Jump to content
Калькуляторы

Фидбек о nag.ru на хабре (исправленные уязвимости и нулевой отклик)

Сегодняшняя статья на хабре: http://habrahabr.ru/post/213217/

 

2. Уязвимость на nag.ru

 

Давным давно, решил я проверить nag.ru на прочность. К моему нескончаемому огорчению были найдены банальные мисконфиги на поддомене форума. А именно был выставлен во внешку тестовый стенд с новой версией форума и со стандартным паролем админа. Самое ужасное, было в том, что все поддомены запущены от имени одного юзера, и получив админ доступ к тестовому форуму — я получил доступ к файлам всех поддоменов. Все сообщения администрации nag.ru не получили ответов. Толи письма улетели в спам, толи не читают их. В любом случае сейчас эта дырка закрыта.

 

Итог: Дырка закрыта. Администрация проигнорировала все письма.

 

Также в комментах намекают на проблемы с почтой:

 

Их почта хостится на google. И google регулярно помещает мои письма для них в спам. А на многоадресные ящики типа support at nag.ru сразу прилетает отбой, что я подозрителен и письмо они от меня принимать не будут.

 

Так и задумано? :)

Share this post


Link to post
Share on other sites

Я в support@ писал, мне отвечали.

Share this post


Link to post
Share on other sites

Так и задумано? :)

Да.

Нет идеального спам фильтра.

Или читаем всю почту и часть спама.

Или не получаем спам и часть нормальной почты.

 

Тут каждый ищет себе необходимый оптимум, но с текущим уровнем спама иногда действительно проще обложиться спам-фильтрами яндеса, mail.ru или гугла, организовать на сайте много альтернативных способов связи на сайте, через которые к вам попадут нужные люди, отфильтрованные в почте, ну а дальше достаточно адрес этого человека занести в whitelist и продолжить общаться обычным способом.

Share this post


Link to post
Share on other sites

не получаем спам и часть нормальной почты и теряем клиентов.

К сожалению, НАГ похоже выбрал второй путь.

Share this post


Link to post
Share on other sites

кому надо позвонит, электронка --- для того чтобы написать то, что по телефону не сказать. а упоротые на электроке идут лесом...

Share this post


Link to post
Share on other sites

Я уже смерился что до саппорта нага дописаться невозможно. Письма прилетают как спам. Обращались к менеджеру - толку ноль, всем пофиг

Share this post


Link to post
Share on other sites

Про дыру комментировать не буду - тема мутная, как минимум с одним ложным утверждением. Зачем это автору - понять трудно. Программеры дополнительно посмотрят, конечно, но по предварительным данным, вопрос гроша выеденного не стоит.

 

Про связь с администрацией - сложно спорить, ничего не видели. Иначе бы ответили (разумеется). Куда писались обращения - неясно. Возможно, действительно потерялось в спаме. Но вроде и без почты полно возможностей связаться - контактов хватает. Было бы желание.

 

Что касается спама. Да, есть такой грех, лично я папку со спамом перебираю редко. Про других сотрудников не скажу, а сам балую себя этим развлечением крайне неохотно. Можете бросить камень. На несколько тысяч писем бестолковых приходится одно хотя бы адресованное нам. А среди адресованных именно нам, действительно важных - единичные случаи в год. Причем, если человеку надо, он найдет вариант посигналить, что было письмо.

 

Человек же, письма которого регулярно помещаются в спам, очевидно оригинал-мазохист. :)

Попроси адресата убрать письмо из спама - и фильтр не будет больше ловить. Я регулярно переписываюсь с провайдерами, письма которых изначально падали в спам - один клик мышкой и нет проблемы. Зачем от этого страдать регулярно - понять затрудняюсь. :)

 

Отлуп от групповых ящиков комментировать не готов. Сталкивался с этим в отношении других адресатов - про схожую проблему на нашем саппорте слышу впервые. Кто сталкивался - сигнальте, поразбираемся предметно. А то, опираясь на общие слова, можно проблему искать до второго пришествия.

 

Я уже смерился что до саппорта нага дописаться невозможно.

Напишите мне. Мне не пофиг. navu@nag.ru

Share this post


Link to post
Share on other sites

 

Я уже смерился что до саппорта нага дописаться невозможно.

Напишите мне. Мне не пофиг. navu@nag.ru

Написал с ящика который блочит

Share this post


Link to post
Share on other sites

Про дыру комментировать не буду - тема мутная, как минимум с одним ложным утверждением. Зачем это автору - понять трудно. Программеры дополнительно посмотрят, конечно, но по предварительным данным, вопрос гроша выеденного не стоит.

