andrey

Ещё одна досадная недоделка.
Крупнейший регистратор доменов .ru – ru-center (nic.ru) хранит пароли пользователей в открытом виде. Например, если вы забыли пароль, то можно запросить его на email (если вы не отключили эту возможность).

Если однажды их базу данных взломают, у владельцев доменов могут возникнуть непрятности,

несмотря на то, что избавиться от хранения паролей в открытом виде совсем не сложно. Даже этот бесплатный движок wordpress, на котором работает данный сайт, не хранит пароли пользователей.

Среди крупных сервисов (это не проверенный факт, а мое предположение – об этом же не будут заявлять публично :) ) была взломана база участников digiseller.ru (это крупнейший сервис по продаже цифровых товаров за webmoney). Предполагаю потому, что время от времени спамеры предлагают купить список емайлов его участников-продавцов. Такой спам приходит мне только на адрес,
зарегистрированный в дигиселлере.

Если вы забыли свой пароль на memori.ru, то когда вы запрашиваете восстановление пароля, и при этом ещё и забыли ваш email, с которым регистрировались, то ошибочно указанный email уйдет на сторону: например, вы запрашиваете восстановление пароля на email blabla@mail.ry. Тогда браузер переходит на страницу http://memori.ru/forgot/?err=1&email=blabla@mail.ry

НО: в страницы сайта встроен счётчик liveinternet (counter.yadro.ru, маленький прямоугольничек внизу страницы).
Если просмотреть html-код страницы, то увидим следующее:
<img src=’http://counter.yadro.ru/hit?t25.1;r”+ escape(document.referrer)+. . .

document.referrer относительно сервера counter.yadro.ru - это адрес страницы, на которой расположен счетчик.
Таким образом, когда вы восстанавливаете пароль, ваш email становится известным постороннему серверу.

Могут ли владельцы memori.ru не знать об этом? Ай-яй-яй, такой известный раскрученный сайт не желает заделать пустяковую дыру и через нее сдает данные юзеров. Нехорошо. Насколько мне известно, эта дыра существует не первый месяц.

А если email введен верно, то он не засвечивается.

Правила соблюдены, не придерешься :-\ вы ввели неверный email, он не зарегистрирован на мемори-ру, и они не обязаны хранить его в тайне.

Изм. 27.03.2008: откомментили, что дыру исправили 

Если кликнуть по этой ссылке, то увидим картинку, которую невозможно сохранить как jpeg, gif и т.п. (как html, txt - можно). :) Объем файла около 1,2 МБ.

Это не более чем шутка, практического применения пока не придумал.

храните деньги в банке, стеклянной...

Недавно опять случилась неприятная история с рупэй.
Они недавно создали новую систему, “рублёвую”, а старые “долларовые” счета закрывали, и объявили, что все деньги со старой системы будут переведены в новую.
В старой системе был ещё бонусный счёт, на который они начисляли проценты.

Обычно всё, что мне приходило в рупэй, я переводил на бонусный счёт (16% годовых), а на текущем оставался ноль. Сколько всего там было денег, я знал только приблизительно.

Несколько дней назад мне пришло в голову сделать принтскрин бонусного счёта. А на следующий день захожу опять - там надпись “все операции прекращены”, никаких денег нет.

Захожу в новую систему - надо же проверить, как они перевели деньги на новый счёт. Оказывается, никак. Никто ничего не переводил. Несколько сотен долларов испарилось. Это было в пятницу вечером, чат поддержки не отвечал, на телефоне автоответчик. Вместо чата отправился запрос-тикет, подтверждение о его получении тут же пришло на емайл. Ждёмс до понедельника.

В понедельник 12 мск проверяю счёт - результат тот же. И ответа на запрос нету.
Зато чат работает: “Здравствуйте, чем мы можем вам помочь”. Попросил, чтоб тикет прочитали. Думали минут пять, обещали перевести в течении 24 часов.

Деньги на новый счёт пришли к концу рабочего дня, по курсу, близкому к центробанковскому.

Неприятно в течении 3 дней чувствовать, как красиво и аккуратно “обувают”. А если бы я не сделал принтскрин, у меня б не было ни единого шанса на претензию. Совершенно не представляю, как это можно было бы сделать, если я лично не зачислил себе ни доллара, значит, квитанций-чеков на руках нету. А даже если и есть, попробуй докажи, что ты не выводил деньги со счёта.