баг

Постов: 54 Рейтинг: 162622
7519

[моё] Локальная сеть Интернет

Развернуть

Обычное утро, звонок.

-Мне не войти в компьютер, можешь подойти.

-Сейчас буду.


Спокойно иду в благостном настроении, опять капслок, нумлок, не та бумажка, не та кнопка и т.д. Ну, что тут у вас? Вот, набираю пароль, и компьютер перезагружается. Хм, чуть хуже, чем я думал, но не страшно, починим. Пробую, действительно, начинается вход в систему, 2-3 секунды, перезагрузка.


Винда семёрка. Пробую администратора, Тот же результат. Идём в безопасный режим. Всё нормально, всё работает, Интернет есть, антивирус не ругается, в событиях только многочисленные, неожиданные завершения работы.


Смотрю автозагрузку, всё обычно, смотрю программы, ничего особенного. Попутно убираю не нужное. Пробую загрузиться, всё тоже самое. Опять безопасный режим.


Первые мысли, что-то начинает грузиться и вырубает систему. При этом, в автозагрузке практически ничего нет. Убираю вообще всё, пробую, ноль. Ладно, на всякий случай качаю другой антивирус, включаю проверку. Времени уже прошло неприлично много, для такой проблемы. На компе обычный хард и перезагрузки утомляют. Пока антивирус проверял, поудалял и поубирал ещё что-то.


Антивирус сказал, что всё прекрасно. Пробую, ноль. Хорошо. Начинаю отключать по 2-3 службы. Отключаю, перезагружаю, отключаю, перезагружаю. Повыдёргивал провода на всякий случай, ноль.


Дошёл до сети. Выключил. Перезагружаю, опаньки, работает! Хорошо. Выдаю, админские права и включаю сетевую службу, сразу перезагрузка. Отлично! Проблема сузилась и всё скоро починю, так думал я.


Безопасный режим, включаю всё что отключал, вырубаю сетевую карту, перезагружаюсь, работает. Включаю сетевуху, перезагрузка. Прекрасно, какая-то программа при появлении сети, что-то начинает делать и это приводит к перезагрузке, или сама сетевуха глючит. Но в безопасном режиме она прекрасно работает.


Хорошо, удаляю всё что можно, не помогает. Время идёт. К слову, если бы это был не комп главного бухгалтера, на котором куча всего, я бы и 5 минут не занимался, сразу бы переустановил всё и забыл. Но это другое! Резервные копии раз в неделю делаются, что-то каждый день, да и общий бэкап есть. Но, по времени, пока вроде проще поискать проблему, так мне казалось.


Спустя какое-то время, имею следующее. Если вытащить сетевой провод, всё работает, даже если включена сетевуха. Стоит его воткнуть, сразу презагрузка. Естественно, все драйвера уже обновлены. Вставлена и убрана отдельная сетевая карта, которая вела себя так же.

Сижу, туплю. По-прежнему, версия, что кто-то ломится в Инет при его появлении. Хотя, я уже всё, включая, антивирус удалил и отключил. Параметры получаю по DHCP, прописываю вручную, ноль. Пробую оставить только локалку. Работает!


Тааак! Проблема совсем сузилась. Перезагрузка происходит только когда появляется Интернет.

Тем временем, дело уже к обеду, сижу неприлично долго.

Что ещё проверить? Точно ли это Интернет? Иду к соседнему компу, поднимаю прокси. Подключаюсь. Работает!


Зашибись! Дорогой бухгалтер, вы можете работать, но я вас за комп не пущу, потому что, это беспредел, который я не понимаю, и буду разбираться дальше.


Итак. Всё работает, Интернет есть. Включаю, устанавливаю, и возвращаю всё как было. Всё прекрасно работает.


Окей. Прописываю шлюз, перезагрузка. Снова безопасный режим, убираю шлюз. Всё работает.

Перезагрузка происходит, если на сетевой карте прописать шлюз. Т.е. самый главный роутер отправляет невидимые лучи смерти и убивает всё и вся.


Сижу, туплю. Про время уже не думаю. Есть охота, бухгалтера уже отправил гулять.

Что ещё попробовать? Иду на роутер и меняю его адрес. Он был 192.168.0.11


Ставлю другой. Включаю. Работает!


