klasy gapi.class.php , którą wykorzystywały tysiące jak nie miliony stron a teraz wysypuje się teraz aż miło
Co Ciekawe Google odpisało mi :
że to nie ich wina i wszystko wg. nich jest GIT
no więc jak git to podzielmy się gitem
Developerzy z Google zamkneli niedawno autoryzację przez GAPI i nie wzieli pod uwagę błędnie napisanej
klasy gapi.class.php , którą wykorzystywały tysiące jak nie miliony stron a teraz wysypuje się teraz aż miło
Co Ciekawe Google odpisało mi :
że to nie ich wina i wszystko wg. nich jest GIT no więc jak git to podzielmy się gitem
klasy gapi.class.php , którą wykorzystywały tysiące jak nie miliony stron a teraz wysypuje się teraz aż miło
Co Ciekawe Google odpisało mi :
że to nie ich wina i wszystko wg. nich jest GIT
no więc jak git to podzielmy się gitem Cytat(netvalue @ 10.06.2015, 08:09:42 ) 
Developerzy z Google zamkneli niedawno autoryzację przez GAPI i nie wzieli pod uwagę błędnie napisanej
klasy gapi.class.php...
No rzeczywiście, powinni się martwić jakąś klasą i źle skonfigurowanymi środowiskami produkcyjnymi.
klasy gapi.class.php...
Niemniej przypał dla stron które tego używają. Jawny adres, hasło. Można się logować i bawić. Proceder jest o tyle poważny że w dużej mierze właściciele mogą sobie nie zdawać sprawy że mają taki błąd na stronie.
Duża część odwiedzających pewnie też nie będzie wiedziała o co chodzi, bo nikt nie rozumie "krzaczków"
Duża część odwiedzających pewnie też nie będzie wiedziała o co chodzi, bo nikt nie rozumie "krzaczków"
Nie zdziwiłbym się o wielo milionowe pozwy jeśli ktoś złośliwie tego nadużyje.. google nie powinno sobie na coś takiego pozwolić moim zdaniem.
Nie wiedziałem że można winić kogoś trzeciego za to że wyświetla się błędy i cały stack trace na produkcji.
@tzm Google nie ma tu nic do rzeczy. Jeśli ktoś piszę aplikacje to powinien zadbać o to aby:
1. Nie było błędów
2. Jeśli są to ich Nie pokazywać (wyłączone error_reporting)
3. Logować takie incydenty do Logów
4. (opcjonalnie) Notyfikacja na mejla z raportem min 1 raz dziennie z unikalnymi błędami.
Google nie bierze odpowiedzialności tutaj za nic bo i niby czemu.
To tak jakbyś kupił nóż i się pochlastał a potem miał pretensje że producent nie dodał osłonki albo ktoś Ci sprzedał ostry nóż.
1. Nie było błędów
2. Jeśli są to ich Nie pokazywać (wyłączone error_reporting)
3. Logować takie incydenty do Logów
4. (opcjonalnie) Notyfikacja na mejla z raportem min 1 raz dziennie z unikalnymi błędami.
Google nie bierze odpowiedzialności tutaj za nic bo i niby czemu.
To tak jakbyś kupił nóż i się pochlastał a potem miał pretensje że producent nie dodał osłonki albo ktoś Ci sprzedał ostry nóż.
@Batman czemu żeś link usunał ? przecież to bez sensu...
Dobra, kumam. Zaczytałem się trochę w tą klasę i rozumiem gdzie jest problem.. Jak trzymamy w konfiguracji tej klasy dane do konta to można je po prostu wyświetlić jeśli error_reporting jest źle ustawiony?
@netvalue Z czystej ludzkiej przyzwoitości. Po co wystawiać konta nieświadomych ludzi na pastwę "żartownisiów", który dla zabawy zaczną robić głupie rzeczy na tych kontach?
im szybciej się rozejdzie tym lepiej lepiej glupie zabawy niz przemyslane plany...
lepiej glupie zabawy niz przemyslane plany...
Z tego co widziałem póki link działał to winne były nie łapane nigdzie wyjątki. Czy google ma odpowiadać za to że dzieciak bez podstawowej wiedzy dodajacy ten kod nie potrafi przechwycić wyjątku w PHP? Ale to nawet dobrze. Na przyszłość osoba taka może zapłaci za dobrze zrobiony projekt.
Wgl co my tu o google rozmawiamy jak ta klasa wykorzystuje tylko wystawione api i wgl dev Googla nie ma nic z nią wspólnego. A to że ktoś nie potrafił tego dobrze napisać to wina autora, który zresztą zakryje się licencja że nie odpowiada za to i nic z tym nie zrobisz..
sprawa o tyle głupia że właściciel strony portalu może nie mieć pojęcia że nieautoryzowane wejście na jego
konto google ewentualny "burdel" na nim jest spowodowany właśnie tym że realizator strony niezabezpieczył wysypywania się błędów.
