce я не могу поиграть в часть честно купленных игр, т.к. либо диск не читается из-за царапины, либо привод не воспринимается

              А что «халявщики»… они в этой ситуации спокойно играют, не задумываясь о проблемах.


            1. nsinreal
              17.11.2021 00:03
              +1

              Это в общем-то всегда так. Из-за того, что у вас есть какие-то там проблемы, всем остальным нужно ограничить свободу. Очень милая позиция.


        1. K0styan
          16.11.2021 12:04
          +2

          Не только видеоигры. Стандарт для iOS, например - более того, там ещё и контроль над поведением бинарников со стороны владельца платформы есть. И все без иронии довольны.


          1. tmin10
            16.11.2021 13:23
            +2

            Опять же не все, есть же движение за установку сторонних магазинов на iOS.


      1. unsignedchar
        16.11.2021 10:38
        +5

        59

        Повсеместное HTTPS (та же цифровая подпись, вид сбоку), приколоченные сертификаты, прослушать траффик низзя, изменить низзя.

        Вы находитесь здесь, если что.


        1. tmin10
          16.11.2021 13:24

          Локально всё сделать можно, корпоративно тоже (установив корневой сертификат компании на все компы.)


        1. PereslavlFoto
          16.11.2021 15:36
          +1

          Не вполне понимая вашу реплику, прошу уточнить: почему я обязан перевести сайт на HTTPS и приделать к нему сертификат?

          Я несколько раз искал людей, которые хотели бы принудить меня к этому. Однако не нашёл. Более того — людям вообще неприятен вопрос о том, какой программой получать сертификат под windows XP и какой командой подключить сертификат к веб-серверу IIS 5.1.


          1. unsignedchar
            16.11.2021 15:58
            +4

            почему я обязан перевести сайт на HTTPS и приделать к нему сертификат?

            Если я правильно понимаю общую тенденцию, стандартный броузер в Windows 14 ваш сайт не откроет. А firefox, собранный старинным компилятором из старинных исходников, не откроет современных сайтов на html6.


            1. PereslavlFoto
              16.11.2021 16:16
              +2

              Ага, то есть мейнстрим к тому движется, чтобы отказаться от HTTP. Но ведь здесь получается коллизия. Либо надо создавать инструменты, которые позволят всё наследие переводить под HTTPS. Либо надо отказываться от всего наследия.

              С одной стороны, отказываться от наследия всё-таки дорого, потому что оно большое и полезное.

              С другой стороны, создавать инструменты, которые позволят делать «let's encrypt автоматизацию» под windows xp, никто не спешит.

              Тут возникает вопрос, зачем же поддерживать старые решения. А вот зачем. Старые решения давно уже построены, они не требуют заботы. Чтобы их переделать, нужен расход. Чтобы покрыть расход, нужен доход. А дохода от старых решений нету, они не ради дохода были сделаны.

              Проще говоря, старые решения работают сами, а для их обновления нужен расход!


              1. WraithOW
                16.11.2021 16:42
                -2

                они не требуют заботы

                А дыры в этих решениях, надо полагать, сами себя божьей милостью чинят.


                1. PereslavlFoto
                  16.11.2021 16:44
                  +1

                  Там нет дыр. Там есть сайт, который не получает от клиента никаких параметров и ничего не записывает.


                  1. unsignedchar
                    16.11.2021 18:59
                    +1

                    Этот сайт не генерирует (и не будет генерировать) никаких финансовых потоков — это и есть фатальный недостаток старинных решений.


                    1. PereslavlFoto
                      16.11.2021 19:01
                      -1

                      Я совершенно согласен с вашим словом. Я об этом и талдычу. И вот по этой причине у такого сайта нет денег для перехода на HTTPS.


                      1. unsignedchar
                        16.11.2021 19:05
                        +1

                        у такого сайта нет денег для перехода на HTTPS


                        Но letsencrypt оно же бесплатное…


                      1. PereslavlFoto
                        16.11.2021 19:06

                        Ох. Извините, я вам в личном сообщении напишу.