ЧТО?! Нахожусь в шоке.


Тут же, прописываю шлюз обратно 192.168.0.11. Перезагрузка!

Прописываю в шлюзе, любые цифры, всё работает. Как только 192.168.0.11, перезагрузка. Ищу в реестре эти цифры, без надежды. Ноль эмоций.


Ситуация чудесная. Всё работает, но что это было и есть?!

Менять адрес роутера не вариант. Проще сделать прокси. Проверяю, всё работает. Уходя, на всякий случай, ещё разок вбиваю магические цифры, перезагрузка.


Прошло больше полугода, к этому компу я больше не подходил. Появилась аказия поменять хард на ССД. Вспоминаю про проблему. Пробую, всё по старому, перезагружается миленький)

Втыкаю ССД, устанавливаю Винду. Интерес один, узнать, кто это меня так несколько месяцев назад озадачил. Да, Винда, она самая. В новой системе всё работает нормально.


Ту винду я оставил. Прошло уже больше года, недавно загрузился, попробовал, всё по-старому.


В общем, загадка актуальна до сих пор. Компьютер перезагружается, если в шлюз вбить 192.168.0.11 и воткнуть сетевой провод.

Как-то раз от безденежья устроился я разъездным админом. Все были прикреплены к своим клиентам, а меня поставили на экстренные случаи, типа скорая помощь. Ну хорошее дело. За эти четыре месяца повидал столько разнообразнейших аварий, что не перечесть. Всевозможные синие экраны, белый дым из корпуса и так далее. А стаж-то у меня есть, чистых лет десять набралось к тому времени. Ну оно и понятно, в своём хозяйстве я просто никогда не доводил до такого, чтобы комп от рождения никогда не разбирался, пока хард не накроется. Со всей бухгалтерией, ага.
Один случай запомнился и я его теперь молодым админам как анекдот-наставление рассказываю. Позвали меня в бухгалтерию одного небольшого, но известного издательства. Чёрный экран. Понятно дело, бывает.
Пришёл, сел, включил комп. Биос есть, буковки есть, далее вместо винды чёрный экран. Хард лампочкой моргает, всё как обычно. VGA кабель? Нет, в биосе буковки были. Драйвера видео слетели? Да нет, было бы видно. Монитор глюкнул? Выключил монитор, включил. Нет, чёрный экран. Второго монитора, чтоб проверить, нет. Пожалел, что не линукс, так бы может в соседнюю консоль удалось бы выйти. Двойным кратким нажатием штатно выключаю комп. Лезу под стол, дёргаю рубильник на блоке питания. Ну чёрт знает, с бубном-то что ж не попрыгать, если мыслей нет. Включаю. Захожу в биос - ничего необычного, клава в норме, видео встроенное. Жаль, перевоткнуть не получится, да и буковки-то вот они. Выхожу из биоса. Загрузка, чёрный экран. Двойное нажатие, выключение, включение, F8, safe mode. Чёрный экран. Да блин.
А прошло уже минут 7-8, за это время бухгалтерша уже успела раза три зайти и спросить как дела и что так долго.
Ещё раз перебираю в уме. Дрова - нет, видеокарта - нет, кабель - нет, монитор - нет, всё нет. Обычный бухгалтерский комп в бухгалтерии. Монитор... Хм. Тут я наклоняюсь к столу и вижу три кабеля, идущих сзади от монитора. WTF? Оказывается за день до этого мой коллега, прикрепленный к этому издательству, настраивал сервер, подключив его к этому компу DVI кабелем и так его включенным в монитор и оставил. Один конец в мониторе, другой на полу. Винда же, почуяв, что этот порт монитора чем-то занят, его и втыкала. Уф, чтоб вас всех. Всё, готово, принимайте. А себе жирную зарубку на носу сделал - перед тем, как смотреть незнакомый комп спереди, обойти его сзади на предмет неожиданностей.
На следующий день звонит начальник. "Как дела?" - спрашивает. Рассказываю как дела. "В издательство опять кому-то съездить надо". "Ну я съезжу". "Не. Просят другого мастера, говорят - вы прислали нам вчера какого-то нового, мы его попросили помочь, а он как дибил сидел, десять минут в чёрный монитор смотрел".
Иногда всё гораздо проще, чем думаешь :)

«Как редактировать пдф», «Монтаж видео онлайн», «Проверить текст на орфографию» — эти и другие запросы вводил, наверное, каждый из нас. Чтобы не тратить время на поиск нормальных сайтов, которые реально будут работать, — используйте дополнительные приложения. На Allsoft.ru есть все, что поможет в трудовых буднях не сойти с ума: утилиты для ускорения работы компьютера, записи экрана, учета рабочего времени сотрудников и другой софт со скидками. Мы подобрали 11 программ по приятным ценам, которые только упростят жизнь.