Спасибо за комментарий.

Прошу тех, у кого есть полноценный акк на хабре, отпишите туда в комменты 'официальную позицию'. Я read-only и под другим ником =)

Может, автор уточнит свои слова.

Share this post


Link to post
Share on other sites

Писать о взломе форума на почту, а не админам форума в личку - странный поступок.

Share this post


Link to post
Share on other sites

Чтобы два раза не вставать: Яндекс считает, что на форуме что-то не так.

4692100.png

Появилось сегодня вечером.

Share this post


Link to post
Share on other sites

Если зашла тема о почте нага, я вставлю свои пять копеек, на днях я очень разозлился на менеджера вашего, т.к. при разговоре по телефону просил выслать счет + инфу по одному косяку. В итоге пару дней - не ответа ни привета, отписал что счета не получил - в этот же день она звонит и говори что мне счет высылали, и что счет мне продублировали сейчас... Когда вернулся в офис обнаружил письмо от менеджера, без счета, но с разъяснением по косяку, про счет она написала что отправили бухи с такого-то адреса... но не в спаме, не где либо ещё письма нет... отписался, в итоге менеджер со своего адреса мне счет отправила. От бухов счета мне не приходят...

У меня ящик на гмейле... Раньше таких проблем не было... все началось в этом году... Я не могу гарантировать что это реально косяк почты, может и менеджера, но не думаю что она стала бы себя два раза подставлять и не отправлять счет.

 

Мне не хотелось бы писать тут явки и прочее, на свой адрес то мне пофигу, я больше за бухов и манагеров переживаю :) Так что если кто-то из админов заинтересован в том что бы погадать этот ребус, отпишитесь, скину в личку всю инфу....

Share this post


Link to post
Share on other sites

У меня ящик на гмейле...

 

Всем имеющим ящики на публичных серверах посвящается.

Важная и полезная почта к вам в ящик иногда не будет попадать. Это могут быть предложения о золотом контракте, или жалоба с предложением о урегулировании претензии, или новость о рождении сына(дочери). С вами не свяжутся в этом случае по другому каналу связи, так как тоже найдётся много отговорок причин, почему это не было сделано. От банального - нет этих контактов, не смог найти, не пробился через первую линию поддержки, не нашёл нужного человека. До самых простых (но не всем понятным) причин.

Например, рассылка запроса коммерческого предложения - вы не ответили, но конкуренты всё сделали за вас. Вы об этом узнаете позже и очень обрадуетесь за коллег.

Роскомнадзор вам прислал письмо счастья, но вы не приняли мер и ваш сайт заблокирован на территории России.

Или поисковик вам там какое-нибудь предупреждение вынес, или доброжелатель проинформировал об уязвимости. Забыли что-нибудь оплатить и это отключили (хорошо хоть не удалили и всё можно исправить). Вообщем спама от роботов и сейчас хватает. Полезного спама, в хорошем смысле слова.

Или автор письма с ЧСВ и просто не обязан это делать по служебным или личным причинам. Тоже узнаёте от коллег и радуетесь. В мир глобальных коммуникаций информация всё равно дойдёт до вас рано (оптимисты уже радуется в этот момент) или поздно (а сейчас пессимисты ещё сильнее мрачнеют) .

И тут начинается сказка про журавля и цаплю. Выяснение у кого стакан наполовину полон, а у кого наполовину пуст. Возможно дело может дойти до холивара между владельцами gmail и yandex или mail.ru, типа мой ящик круче и нет никакой дурацкой фильтрации спама, глотающей важные письма.

 

У нага есть Help Desk, есть обратные каналы связи - этого достаточно для работы нормальной компании. Те, кто отфильтровался при таких, на мой взгляд, оптимальных условиях - значит так и должно быть. Особо недовольные могут всё обсудить на форуме и будут услышаны.

Условия ещё больше можно улучшить, но здесь обычная математика: сколько надо вложить в это средств и будет ли окупаться вложенное. Номер 8800, отправка счетов DHL, андроидное или яблочное приложение мысленно угадывающее желание клиента и делающее автоматические заказы и оплату. Заодно это приложение обо всём и проинформирует клиента. Ну и так далее... мечтать можно долго.

 

p.s. Как ни странно, но банальные огрехи всё таки есть. Или ещё это не реализовано, или я не вижу явной дыры в реализации и почему этого нет. Или просто не прочитал документацию и это всё есть, а я об этом не знаю. Самое простое - те, кому я пишу, или те, кто есть у меня в записной книге, а ещё лучше - по моему списку и истории использованных SMTP для отправки - НЕ ДОЛЖНЫ ФИЛЬТРОВАТЬСЯ.