                      1. Tatikoma
                        16.11.2021 20:54

                        Кушать вкусный стейк так же бесплатно, но за его приготовление - я предпочитаю заплатить профессионалам )


                      1. tmin10
                        16.11.2021 21:19
                        +2

                        Это дополнительная инфраструктура, поддержка, настройка. Может быть там сайт на статике вообще был, почти ничего не ел, а тут надо и вебсервер менять на актуальный и настраивать получение сертификатов по расписанию и т.д.
                        На моём шаред вебхостинге сертификаты, что встроены в cPanel платные, а бесплатные не очень просто настроить (точно не пара кликов).


                      1. unsignedchar
                        17.11.2021 13:30
                        +1

                        Эксплуатировать IIS 5 это тоже не бесплатно. Где-то находится старый сервер, который жрёт энергию, занимает место в стойке, и в любой момент может развалиться просто от старости.
                        За домен кто-то платит.
                        За подключение к интернету.
                        Да, возможно, его перетащили в виртуальную машину. Так это ведь тоже не бесплатно.


                      1. tmin10
                        17.11.2021 13:34

                        Верно, поэтому и написал, что «почти ничего не ел».
                        А так, дополнительные расходы чтобы что? Чтобы хакеры не подменили страничку моего блога конечным пользователям через MITM атаку?


                      1. unsignedchar
                        17.11.2021 14:10
                        +2

                        Вы, как владелец блога, имеете право хостить его хоть на gоofer'е внутри старой микроволновки ;)
                        Но если хочется, чтобы блог был доступен разным пользователям с разными терминалами, и чтобы в поисковой выдаче не проваливался — приходится соответствовать трендам.


                      1. Layan
                        17.11.2021 17:01
                        +4

                        Не только хакеры. Мобильные операторы, например, были не раз замечены в интеграции рекламы в сайты на HTTP. Так что, если вы хотите, чтобы ваш сайт содержал только вашу информацию — вам следует переходить на HTTPS.
                        Об этом писали в том числе и на Хабре.


                  1. DaemonGloom
                    17.11.2021 10:45
                    +4

                    Знаете, в чём проблема ваших суждений? Вы думаете, что статический сайт — безопасен.
                    Пример уязвимости RCE, которой хватает IIS 5.1 и не нужна динамика: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-4360. И она не одна такая. Ваш сайт может быть уже не совсем ваш. Как и ваш сервер.


                  1. WraithOW
                    17.11.2021 12:48
                    +2

                    IIS 5.1

                    Там нет дыр.

                    Спасибо, посмеялся в голос. Вам там одну уже накинули, держите еще две
                    CVE-2002-0150 — remote code execution
                    CVE-2003-0223 — XSS
                    И это мы только об IIS говорим. Что-то мне подсказывает, что если хорошенько постучаться по портам вашего сервера — найдется что-нибудь такое же несвежее.


              1. vesper-bot
                17.11.2021 09:51
                +4

                HTTPS в первую очередь предназначен для защиты от прослушки и модификации данных третьей стороной (не клиентом и не сервером), точнее, этим занимается TLS. А инструменты для внедрения TLS перед всякими там IIS5 есть, и довольно распространенные, под общим названием nginx-proxy proxy server.


              1. tyomitch
                17.11.2021 10:01
                +1

                То, что из популярных браузеров уже выпилили FTP, а из почтовиков NNTP — вас задевает так же сильно? А ведь кто-то продолжал(ет) держать старые сервера: месяц назад здесь постили, что даже Gopher-сервера не все вымерли, но для доступа к ним теперь приходится искать экзотический софт.


          1. tyomitch
            17.11.2021 09:48

            Лично мне на прошлой неделе понадобилось перевести сайт на HTTPS и приделать к нему сертификат, чтобы вставить изображение с него на хабр: хром теперь отказывается загружать по HTTP изображения для страниц, загруженных по HTTPS.

            К счастью, у меня не Windows XP и не IIS 5.1, так что апгрейд сайта был очень простым.


      1. vikarti
        16.11.2021 14:46

        1. Давайте уберем HTML из браузеров. Все равно все на WebAssembly.


        1. tyomitch
          17.11.2021 10:06

          Они не заменяют друг друга, а превосходно сочетаются вместе.