[моё] Локальная сеть Интернет

1. Персональная подписка на Microsoft 365 — все необходимое и даже больше


В пакете собраны все популярные офисные приложения компании: Word, Excel, PowerPoint, Skype, Access, Publisher, облачное хранилище OneDrive и электронная почта Outlook. Подписка действует год и предназначена для использования одним человеком. Вы можете легко подключить к профилю несколько устройств, чтобы работать над одним документом с компьютера, планшета или смартфона.


Главные фишки Microsoft 365 — искусственный интеллект и премиальные материалы для верстки. В распоряжении подписчика — сотни шрифтов, тысячи стоковых изображений, новые значки и шаблоны для презентаций и таблиц. А встроенный «Корректор» проанализирует текст и укажет на грамматические и лексические ошибки.


Расширенные функции защиты от вредоносного ПО, круглосуточная техподдержка и неограниченные возможности для творчества (стоковые картинки, шрифты и значки) — если хотите обслуживания по высшему классу, смело подписывайтесь на Microsoft 365. Тем более, пока действует скидка!

2. «АСТЕР» для совместной работы за одним компьютером»

[моё] Локальная сеть Интернет

Купить компьютер для каждого члена семьи получается не всегда. Приходится делить одно устройство на всех. Игры для ребенка и рабочие документы для себя, которые случайно кто-то из родственников может удалить. Поделить один ПК на несколько человек поможет программа «АСТЕР» — у каждого пользователя будет свой рабочий стол на базе одного системного блока и два человека смогут работать за одним компьютером одновременно. Конечно, потребуется второй монитор, клавиатура и мышь.


С платной версией программы к одному компьютеру можно подключить до 12 человек, поэтому «АСТЕР» идеально подойдет для офисов, библиотек, школ и домашнего использования большой семьей.

3. ABBYY FineReader для работы с PDF-файлами


Несмотря на все плюсы PDF-формата, редактировать его сложнее, чем файлы других типов. Во многом поэтому FineReader считается лидером среди программ подобного типа: она умеет не только конвертировать и просматривать PDF-файлы, но и редактировать текст.

Над распознаванием текста в FineReader трудится нейросеть — искусственный интеллект определяет заголовки, подзаголовки, абзацы и все остальное. Каждый из этих элементов вы можете свободно редактировать даже в документах без готового текстового слоя (в сканах, например).


У ABBYY есть еще одно полезное приложение, которое пригодится переводчикам — Aligner Freelance. Программа запоминает переводы предложений и предлагает уже готовые варианты при работе с другими текстами, что значительно ускоряет работу.

4. Windows 10 Pro с большими возможностями для компаний


Версия Windows 10 Pro отличается от стандартной продвинутыми функциями, которые будут полезны предпринимателям и разработчикам.


Достоинства редакции Pro:

— мощный инструмент для повышения конфиденциальности Bitlocker, который шифрует данные внешних накопителей и защищает рабочие файлы;

— войти в учетную запись компьютера, который далеко, можно с функцией удаленного рабочего стола на другом устройстве;

— работа в нескольких операционных системах (например, Windows и Linux) на одном компьютере с Hyper-V.


Если все эти возможности для вас неактуальны, то используйте стандартную версию Windows 10 Home.

5. Программа учета рабочего времени Yaware.TimeTracker

[моё] Локальная сеть Интернет

Как проверить, кто из сотрудников весь день листает ленту Instagram, а кто реально работает? Установите программу Yaware, которая считывает активность каждого работника и составляет рейтинги эффективности. Вы увидите, кто больше всех сидит в чатах, дольше обедает и сравните продуктивность отделов.


Сотрудники оставят соцсети на время работы, а вы повысите эффективность отделов — так обещают разработчики. Софт может работать в открытом и скрытом режиме, то есть сотрудник может знать, что вы включили программу, а может не знать.