Dlatego niczego nie świadomy właściel może nie znać powiązania.
konto google ewentualny "burdel" na nim jest spowodowany właśnie tym że realizator strony niezabezpieczył wysypywania się błędów.
Dlatego niczego nie świadomy właściel może nie znać powiązania.
Chooociaż teraz zdaje się nie idzie się zalogować na konto Google jeśli logujesz się z dziwnego miejsca.
Google zbiera nasze dane logowania czyli gdzie, kiedy itp. I teraz jeśli się próbujemy zalogować z Berlina a dotąd logowaliśmy się z Ciechocinka to Google nas nie wpuści Ot taki feature Googla.
Google zbiera nasze dane logowania czyli gdzie, kiedy itp. I teraz jeśli się próbujemy zalogować z Berlina a dotąd logowaliśmy się z Ciechocinka to Google nas nie wpuści
Ot taki feature Googla.
@Pyton_000 , bez przesady pełno jest PROXY anonimowych z każdego kraju do wyboru do koloru.
pełno jest PROXY anonimowych z każdego kraju do wyboru do koloru.
@Pyton_000:
Na pewno? Byłoby to niezmiernie głupie. Przykład: jedziesz na wakacje do Bangladeszu, chcesz sprawdzić pocztę - nie masz możliwości?
Na pewno? Byłoby to niezmiernie głupie. Przykład: jedziesz na wakacje do Bangladeszu, chcesz sprawdzić pocztę - nie masz możliwości?
Zalogujesz sie tyle że dostaniesz maila o logowaniu z dziwnego miejsca, a tego maila nie można usunąć (można, ale przyjdzie nowy).
I wcale nie trzeba nigdzie wyjeżdzać. Ja zalogowałem się z kompa na uczelni i też dostałem taką wiadomość
I wcale nie trzeba nigdzie wyjeżdzać. Ja zalogowałem się z kompa na uczelni i też dostałem taką wiadomość
No właśnie, czyli logowanie nie jest blokowane, a jedynie jest wysyłane stosowne powiadomienie.
Cytat
Ja zalogowałem się z kompa na uczelni i też dostałem taką wiadomość
U mnie wystarczyło logowanie z innego systemu operacyjnego.
Ale prócz takich wiadomości, które przepuszczają logowanie, raz od google dostałem taką wiadomość:
Cytat
Ktoś ostatnio próbował użyć aplikacji do zalogowania się na Twoje konto Google ([tu adres mailowy]). Zablokowaliśmy próbę logowania na wypadek, gdyby to był włamywacz usiłujący uzyskać dostęp do konta. Przejrzyj informacje o próbie logowania:
wtorek, 23 października 2012 02:04:14 GMT
Adres IP: [wymazałem adresy, żeby przypadkiem nie pozycjonować]
Lokalizacja: Shanghaj, Szanghaj, Chińska Republika Ludowa
Jeśli nic nie wiesz o tej próbie zalogowania się, może to oznaczać, że ktoś inny chciał dostać się na Twoje konto. Jak najszybciej zaloguj się i zresetuj hasło. Odpowiednie instrukcje znajdziesz tutaj: [...]
Jeśli to Ty próbowałeś się zalogować i chcesz zezwolić tej aplikacji na dostęp do Twojego konta, wykonaj instrukcje podane na stronie [...]
Z poważaniem,
Zespół kont Google
wtorek, 23 października 2012 02:04:14 GMT
Adres IP: [wymazałem adresy, żeby przypadkiem nie pozycjonować]
Lokalizacja: Shanghaj, Szanghaj, Chińska Republika Ludowa
Jeśli nic nie wiesz o tej próbie zalogowania się, może to oznaczać, że ktoś inny chciał dostać się na Twoje konto. Jak najszybciej zaloguj się i zresetuj hasło. Odpowiednie instrukcje znajdziesz tutaj: [...]
Jeśli to Ty próbowałeś się zalogować i chcesz zezwolić tej aplikacji na dostęp do Twojego konta, wykonaj instrukcje podane na stronie [...]
Z poważaniem,
Zespół kont Google
Na fb tez to macie
Dwuetapowa weryfikacja. Spodziewałbym się, że więcej ludzi tutaj tego używa.
Po co skoro do każdej usługi ma się inne hasła dłuższe niż 16 znaków 
Cytat(O$iek @ 12.06.2015, 22:25:11 )
Dwuetapowa weryfikacja. Spodziewałbym się, że więcej ludzi tutaj tego używa.
Ręka w górze.
Logowanie z innego urządzenia wymaga podania hasła SMS. Póki co fajnie się to sprawdza, ale ma to dużo wyjątków i obejść (aplikacja offline, kody zapasowe na dysku, zapasowe numery, hasła aplikacji) więc mimo wszystko nadal trzeba uważać.
Ja twierdzę że jak ktoś używa silnych haseł to nie powinien się zbytnio martwić, bo w przypadku wycieku zmieniasz jedno hasło i problem znika.