  1. Vitaly83vvp
    16.11.2021 08:47
    +8

    Итак, получается, что школьники гораздо больше понимают школьных админов и это плохо? Может, этим специалистам пройти курсы повышения квалификации? Или, на крайний случай, попросить этих самих школьников подтянуть их...

    Когда-то я занимался сайтом для тестирования. Озадачил момент, что правильный ответ можно найти на самой странице. Это как? Один запрос, который возвращает вопросы и ответы для тестирования и сохраняет в коде страницы, что ли?

    А что касается сайта штата Миссури, то это уже норма - государственные сайты не отличаются наличием защиты. И, если человек, прямо указал на некоторые проблемы, то за что его наказывать? Ведь, он мог просто тихо слить данные заинтересованным лицам и пополнить свой кошелёк.

    Одно дело, если используются сложные схемы обхода защиты, но другое, когда данные лежат в открытом доступе и их обнаружение - только дело времени. Правильнее наказывать тех, кто допустил такую ошибку, нет? Или сайт делали "по-знакомству", либо, решив сэкономить, передали студентам?


    1. ksbes
      16.11.2021 09:40
      +8

      Ну так "за-shit-а чести мундира" - явление интернациональное. Для чиновника важно, чтобы его проблемы оставались только его проблемами и открыто не обсуждались. А там аштээмэль-маштээмель ему не важно: заткнуть рот, причём максимально показательно, чтобы другим не повадно было.


      1. Vitaly83vvp
        16.11.2021 10:20

        Ну, хорошо, заткнут рот, дальше что? Никто не захочет уведомлять об ошибках. Будут появляться "сливы". Когда начнут копать, докопаются до этих бедолаг (разработчиков), которые за копейки или "за спасибо" сделали по-быстрому сайт.


        1. ksbes
          16.11.2021 10:56
          +5

          Ну да, а все чиновники будут в белом, да ещё и плюшки получат за "выявление" и "оперативное реагирование" (+деньги с распилов и откатов). В этом и смысл.

          Поэтому и не нравится людям работать с государством/корпорациями. Но с другой стороны: а с кем же тогда ещё работать?


    1. PereslavlFoto
      16.11.2021 15:38
      +2

      Если человек указал на проблемы, это означает опасность. Даже две опасности.

      1) Он недобросовестный и желает искать чужие проблемы.
      2) Он недобросовестный и сможет найти чужие проблемы.

      То и другое — небезопасное поведение для тех, у кого есть проблемы. Поэтому надо запретить и не пущать!!!!!!


      1. Vitaly83vvp
        16.11.2021 16:32
        +1

        Запретить человеков?

        Бывает так, что ошибки можно найти случайно. Ну, например, какой-то элемент неправильно отображается, из-за чего не видно содержимого. Открываем панель разработчика и... о-па!

        Если человек указал на проблемы, то возможно, что этот самый человек использует эту систему и не хочет, чтобы какие-либо его (или вообще) данные был в открытом доступе.

        А, вот, если человек не указал на ошибку, то тут две опасности:

        1. Ему плевать на систему.

        2. Он собирается использовать эту информацию в своих корыстных целях.


  1. General_Failure
    16.11.2021 09:05
    +3

    Вспомнилась байка с shit happens, где в школу пришли с районо устанавливать интырнет-фильтры на каждый компьютер. Самописные, местного разлива (студенты видимо писали), под винду. Только там во-первых фильтрация уже стояла на прокси-сервере, во-вторых учитель информатики на ученические компы тогда поставил линуксы, и та поделка если даже и ставилась под вайном, то работать конечно же совсем не могла.


  1. MagDen
    16.11.2021 09:14
    +7

    Закрыв просмотр кода они лишь усугубят проблему создав Иллюзию безопасности. Теперь те, кто считал допустимым хранить в коде "лёгкие" метаданные решат,что можно хранить и "тяжёлые" типа паролей. Ну а чё, доступ же закрыт, не?(нет)


  1. shyneko
    16.11.2021 09:31
    +12

    function login() {
      if ($("#password").val() === "1234") {
        location.replace("/secure.html");
      }
    }


    1. tyomitch
      16.11.2021 09:50
      +3

      В точности так они сайты и пишут: thedailywtf.com/articles/the_spider_of_doom


      1. Arcpool
        16.11.2021 22:14
        +1

        Я даже встречал вариант, в котором замена https://domain/login.cgi на https://domain/index.html давала полный доступ к контенту включая админку.