6. Advanced SystemCare PRO для увеличения скорости работы компьютера


Наши устройства становятся медленнее с каждым годом из-за огромного количества временных файлов, которые создает ОС. Если ничего не делать, производительность компьютера будет падать. Лучше всегда держать систему в тонусе и удалять бесполезный мусор. Эти действия не нужно выполнять самостоятельно, SystemCare PRO сделает все за вас.


Утилита сканирует систему, ищет ошибки в реестре и временные файлы, которые можно удалить, а еще повышает скорость работы устройства. SystemCare PRO работает сразу в нескольких направлениях: защищает систему от вредоносного ПО, оптимизирует операционную систему, а также защищает личные данные.

7. Pinnacle Studio 24 для создания профессиональных видео


В этом году Pinnacle Studio получила массу обновлений: помимо стандартных инструментов видеомонтажа в ней появились возможности создавать динамические маски, визуальные эффекты (в том числе моушн) для титров. Сейчас в программе доступны все инструменты для монтажа современных видео, так что нужна только ваша фантазия.


У Pinnacle Studio 24 есть несколько версий подписки, которые отличаются количеством подключенных камер, аудиотреков и доступных эффектов. В версии Ultimate можно редактировать видео в 4K.

8. ScanPapyrus для удобного сканирования документов и книг


ScanPapyrus простая программа для сканирования бумажных документов, книг или учебников на сканере или МФУ. Может отсканировать многостраничные материалы, автоматически распознать отдельные страницы и поделить их на два разных файла, обрезать черные полосы и улучшить изображение.

9. Movavi Screen Recorder для упрощения задач

[моё] Локальная сеть Интернет

Провели вебинар или важное собеседование, но прийти смогли не все — не проблема. Заранее поставьте запись с экрана, чтобы потом любой прогульщик смог прослушать важную информацию. У Movavi Screen Recorder несколько режимов записи: полный экран, отдельные окна, звук или выделенная область.


Еще один полезный софт из той же серии — Video Converter Premium пригодится эсэмэмщикам и блогерам. Утилита конвертирует файл под параметры любой платформы: от YouTube до Instagram.

10. ОРФО 2016 для прокачки навыка письма


Даже самые внимательные иногда ошибаются. Софт проверяет все необходимые параметры текста: грамматику, орфографию и стилистику, анализирует согласование окончаний, показывает синонимы слов.


«ОРФО» работает с большинством популярных офисных программ, в том числе с приложениями Microsoft Office. Словарь программы регулярно обновляется согласно актуальным рекомендациями орфографической комиссии и Института имени В. В. Виноградова.

11. Антивирус ESET NOD32 Internet Security для защиты всех устройств


Комплексный антивирус следит за состоянием и уязвимыми местами компьютеров, телефонов и планшетов. Пакет безопасности фильтрует URL-адреса, чтобы вы ненароком не попали на вредоносный сайт, сканирует все подключаемые USB-накопители и умеет предотвращать атаки через PowerShell.


Владелец лицензии может установить программу на три или пять устройств — количество зависит от типа пакета. Мобильное приложение антивируса доступно только для планшетов и смартфонов на Android.


Во время «Черной пятницы» с 26 по 29 ноября в интернет-магазине Allsoft море софта продается с большими скидками. Даже после окончания «Черной пятницы» вы всегда найдете в Allsoft программы с выгодными скидками — следите за обновлениями разделов «Распродажа» и «Специальные предложения».

