Forwarded from елуп
Настоящий биполярный мир
Китайцы утверждают, что в Xiaohongshu можно писать «Heil Hitler» и «ниггер». Кроме того, можно негативно высказываться о евреях. За это ничего не будет.
Однако англоязычные пользователи уже проверили, что там нельзя писать «Тайвань — страна», «Свобода Тибету», «Ковид появился в Китае» и так далее.
Китайцы утверждают, что в Xiaohongshu можно писать «Heil Hitler» и «ниггер». Кроме того, можно негативно высказываться о евреях. За это ничего не будет.
Однако англоязычные пользователи уже проверили, что там нельзя писать «Тайвань — страна», «Свобода Тибету», «Ковид появился в Китае» и так далее.
💯3
Люблю Хабр
(И да, на ios довольно таки крупная часть встроенных сервисов, которые прикрываются шкурками софтин, действительно работает от имени рута. Например - webkit)
(И да, на ios довольно таки крупная часть встроенных сервисов, которые прикрываются шкурками софтин, действительно работает от имени рута. Например - webkit)
⚡️Worst • Tech&Stuff
Охуеть Если они лучше Лотте - это будет имба
Бисквит и суфле - мягкие, возможно даже через чур
Но шоколад - обычная кондитерская глазурь
Всё ещё лучше пересушенных Lotte
Но шоколад - обычная кондитерская глазурь
Всё ещё лучше пересушенных Lotte
> Я пока решения не вижу, если не рассматривать фантастического "создания европейской операционной системы и/или маркетплейса для мобильных платформ".
Тем временем финская Sailfish OS...
https://news.1rj.ru/str/zatelecom/29632
Тем временем финская Sailfish OS...
https://news.1rj.ru/str/zatelecom/29632
Telegram
ЗаТелеком 🌐
Немного размышлений из того, что мы узнали из блокировки Тиктока:
1. Совсем необязательно блокировать именно по IP или домену. Достаточно заблокировать на платформах дистрибуции приложений.
Именно это и произошло с Тиктоком — их приложение было заблокировано…
1. Совсем необязательно блокировать именно по IP или домену. Достаточно заблокировать на платформах дистрибуции приложений.
Именно это и произошло с Тиктоком — их приложение было заблокировано…
Ваши ставки, на сколько тысяч рублей оштрафуют Ростелеком за утечку данных всех клиентов сие чудного федерального провайдера?
Хабр
DLBI: хакеры заявили, что получили доступ к данным «Ростелекома»
По информации сервиса поиска утечек и мониторинга даркнета DLBI, хакеры заявили, что им удалось получить доступ к данным «Ростелекома». Со слов хакеров, они скачали базы сайтов company.rt.ru и...
По поводу сегодняшнего случая на DTF
Там есть блок опросов, который при загрузке страницы опрашивает по API его результаты - сколько за какой вариант проголосовали в числах и процентах, общее кол-во голосов и выбранный юзером вариант
КАК ОКАЗАЛОСЬ, на сайте при вызове метода в него просто подставляется hash опроса, после чего делается запрос на api.dtf.ru/v2.9/quiz/$HASH/results. Что же в этой схеме много пойти не так? Ну, например то, что сервер не валидировал HASH, а клиент ему слепо верит. Т.е. можно было при помощи простой схемы с ../ в хэше вызвать любой другой метод. Например redirect, который перенаправляет пользователя на сторонний сайт через 301 код.
По этому поводу я отписал Филлипу, на что получил ответ, что они проверят. На следующий день дыра была закрыта, но...
Но они просто заблочили точку и слеш в хеше...
Поэтому достаточно было просто закодировать два этих символа через URL encoding и продолжать красть токены через опросы...
Кстати, мобильное приложение этому подвержено не было, хз почему
Там есть блок опросов, который при загрузке страницы опрашивает по API его результаты - сколько за какой вариант проголосовали в числах и процентах, общее кол-во голосов и выбранный юзером вариант
КАК ОКАЗАЛОСЬ, на сайте при вызове метода в него просто подставляется hash опроса, после чего делается запрос на api.dtf.ru/v2.9/quiz/$HASH/results. Что же в этой схеме много пойти не так? Ну, например то, что сервер не валидировал HASH, а клиент ему слепо верит. Т.е. можно было при помощи простой схемы с ../ в хэше вызвать любой другой метод. Например redirect, который перенаправляет пользователя на сторонний сайт через 301 код.
По этому поводу я отписал Филлипу, на что получил ответ, что они проверят. На следующий день дыра была закрыта, но...
Но они просто заблочили точку и слеш в хеше...
Поэтому достаточно было просто закодировать два этих символа через URL encoding и продолжать красть токены через опросы...
Кстати, мобильное приложение этому подвержено не было, хз почему