  1. MightyRavendark
    16.11.2021 11:00
    +1

    Переходим на WASM с рендером на канвасе - и все, исходный код сайта защищен от 99% любопытствующих. Трансляторов WAST в какие-либо вменяемые языки, вроде как, еще нет, а смотреть чистый WAST - ну такое.


    1. static_cast
      16.11.2021 11:23
      +3

      Пока этому мешает необходимость индексации в поисковых сервисах. Но условному Фейсбуку, у которого есть своя собственная экосистема, ничего не мешает что-нибудь подобное сделать, и я думаю, что рано или поздно сделают.


      1. vsb
        16.11.2021 13:13
        +1

        Веб-приложениям индексация в поисковых сервисах не нужна.

        А так - в теории можно распознавать текст. Хотя полагаю, что это сильно затратно по ресурсам и вряд ли будет применяться поисковиками.


  1. NikRag
    16.11.2021 12:44
    +4

    Удивительно, насколько в "большой" юрисдикции кладут на принцип "не умножай сущности без надобности".

    1. Если владелец данных (страницы) хочет их шифровать, то для этого есть двести способов, вплоть до флеша передачи итоговой векторной картинки страницы. Для скриптов на эту тему webassembly придумали, и как-то никто особо не обломался.

    2. Если данные доступны в свободном виде неограниченному кругу лиц, а тут именно так и было, то ответственен тот, кто допустил утечку. Как я понимаю, на этот счёт никаких движений никем не делается. Почему-то.

    Это - всё.

    По сути, человеку предъявляют за то, что он вообще умеет читать.


    1. Zalechi
      16.11.2021 14:21

      Видимо все придет к тому: нашел мину, неси в полицию оформлять, а потом труби в газеты..


      1. transcengopher
        16.11.2021 18:29
        +1

        нашел мину, неси в полицию оформлять, а потом труби в газеты

        Скорее так: нашёл мину, неси в полицию оформлять, а заодно пиши заявление, что сдаёшься правосудию по собственной инициативе, вину свою признаёшь и принимаешь, и просишь учесть этот факт при составлении приговора.


    1. PereslavlFoto
      16.11.2021 15:47
      +2

      Человеку предъявляют за то, что он умеет читать, однако не умеет читать только дозволенное.


    1. OldNileCrocodile
      16.11.2021 23:51

      Ему предъявляют за то, что он разгласил "уязвимость". Хоть и не говорят об этом в открытую (а говорят, что он хакер, взломал и слил данные учителей). Кроме того, с какого буя он потащился в ГАЗЕТУ, Карл, в ГАЗЕТУ. Это как если Ваш клиент вместо того, чтобы пожаловаться на баг и дыры в коде, побежит трепаться об этом на местное телевидение, соцсети, и в СМИ, дискредитируя Вашу компанию, и подстрекая других хакеров и народ посмотреть на Вашу уязвимость и поиграться с этим.


      1. mrsantak
        17.11.2021 00:24
        +2

        Не хотите чтобы кто-то в СМИ дискредитировал вашу компанию за ваши же косяки - не косячьте. А то ввели моду - виновным считать не того кто косяк допустил, а того кто "сор из избы вынес".


      1. powerman
        17.11.2021 01:54
        +2

        Вы считаете нормальным скрывать свой баг от своего же заказчика/начальника? (Извините, вопрос риторический, подразумевает ответ "нет".)

        В случае гос.учреждений вроде обсуждаемого, работающих на налоги, заказчиком являются налогоплательщики. ГАЗЕТА, Карл, это один из самых обычных способов донести до налогоплательщиков важную для них информацию. :)


      1. LevPos
        17.11.2021 04:56
        +2

        Так он журналист в этой газете. При этом:

        Перед публикацией информации газета дала время школьному департаменту исправить уязвимость, а потом опубликовала информацию.