Автор текста: Влада Гончарук

Как-то раз от безденежья устроился я разъездным админом. Все были прикреплены к своим клиентам, а меня поставили на экстренные случаи, типа скорая помощь. Ну хорошее дело. За эти четыре месяца повидал столько разнообразнейших аварий, что не перечесть. Всевозможные синие экраны, белый дым из корпуса и так далее. А стаж-то у меня есть, чистых лет десять набралось к тому времени. Ну оно и понятно, в своём хозяйстве я просто никогда не доводил до такого, чтобы комп от рождения никогда не разбирался, пока хард не накроется. Со всей бухгалтерией, ага.
Один случай запомнился и я его теперь молодым админам как анекдот-наставление рассказываю. Позвали меня в бухгалтерию одного небольшого, но известного издательства. Чёрный экран. Понятно дело, бывает.
Пришёл, сел, включил комп. Биос есть, буковки есть, далее вместо винды чёрный экран. Хард лампочкой моргает, всё как обычно. VGA кабель? Нет, в биосе буковки были. Драйвера видео слетели? Да нет, было бы видно. Монитор глюкнул? Выключил монитор, включил. Нет, чёрный экран. Второго монитора, чтоб проверить, нет. Пожалел, что не линукс, так бы может в соседнюю консоль удалось бы выйти. Двойным кратким нажатием штатно выключаю комп. Лезу под стол, дёргаю рубильник на блоке питания. Ну чёрт знает, с бубном-то что ж не попрыгать, если мыслей нет. Включаю. Захожу в биос - ничего необычного, клава в норме, видео встроенное. Жаль, перевоткнуть не получится, да и буковки-то вот они. Выхожу из биоса. Загрузка, чёрный экран. Двойное нажатие, выключение, включение, F8, safe mode. Чёрный экран. Да блин.
А прошло уже минут 7-8, за это время бухгалтерша уже успела раза три зайти и спросить как дела и что так долго.
Ещё раз перебираю в уме. Дрова - нет, видеокарта - нет, кабель - нет, монитор - нет, всё нет. Обычный бухгалтерский комп в бухгалтерии. Монитор... Хм. Тут я наклоняюсь к столу и вижу три кабеля, идущих сзади от монитора. WTF? Оказывается за день до этого мой коллега, прикрепленный к этому издательству, настраивал сервер, подключив его к этому компу DVI кабелем и так его включенным в монитор и оставил. Один конец в мониторе, другой на полу. Винда же, почуяв, что этот порт монитора чем-то занят, его и втыкала. Уф, чтоб вас всех. Всё, готово, принимайте. А себе жирную зарубку на носу сделал - перед тем, как смотреть незнакомый комп спереди, обойти его сзади на предмет неожиданностей.
На следующий день звонит начальник. "Как дела?" - спрашивает. Рассказываю как дела. "В издательство опять кому-то съездить надо". "Ну я съезжу". "Не. Просят другого мастера, говорят - вы прислали нам вчера какого-то нового, мы его попросили помочь, а он как дибил сидел, десять минут в чёрный монитор смотрел".
Иногда всё гораздо проще, чем думаешь :)

Microsoft:купила Bethesda.


Следующий Fallout

[моё] Локальная сеть Интернет
[моё] Локальная сеть Интернет
[моё] Локальная сеть Интернет
[моё] Локальная сеть Интернет

Из сети

Бм ругался на картинку

[моё] Локальная сеть Интернет
[моё] Локальная сеть Интернет

P.s. Баянометр вроде не ругался.

[моё] Локальная сеть Интернет
Временами мне кажется, что по ночам за мой код садится гремлин, переименовывает переменные и убирает скобки
[моё] Локальная сеть Интернет
[моё] Локальная сеть Интернет
4665

[моё] Баг Лента новостей

Развернуть

У вас было такое?

Листаешь ленту, попадается реклама, листаешь ниже, загрузка, и лента проматывается куда-то в стратосферу просто, листаешь выше чтобы найти тот момент, а нету его, начало, нажимаешь "просмотреть скрытые посты" а там этого места тоже нет и ощущение что много чего интересного еще пропустила.

Если это баг такой, исправьте пожалуйста.

Скриншотов нет, лучше было бы в тот момент запись с экрана сделать, но сорри, что-то я до этого не додумалась, да и момент поймать довольно сложно (это повторяется на постоянной основе, поэтому решила написать)

Сижу на любимом сайте с ПК (Windows 10)

4789

[моё] Яндекс Bugbounty

Развернуть
[моё] Яндекс Bugbounty

Приключилась со мной история, которая отражает лояльность компании Яндекс.

Небольшой спойлер - история на миллионы.


Яндекс проводит конкурс "Охота за ошибками", в рамках которого, участник нашедший уязвимость, удовлетворяющую условиям конкурса, может рассчитывать на денежное вознаграждение (более подробно с условиями и самим конкурсом можно ознакомиться здесь https://yandex.ru/bugbounty/).