 

В opensource я не нашёл такого решения из коробки, типа "включи такую-то опцию и вот тебе база и правила управления попаданием в эту базу". Очень много решений на базе фильтрации входящей почты, но почему-то нет ни одного решения фильтрации по обоим направлениям, с учётом исходящей почты тоже.

Если пользоваться web-интерфейсом - там есть нужные кнопочки, и логика. Но беда в том, что никто не заглядывает в папку СПАМ :)

А ведь так просто, для примера - написал через smtp своего почтовика какому-нибудь потеряшке, а почтовик бодренько и быстро достал все письма из своих загашников спама и вывалил это всё куда надо и в течении какого-то периода времени придерживался такого примерного поведения, чтобы повторное письмо в спам не попало.

Share this post


Link to post
Share on other sites

Решение есть: секретарша для чтения спама. Стоит примерно $400/mnth

Share this post


Link to post
Share on other sites

Писать о взломе форума на почту, а не админам форума в личку - странный поступок.

Представьте себе, что первый день на данном форуме.

Как узнать кто из здешних отвечает за безопасность. Передадите информацию не по адресу - хорошо, если ему будет "пофиг". А если он задумает чего недоброе?

В стандартных случаях - это Служба Безопасности. Ну а если её не видно, то какой-то единый ресепшн, который фиксирует факт передачи этих данных и это формализует отношения между обратившейся стороной и получившей. В других случаях, особенно если что-то пошло не так, будет бардак полный.

Share this post


Link to post
Share on other sites

Какая служба безопасности? Компания должна быть очень крупной, чтобы в ней она была.

"Модерируется: Diesel , Дятел , vIv " - спрашивается как минимум у модеров, кто отвечает за безопасность, и кому писать.

Share this post


Link to post
Share on other sites

Решение есть: секретарша для чтения спама. Стоит примерно $400/mnth

Человеческий фактор. Физически человек за сутки может просмотреть только X писем. Необходим будет контролёр секретарши. Уже штат из двух человек, над которыми надо будет ставить менеджера, решающего рабочие моменты. Потом их заставят писат отчёты о проделанной работе, чтобы оценить эффективность и повысить качество - ещё один человек. Заседание директоров/совладельцев/управляющих, оценивающее полученные отчёты-данные и так бесконечный круг, пока опять кто-нибудь не скажет умную мысль. например, а давайте поставим сервер с фильтрацией спама или перенесём почту на google/yandex/mail.ru

 

и история начнёт новый круг.

Это не тот круг, его уже все прошли, у кого были деньги на секретаршу.

Share this post


Link to post
Share on other sites

Какая служба безопасности? Компания должна быть очень крупной, чтобы в ней она была.

"Модерируется: Diesel , Дятел , vIv " - спрашивается как минимум у модеров, кто отвечает за безопасность, и кому писать.

Кстати, напомнил: я пару раз вмешивался в разборки по форуму, именно по почте приходили уведомления.

 

И да, у меня корпоративный abuse@ живёт именно на GMail, ибо надёжно, потому как важно

Share this post


Link to post
Share on other sites

вот это

 

Какая служба безопасности? Компания должна быть очень крупной, чтобы в ней она была.

 

вот с этим

 

"Модерируется: Diesel , Дятел , vIv " - спрашивается как минимум у модеров, кто отвечает за безопасность, и кому писать.

 

Уже конфликтует между собой. Служба безопасности - этой должностью могут наделить вахтёра, у которой за плечами работа в ГРУ. Поэтому на фирме либо есть СБ, либо есть директор, который за всё отвечает и ищет на кого бы свалить вину.

Share this post


Link to post
Share on other sites

Ты проверяешь, смогу ли я тебя забанить? ;-)

Share this post


Link to post
Share on other sites

Модераторы на большинстве форумов - люди наёмные, отвечают за общение на самом форуме. Забанить неугодного - для них святой долг, потешить своё чсв, указать своё место выскочке. Попробуйте высказать мнение не совпадающее с мнением модератора - практически всегда запрет в правилах. А если у модератора в повседневной работе какой-то конфликт с администратором форума, который отвечает за его работу - это мотив, чтобы и под него подкоп сделать. Реально когда начинаешь распутывать клубок всех этих отношений назад при различных конфликтах - у всех есть какой-то свой мотив к произведённым действиям - но всё вместе такой бардак и требует вмешательство "администрации форума", назовём её так.