      1. NikRag
        17.11.2021 11:13

        Из того, что прочитал я, там не было уязвимости, информация находилась в открытом виде. Карл, если угодно.

        Аналогии с "моим клиентом" вообще некорректны, взаимодействие с клиентами строится на взаимной выгоде, всегда. Не говоря о том, что приватная информация как правило защищена лицензионным соглашениям. Фразы типа "запрещается реверс-инжинерить код и данные" вам знакома?

        Т.е. снова умножение сущностей без этого самого.


  1. tmin10
    16.11.2021 13:16
    +1

    Это сделано в первую очередь для учебных заведений, где школьники таким способом обходят блокировку и фильтры.

    Если блокировку и фильтры можно обойти просмотром кода страницы, то может быть проблема в системах фильтрации, а не в функциях брайзера?


  1. Dmitriy_Volkov
    16.11.2021 14:05

    ИМХО машинный код также нельзя запрещать просматривать, запускать и даже публиковать найденные ошибки, либо обсуждать решения. Скажем не должно быть никаких отличий от книги.

    То есть, как в случае с книгой, нарушением должно быть лишь либо плагиат, либо незаконное завладение.

    Иначе имеем сужение прав пользователя да и просто глупости, как в данном случае а-ля в HTML не смотри, сообщения об ошибках и эксепшены не смотри, корки не смотри. И, не дай Бог, ни с кем не обсуждай


    1. SerjV
      16.11.2021 14:19

      ИМХО машинный код также нельзя запрещать просматривать, запускать и даже публиковать найденные ошибки, либо обсуждать решения. Скажем не должно быть никаких отличий от книги.

      Формально "программы для ЭВМ" защищаются как литературные произведения, что исходный код, что исполняемый.

      Иначе имеем сужение прав пользователя

      А у пользователей и так прав нет, к сожалению. Что сужать-то?.. Даже на книгу-то права есть только на ту пачку бумаги, на которой она напечатана....


  1. hungry_forester
    16.11.2021 14:42
    +1

    Адвокаты-то порезвятся на фоне всеобщей интеллектуальной импотенции... То, что журналист имел возможность (как и все остальные :)))) просмотреть персональные данные, не означает, что он имел право их разглашать.


    1. IlliaHai
      16.11.2021 16:28
      +2

      Так а он не разглашал данные. Он сообщил, что данные там есть.


      1. LevPos
        17.11.2021 04:43
        +1

        А это можно посчитать разглашением?

        В реальности газета нашла девятизначные номера в коде HTML, в открытом виде — и проверила по сторонним базам, что эти цифры действительно являются номерами SSN трёх действующих сотрудников. Консультацию и помощь в проверке предоставил Шаджи Хан, профессор по информационной безопасности университета Миссури-Сент-Луиса.

        ... Власти также начали расследование действий профессора Хана, к нему домой пришёл полицейский патруль для опроса.


  1. v1000
    16.11.2021 15:16
    +2

    Еще интересная тема с API. Потому что это тоже вроде-как общедоступная информация, но как тогда быть, если запросы отправляются не из приложения, а напрямую. В том числе и такие, которые на уровне приложения отправляться не могли, и поэтому на стороне сервера правильно не обрабатывались.


  1. LevOrdabesov
    16.11.2021 16:03
    +1

    В судебной системе Штатов, в отличие от других, мне известных, есть проблески независимости и адекватности. Другой вопрос, что:
    1. Прецедентное право, хотя и обеспечивает часть этой независимости (ценой адекватности, к сожалению), очень сложно как система;
    2. Граждане, из которых, в принципе, и состоит государственная система (см., например, habr.com/ru/post/290210), должно обладать мало того, что серьёзным уровнем политической и юридической (как минимум) грамотности, так ещё и большими материальными ресурсами (налоги) для поддержки этой системы в рабочем состоянии.

    «Государство – это мы». Однако общество, а именно крайнее его проявление – толпа, не вызывают оптимизма. Средний уровень любого общества всё ещё низок для стоящих перед обществом задач. А значит, в вопросе решения о распределении ресурсов толпа-"буриданов осёл" выберет, скорее всего, корпорации, дающие дешёвый, простой и яркий фастфуд без необходимости нести ответственность.