Решил я один из вечером посвятить анализу сервисов Яндекса на наличие уязвимостей. Претендентом на анализ стал https://eda.yandex.ru/.

Буквально через пол часа анализа кода сервиса, наткнулся на интересный момент.

На сервисе в исходном коде сразу же красуется такой код:


<link rel="preconnect" href="https://enterprise.geocode-maps.yandex.ru" />
<link rel="preconnect" href="https://enterprise.api-maps.yandex.ru" />

Проще говоря, данный код заранее устанавливает соединение с указанным сайтом, а это значит, что скорее всего эти сервисы используются далее на сайте, так оно и есть. Продолжив анализ кода, я нашел где задавался API ключ для вышеуказанного сервиса, а именно js объект в котором задавался ключ объекта geocodeKey и его значение "c0d403ab-e5be-4049-908c-8122a58acf23", именно он и станет виновником данного "торжества".


Раз "пациент" подключается к geocode-maps.yandex.ru, можно предположить, что тут происходит геокодирование. Если углубиться, то можно узнать, что у Яндекса есть два вида версии API (бесплатная и платная). Платная подключается с префиксом "enterprise" в адресе, как в нашем случае enterprise.geocode-maps.yandex.ru.


Уже становится интересно, так как на сайте подключена платная версия API.


Здесь можно ознакомиться с расценками на API ключ https://yandex.ru/dev/maps/commercial/doc/concepts/jsapi-geocoder-docpage/
Небольшой спойлер, цены за год пользования API ключом доходят до 1.5 млн рублей.

Провожу прямое геокодирование и ожидаю ошибку 403 (это ошибка, когда на API ключ наложено ограничение, например по IP или домену, откуда идет запрос), но на моё удивление, я получаю успешный результат геокодирования и всё бы ничего, если бы это был бесплатный запрос, но геокодирование один из пунктов платных запросов на API ключе Яндекса.
Пример прямого геокодирования с ключом Яндекса:

https://geocode-maps.yandex.ru/1.x/?apikey=c0d403ab-e5be-4049-908c-8122a58acf23&geocode=%D0%A0%D0%BE%D1%81%D1%81%D0%B8%D1%8F,+%D0%91%D0%B5%D0%BB%D0%B3%D0%BE%D1%80%D0%BE%D0%B4%D1%81%D0%BA%D0%B0%D1%8F+%D0%BE%D0%B1%D0%BB%D0%B0%D1%81%D1%82%D1%8C

А здесь мы видим https://yandex.ru/dev/maps/commercial/doc/concepts/jsapi-geocoder-docpage/

что прямое геокодирование или обращение к HTTP API Геокодера является тарифицируемым запросом, т.е. платным, но ведь мы сделали запрос, получили успешный результат и ничего не заплатили!


Далее проведя еще несколько тестов, я окончательно убедился, что Яндекс не защитил свой корпоративный API ключ от стороннего использования и тут же создал обращение, через программу "Охота за ошибками" от Яндекса.

Ниже представлена переписка с сотрудником Яндекса.


Яндекс:

Проблема использования чужих geocodeKey в JS API нам была уже известна. В связи с этим, к сожалению, мы не можем присудить за нее вознаграждение.


Я:

А при чем здесь использование чужих geocodeKey в JS API, я говорю про конкретный случай в вашем сервисе, про ваш geocodeKey, который вы же и не защитили, что позволяет его использовать всем желающим.

Яндекс:

Так geocodeKey используется в JS API на стороне браузера, защитить его от попадания в браузер технически невозможно. Проблема использования этого geocodeKey сторонним сервисами нам уже была известна. В связи с этим, к сожалению, мы не можем присудить за нее вознаграждение.

Я:

А для чего тогда вот это?
[моё] Яндекс Bugbounty
Это как раз и защищает ключ от стороннего использования его в платных функциях, например геокодирование.
Как я ранее приводил пример, если у ключа нет ограничений, его может применять кто угодно, но если поставить ограничение в функционале (см скриншот выше), тогда на запрос
https://geocode-maps.yandex.ru/1.x/?apikey=c0d403ab-e5be-4049-908c-8122a58acf23&geocode=Россия, Белгородская область
будет отдаваться не результат геокодирования, а
<error>
<statusCode>403</statusCode>
<error>Forbidden</error>
<message>Invalid key</message>
</error>

Яндекс:

Действительно ключ не защищен стороннего использования. К сожалению эта проблема не входит в рамки программы "Охота за ошибками". В связи с этим мы можем добавить вас в Зал Славы Охоты за Ошибками (https://yandex.ru/bugbounty/hall-of-fame/) без назначения денежного вознаграждения.