A złamanie BF hasła >16 znaków z różnymi wariacjami i znakami specjalnymi trwać będzie wieki
A złamanie BF hasła >16 znaków z różnymi wariacjami i znakami specjalnymi trwać będzie wieki
Hm, bardziej bym się martwił ujawnienia hasła przez wpisanie go na niebezpiecznym urządzeniu.
Przykładowo pisząc pracę magisterską w bibliotece wyraźnie zaznaczyłem, że nie ma zapamiętywać tego komputera i każdorazowo poza hasłem wpisywałem także kod sms.
Przykładowo pisząc pracę magisterską w bibliotece wyraźnie zaznaczyłem, że nie ma zapamiętywać tego komputera i każdorazowo poza hasłem wpisywałem także kod sms.
Cytat(Pyton_000 @ 13.06.2015, 10:57:46 )
Ja twierdzę że jak ktoś używa silnych haseł to nie powinien się zbytnio martwić, bo w przypadku wycieku zmieniasz jedno hasło i problem znika.
Nieprawda! W przypadku wycieku możesz mieć już wjazd np. na skrzynkę pocztową, a mając dostęp do skrzynki pocztowej można przeprowadzić już dalsze resety haseł itd. W przypadku 2FA atakujący nawet gdy zna Twoje hasło nie jest w stanie się zalogować do usługi.
Pod warunkiem że ktoś używa tego samego hasła wszędzie.
Co do wycieku haseł to trzeba je jeszcze złamać, a złamanie silnych haseł troszkę trwa
Co do wycieku haseł to trzeba je jeszcze złamać, a złamanie silnych haseł troszkę trwa
Co z tego jak wszędzie masz inne hasła jak mając dostęp do Twojej skrzynki mailowej będę mógł je zresetować ("przypomnij hasła/zapomniałem hasło"). A same wycieki to raczej nie BF, ale:
1) wyciek danych z serwera
2) malware na komputerze z którego się logujesz (nie zawsze jest to Twój komputer?)
3) malware na serwerze
4) ataki typu "Man-in-the-middle"
Uwierzytelnianie dwuskładnikowe to "must-have" do takich kluczowych rzeczy, jak email. Polecam każdemu.
1) wyciek danych z serwera
2) malware na komputerze z którego się logujesz (nie zawsze jest to Twój komputer?)
3) malware na serwerze
4) ataki typu "Man-in-the-middle"
Uwierzytelnianie dwuskładnikowe to "must-have" do takich kluczowych rzeczy, jak email. Polecam każdemu.
Miałem napisać podobny post do tego co napisał redeemer dwa dni temu, ale mi się nie chciało.
Cytat(redeemer @ 15.06.2015, 13:29:17 )
Co z tego jak wszędzie masz inne hasła jak mając dostęp do Twojej skrzynki mailowej będę mógł je zresetować ("przypomnij hasła/zapomniałem hasło"). A same wycieki to raczej nie BF, ale:
1) wyciek danych z serwera
2) malware na komputerze z którego się logujesz (nie zawsze jest to Twój komputer?)
3) malware na serwerze
4) ataki typu "Man-in-the-middle"
Uwierzytelnianie dwuskładnikowe to "must-have" do takich kluczowych rzeczy, jak email. Polecam każdemu.
1) wyciek danych z serwera
2) malware na komputerze z którego się logujesz (nie zawsze jest to Twój komputer?)
3) malware na serwerze
4) ataki typu "Man-in-the-middle"
Uwierzytelnianie dwuskładnikowe to "must-have" do takich kluczowych rzeczy, jak email. Polecam każdemu.
1. Tutaj nic nie poradzimy, ale jak mówiłem sam wyciek danych to nie koniec świata. Trzeba jeszcze zdekodować hasła żeby mieć z nich użytek.
2. Nie praktykuję innych komputerów. Zawsze są to zaufane urządzenia
3. Malware na serwerze Googla? ;>
4. Taki tępy nie jestem. Zdroworozsądkowy użytkownik wie że Nikt i Nigdy nie prosi o hasła. Tak samo patrzeć gdzie się człowiek loguje.
Zachowanie zasad bezpiecznego użytkowania daje 80% gwarancji że nic się nie stanie. Pozostałe 20% to są mechanizmy i akcje nie zależne od nas (wycieki, włamy, bf i inne)
Masz rację. Koniec tematu. Google ma program Bug Bounty, bo pracujący tam nadludzie produkują bezbłędny kod.
Cytat(Pyton_000 @ 15.06.2015, 15:18:22 )
...
4. Taki tępy nie jestem. Zdroworozsądkowy użytkownik wie że Nikt i Nigdy nie prosi o hasła. Tak samo patrzeć gdzie się człowiek loguje.
Pomyliłeś chyba man-in-the-middle z phishingiem :-)4. Taki tępy nie jestem. Zdroworozsądkowy użytkownik wie że Nikt i Nigdy nie prosi o hasła. Tak samo patrzeć gdzie się człowiek loguje.
A widzisz no to mamy kolejny typ ataku i narażenia ;D
no to mamy kolejny typ ataku i narażenia ;D
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.