Comments | dolboeb: Рабочие моменты

dolboeb

Рабочие моменты

May 21, 2007 17:49

Запустили в тестовом режиме LiveJournal.RU.
Яндекс обещал заплатить ЖЖ миллион долларов.
И КоммерсантЪ интегрировался с ЖЖ.

Лично для меня LiveJournal.RU - самая, пожалуй, интересная новость из этих трёх ( Read more... )

Leave a comment

Back to all threads

dolboeb May 21 2007, 16:16:08 UTC

OpenID+whitelisting
Никакой информации о Вас, кроме authas=username для этого не нужно.
Проверяется идиотически простым набором действий.

ex_ex_zhuzh May 21 2007, 16:26:37 UTC

Ах, OpenID. Действительно.

gong May 21 2007, 19:11:40 UTC

Я, как отказавшийся от услуг СУПа, предпочёл бы быть "невидимым" для LiveJournal.RU.

Можно ли на стороне LiveJournal.com проверять мой статус "подчинённость СУП" и душить single sign-on меня на Livejournal.RU на дальних подступах?

ex_ex_zhuzh May 21 2007, 19:18:19 UTC

Да не ходите просто туда. Делов-то.

dolboeb May 21 2007, 21:39:12 UTC

Я, как отказавшийся от услуг СУПа, предпочёл бы быть "невидимым" для LiveJournal.RU

Круто. То есть Вы хотите пользоваться сервисом Супа в статусе отказавшегося от любых сервисов Супа.
А нам предлагается придумать для этого комфортное техническое решение, так?

Я впечатлён.

quappa May 21 2007, 22:04:13 UTC

Представьте себе на невинном третьем сайте скрытый iframe, указывающий на livejournal.ru. Любой пользователь livejournal.com, посетивший такой сайт, автоматически и совершенно нечаянно засвечивает для вас свой логин благодаря вайтлистингу livejournal.ru со стороны livejournal.com. Таким образом, Суп получает в свои логи пользовательские логин с айпишником, связь между которыми является вполне себе "персональной информацией".

dolboeb May 21 2007, 22:29:15 UTC

Представьте себе на невинном третьем сайте скрытый iframe, указывающий на livejournal.ru

Я не вижу смысла это себе "представлять". Мы ж обсуждаем реальную ситуацию, а не игры воображения.

Нарисовать на странице

quappa May 21 2007, 22:49:52 UTC

Нет, конечно никакого наследования тут нет и быть не может. Произойдёт вот что: благодаря такому iframe-у человек посетит своим браузером против своего желания livejournal.ru, который из-за наличия безусловного whitelisting-а со стороны livejournal.com автоматически узнает его ЖЖ-шный логин. Это не уязвимость, так как Суп состоит в отношениях с СиксАпартом, и передача этой информации санкционирована. Ситуация (внешне) изменилась только для тех пользователей, которые пытаются скрывать свои данные от Супа. Теперь у них нет такой возможности, поскольку сервер Супа при вышеописанном раскладе получает в своё распоряжение пару логин-айпишник любого пользователя ЖЖ.

не беспокойтесь gong May 21 2007, 23:05:04 UTC

В договорённостях между Яндексом, Сикс Апарт и СУПом пользователь LiveJournal.COM в качестве субъекта и объекта волеизъявления не упомянут.

Забота о пользователе, расширение сервисов - это ширма. Ваш голос, голос иного пользователя считается избыточным, и даже нежелательным.

Ненормальна ситуация, в ходе которых компания Антона сооружает сервис и предлагает (коммерческим способом, размещая платную рекламу, или вставками в интерфейсе LiveJournal.COM) подписаться на дополнительные услуги.

Как мы увидели, разговоры об opt-out - не более чем слова, которые сложно заставить сказать, но сложно сделать.

То, что СУП и дальше будет вайтлистить корешей, налаживая ваш и мой быт через пьянки в кабаках и кулуарное выпасание козлов, не подлежит никакому сомнению.

Уязвимость, о которой идёт речь - не техническая, а моральная и социальная.

dolboeb May 22 2007, 01:21:35 UTC

Ситуация (внешне) изменилась только для тех пользователей, которые пытаются скрывать свои данные от Супа. Теперь у них нет такой возможности, поскольку сервер Супа при вышеописанном раскладе получает в своё распоряжение пару логин-айпишник любого пользователя ЖЖ.

Вы мне еще не рассказали две интересных вещи.
Вот, есть миллион юзеров, которые от Супа не прячутся. И 500 человек (по мнению gong), которые прячутся. Значительная их часть, правда, совершенно в открытую расписала в ЖЖ процедуру своей отписки (и там же, в их ЖЖ, как правило, можно получить об этих смельчаках, рассеянных по миру, довольно обширную персональную информацию, которую они сами же и разместили). А какая-то часть, надо полагать, отписалась молча ( ... )

quappa May 22 2007, 09:27:05 UTC

Единственное в меру неприятное раскрытие, которое может воспоследовать из этой информации и приходит мне в голову влёт, касается виртуалов.

Штатный жжшный IP-logging предупреждает о своей включенности жирным словом "внимание" именно по этой причине. А вот о широкой распространнённости "услуг" типа http://deep-water.ru/ljuser/ я не был в курсе, каюсь.

статистика отписки gong May 24 2007, 03:19:55 UTC

:: Вот, есть миллион юзеров, которые от Супа не прячутся. И 500 человек (по мнению gong), которые прячутся ( ... )

quappa May 22 2007, 23:21:52 UTC

> Давайте Вы этот опыт проделаете, дадите мне URL, и я туда зайду из под какого-нибудь логина в ЖЖ.
> А Вы мне потом расскажете, что это был за логин.

Извольте,
http://www.livejournal.ru/ratings/posts?search=%22%3E%3Cscript%3Ealert%28%27Preved%2C+%27%2Bdocument.getElementById%28%27user%27%29.value%2B%27%21%27%29%3C%2Fscript%3E

baklan May 23 2007, 07:36:55 UTC

Мощно :)

gone_one May 23 2007, 14:08:53 UTC

Так и не закрыли дыру, вот ведь блин :( Антон, ну нехорошо такой проект с такими детским дырами выпускать. Своих же пользователей подставляете.

Re: Я впечатлён. gong May 24 2007, 02:38:23 UTC

Ничего, ничего.

Ведь так интересно о самом себе почитать в журнале Хакккир.

Back to all threads