Я:

Почему данная проблема не входит в рамки программы "Охота за ошибками"?
Здесь сказано
https://yandex.ru/bugbounty/
1. "Где искать
Веб-сервисы: на доменах yandex.ru, yandex.com, yandex.com.tr, yandex.kz, yandex.ua, yandex.by, yandex.net (кроме people.yandex.net), yandex.st, eda.yandex, ya.ru."
eda.yandex - входит в данный перечень
2. "A01. Инъекции", согласно классификации "OWASP Top-10 версии 2010 года" .
Это недостаток внедрения. Злоумышленник может воспользоваться вашим же ключом в своих корыстных целях путем подстановки его в get запросы, своего рода проведя инъекцию на выполнение платных запросов для получения данных (бесплатно) без надлежащей авторизации.

Яндекс:

Описанная вами проблема с нашей точки зрения не относится к классу "A01. Инъекции", а относится к классу отсутствия лимитов на использование API. К сожалению, правилами нашей программы пока не предусмотрены выплаты за такой тип уязвимостей, если они не затрагивают безопасность данных наших пользователей.

Я:

Уточните, пожалуйста, согласно какой классификации вы отнесли данный баг к классу "отсутствия лимитов на использование API"?
Даже если не расценивать данный баг как инъекцию, то он подпадает, как минимум, под один из классов классификации "OWASP Top-10 версии 2010 года":
2. Broken Authentication.
5. Broken Access Control.
6. Security Misconfiguration.

Яндекс:

Согласно классификации OWASP API Security Top 10 2019 (https://owasp.org/www-project-api-security/). С нашей точки зрения описанная вами проблема не может отнесена к категориям "Broken Authentication", "Broken Access Control", "Security Misconfiguration".

Итоги:

1. Пришлось потратить не мало времени, чтобы доказывать и "разжевывать" Яндексу, что найденный баг является багом, а также немного научить пользоваться их же функционалом (я про выставление ограничений на ключ).

2. В их же условиях указано, что "В качестве классификации уязвимостей для веб-сервисов используется OWASP Top-10 версии 2010 года, для мобильных приложений — OWASP Mobile Top-10.", но в диалоге их сотрудник уточнил, что мою уязвимость они классифицировали по "OWASP API Security Top 10 2019".

3. Найденный баг был передан Яндексу 9 июня 2020 года, прошло более 3 месяцев, но Яндекс так и не исправил баг и любой желающий может совершенно бесплатно воспользоваться их корпоративным API ключом "c0d403ab-e5be-4049-908c-8122a58acf23", стоимость которого достигает до 1.5 млн рублей в год и более. В зал славы меня добавили https://yandex.ru/bugbounty/hall-of-fame/2020/6/ , а вот в денежном вознаграждении отказали ("Конкурсы занятные и призы интересные").


P.S. я лишь донес историю, случившуюся со мной и то как повел себя Яндекс в такой ситуации. Участвовать в данном конкурсе или нет, решать только вам!

14288

[моё] Баг Microsoft

Развернуть

Добрый день,

Нашел одну проблему, которая на мой взгляд достаточно серьезна, но Microsoft не спешит ее решать.

В один прекрасный день я стал замечать на что компьютерах у пользователей, которые используют Office365 и Teams диспетчер задач показывает время активности диска около 100%, и почти вся активность от Outlook. Поначалу предположил что Outlook переиндексирует локальную базу писем, но настораживало то, что почти вся активность - запись, причем со скоростью 3-5 мегаБайт в секунду - а это 253ГБ в сутки из расчета 3МБ/с, что при ресурсе среднего диска на 250ГБ в 150TBW почти гарантированно убъёт диск за 607 суток.


Стал отслеживать активность на своем компьютере и она не снижалась даже после нескольких суток запущенного Outlook.