 

Простой примитив для примера - модератор форума, незаслуженно обиженный (зарплатой, отношениемк личности, в транспорте в этот день ему на ногу наступили). И администратор, по совместительству - совладелец компании, но которому почти "всё равно" на судьбу форума, считает что на модератора только зря деньги выделяют, форум поставлен из коробки и никто им не занимается. С другой стороны фирмы - мажоритарий, видящий работу форума как хорошую составляющую бизнеса (общение, привлечение клиентов, бесплатная реклама, лояльность клиентов и поставщиков, решение вопросов в открытом порядке). И вот попадает информация об уязвимости тому, кому с утра на ногу наступили, который в сердцах наносит форуму непоправимый ущерб. Резервных копий, как всегда, нет ( это кстати вопрос для обсуждения - кто в нормальной фирме должен заниматься контролем резервных копий? СБ, которая не понимает ничего в технических моментах, техническая служба, которая если накосячит, то и резервных копий спрашивать не с кого. Или как обычно, этим занимается директор и прячет всё потом в свой сейф?).

 

И дальше: либо кропотливая работа по восстановлению всего комьюнити, либо форум загибается под напором сложившихся обстоятельств.

 

 

p.s. всё вышенаписанное - художественный вымысел, но основанный на реальных факторах. В жизни такая сантабарбара может быть и происходит, но я об этом не знаю. А вот все моменты по отдельности - встречаются каждый день.

По уязвимостям и их использованию темка здесь http://forum.searchengines.ru/showthread.php?t=836533 там же и мнения что с этой уязвимостью можно сделать.

 

Из резервных копий мы клиентам информацию восстанавливаем каждый день, ибо у 99% людей в коре головного мозга полная уверенность, что забота о сохранности данных - не их работа. Даже если они арендуют отдельный rack, к которому ключи только у них, а рут доступ у какого-то стороннего админа по договору с кучей сертификатов по безопасности. "Ну у ВАС ЖЕ НАДЕЖНЫЙ ДАТАЦЕНТР с КРУГЛОСУТОЧНОЙ ОХРАНОЙ И СКУД!". не понимают люди, что их железка имеет доступ в открытый интернет и система администрируется персоналом клиента, а не нами.

 

В реальности же находится и резервная копия (ну может быть чуть старенькая). Кому надо - вставляют пистон, и он, как здравомыслящий человек, меняет своё мнение и осознаёт важность публичного общения в развитии фирмы и увеличивающихся доходах в дальней перспективе, нанимает отдельного администратора на аутсорсе для пригляда за сервером, на котором крутится форум (дешево и сердито). Модератору форума начисляют дополнительную прибавку к зарплате, за то, что он вовремя указал на возникшую проблему, он знакомится с девушкой, которая наступила ему на ногу в тот день, они женятся и живут вместе долго и счастливо. happy end.

Share this post


Link to post
Share on other sites

Уже конфликтует между собой. Служба безопасности - этой должностью могут наделить вахтёра, у которой за плечами работа в ГРУ. Поэтому на фирме либо есть СБ, либо есть директор, который за всё отвечает и ищет на кого бы свалить вину.

Какой нафиг вахтер? Какое ГРУ? Это что, нефтянка или предприятие по производству оружия?

Share this post


Link to post
Share on other sites

Какой нафиг вахтер?

Это самый надёжный СКУД в мире!

Share this post


Link to post
Share on other sites

kpv - по searchengines и теме, работа whitehat всегда была непростой.

Но нюанс в том, что пока он не заключил договор - любая его деятельность по поиску и тестированию уязвимостей - нарушение закона.

С тем же успехом можно ковыряться в дверных замках предприятий, скорее всего не поймают, но могут поймать и во время поиска и если потребовать денег - просмотреть записи наружных камер. Ну и конечно если открыл - всегда мучает вопрос, сжечь там все, спереть, или потребовать денег за фиговый замок.

Share this post


Link to post
Share on other sites

работа whitehat всегда была непростой.

Это как вещество-яд, из которого делают лекарства. В больших дозах убивает. В разумных и протестированных - лечит и спасает. Но прежде чем стать лекарством, придётся убить много мышек, шимпанзе и других бедных животных, прежде чем законно это будет оформлено и допущено в продажу. А в соседней лаборатории, может быть те же самые люди, с такими же принципами, разрабатывают оружие биологического поражения. И они тоже делают всё во благо.

 

Это всё морально-этические-правовые аспекты, я их стараюсь не касаться в таких случаях. Или меня забанит модератор :)

Я обычно технарь и всегда за happy end.

Edited by kpv

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this