  1. Rosh1ck
    16.11.2021 18:00

    Школьники, конечно, молодцы, что используют смекалку и пробуют способы для обхода системы


  1. silinio
    16.11.2021 18:33
    +3

    школьная смекалка может помочь не светить почту/имя и на известных ИБ сайтах — rt-solar.ru/analytics/webinars/2431

    просто смотрим код:

    <script>
    el2359.onclick = function() { 
    toggleModal('modal-video');
    $('#modal-submit-event').val('Анализ кода и бинарных файлов для обеспечения ИБ государственных организаций и ведомств');
    $('#name-video').html('Анализ кода и бинарных файлов для обеспечения ИБ государственных организаций и ведомств');
    $('#video').attr('href', 'https://www.youtube.com/watch?v=hZ_dFFrIzYA&t=1406s');;
     };
    </script>
    


    оп!


  1. d1gital_love
    16.11.2021 19:31
    -1

    Заголовок: в огороде бузина, а в Киеве дядька.

    Пост, аргументы в посте: в огороде бузина, а в Киеве дядька.

    Комментаторы: в огороде бузина, а в Киеве дядька.

    Фича в Chromium: а мне норм.


  1. johnfound
    16.11.2021 19:39
    +2

    Вот почему нельзя использовать продуктов корпорации! Даже когда они вроде бы свободные и с открытом кодом. Всегда норовят какую-то корпоративную бяку подсунуть. Используйте только продукты разрабатываемые обществом.


    1. unsignedchar
      16.11.2021 20:22

      Используйте только продукты разрабатываемые обществом.


      Попробовал открыть этот сайт через lynx — что-то не зашло.


      1. johnfound
        16.11.2021 22:31
        +1

        Ну, не знаю насчет lynx, я его не использую, но через elinks, вполне достойно:


        image


        А в PaleMoon, совсем даже ничего:


        image


  1. d1gital_love
    16.11.2021 19:51
    -1

    Всё это происходит на фоне истории с американским веб-разработчиком и журналистом, который нашёл конфиденциальные данные прямо в коде HTML на сайте правительства штата Миссури — и написал про это безобразие. Теперь ему грозит тюремный срок за хакерство.

    Абсолютно ничего нового. Я всегда говорил, говорил и буду говорить не работать на: правительство США, компании из США.

    Их УК это какая-то злая шутка.


  1. Tatikoma
    16.11.2021 21:10
    +2

    То есть посетитель государственного сайта хотел посмотреть общедоступную информацию по учителям, а злостные нарушители правопорядка разработавшие этот сайт, вместо запрошенных пользователем данных - намеренно присылали ему приватные данные учителей, включая номера страхования? - Причем разработчики обязаны были отлично знать, что в этом случае приватные данные будут автоматически сохранены в кэш на компьютере пользователя, если он использует стандартный софт в обычном режиме не совершая каких-то специальных действий для сохранения, пользователь мог даже не знать, что ему что-то подкинули. Эти люди намеренно подбросили журналисту приватные данные и подали на него в суд, всё верно?

    Кажется у иска есть все шансы прилететь в обратную сторону, по крайней мере хотелось бы верить.


  1. Dreamka
    16.11.2021 22:33
    +2

    Кроме запуска посторонних игр, школьники якобы используют просмотр HTML-кода для читерства, чтобы узнать правильные ответы во время экзамена, если система запроектирована некорректно.

    Именно так мы и делали в универе. Была у нас внутренняя система тестов, правильный ответ в тесте всегда был в радиоинпуте со значением value=1, а у инпутов просто был рандомный порядок вывода. Года через 2 после внедрения пофиксили когда кто-то обнаглел до такой степени, что написал js проходивший тест за секунды


  1. sleirsgoevy
    19.11.2021 03:35

    Функция, описанная в статье, может быть полезна, например, для создания киосков. Ни к чему, чтобы любой мимо крокодил мог "открыть страшные хакерские буковки" волшебной комбинацией ctrl-u, даже если в самих буковках ничего секретного нет. Хотя бы потому, что (в случае аппарата а ля банкомат/платёжный терминал) он заставит людей за ним в очереди гадать, как эту гадость закрыть.