[моё] Баг Microsoft
[моё] Баг Microsoft

Начал копать - наткнулся на похожие проблемы на форумах Microsoft(например https://answers.microsoft.com/en-us/msoffice/forum/all/outlo...) - там некоторым помогало отключил Teams Mettings addon в Outlook - но это не мой путь т.к. пользователи используют функционал Teams в Outlook.


Тогда из широких штанин был вытащен Procmon и выяснилось что Outlook постоянно пишет логи телеметрии в несколько файлов, после этого сделал мини-скрипт, который запрещает писать эти логи аутлуку:


Attrib +r %appdata%\..\Local\Microsoft\MSIP\Telemetry\v1.7\*.*

Attrib +r %appdata%\..\Local\Temp\*.db*


Скрипт помогает сразу и без побочных эффектов.


Ну и немного нудной информации:


Проблема проявляется на компьютерах с установленным Office365 и Teams, начиная с обновления Office365 примерно в середине октября 2019 года и до самой свежей версии на момент написания поста, проблему наблюдал и на x86 и x64 сборках Office365. ОС - Windows 1903 и 1909.


Тикет в Microsoft пока открыть не могу т.к. мою учетку забыли добавить в Microsoft Support Plan

Результаты выполнения скрипта:

[моё] Баг Microsoft
[моё] Баг Microsoft
9242

Reddit Близнецы Сходство

Развернуть
Reddit Близнецы Сходство
8216

[моё] Мвидео Баг

Развернуть

Сегодня на почту пришёл промокод магазина М.Видео на 5000 рублей.

Как раз надумывал купить новые наушники.

Ввожу промокод иии...

[моё] Мвидео Баг

От суммы 600 000 809 рублей!!!

Если кто надумал покупать магазин М.Видео забирайте мой промокод. 

4540

Типичный проект

Развернуть
Типичный проект
967

Разработчикам виднее как должно быть)

Развернуть
Разработчикам виднее как должно быть) GIF
4792

Как Мвидео снимает сливки под новый год и обманывает прикрываясь багом

Развернуть
Сразу расставлю все точки на i. Я сотрудник "мвидео", нет не тупой из категории "с видеокартой значит игровой"  хотя таких валом. Раньше я более-менее снисходительно относился к данной сети, но эта история отрезвила мой взгляд на политику этой компании да и всего ритейла в принципе. 
Началась она 3 месяца назад, когда в за***вшей всех сотрудников рекламе (та что крутят фоном в зале) начали говорить про то как круто покупать в "мвидео" цифровые ключи, и топили за то, что у нас то!!!! на них можно потратить все бонусные рубли, которые начисляются 1 к 30.
В общем то такая статья и сейчас висит на сайте
Как Мвидео снимает сливки под новый год и обманывает прикрываясь багом
В итоге купил в тот период пару игруль, благо бонусов у меня было с запасом.
Но начинается самое интересное... ВЫСОКИЙ СЕЗОН!!! Это время когда один магазин поднимает в день по 2-3шт lamborghini huracan.
И начинает происходить интересное.
Как Мвидео снимает сливки под новый год и обманывает прикрываясь багом
Что же. Я думая, будто бы знаю что делать в таких ситуациях звоню на горячую линию. А там говорят.
Как Мвидео снимает сливки под новый год и обманывает прикрываясь багом
В магазинах на кассе тоже не оплатить, при том на кассе то это ни баг никакой, а тупо отключенная акция.
Ну проходит неделя, две, три!!!! На мои вопросы ответ по прежнему тот же.
То есть Такой гигант как Мвидео (и пи***асы с АКИТ) не могу починить "баг" на сайте почти месяц???
На мой следующий звонок ответ был примерно таким
Как Мвидео снимает сливки под новый год и обманывает прикрываясь багом
А теперь объясняю. Маржинальность цифровых ключей равна 0%. Чтобы не терять прибыль с покупки аксессуаров где маржа измеряется в тысячах процентов компания намеренно ограничила доступ к покупке цифровых ключей в предновогодний период прикрываясь БАГОМ.!
Я конечно не адвокат, но выглядит это уж очень как-то...

P.S. Никогда не покупайте в магазинах группы "АКИТ" ничего, разве что покупка по принципу "здесь и сейчас". Эта самая "АКИТ" лоббирует закон и налогообложении покупок с Aliexpress, Ebay, amazon и т.д.

Всем добра и хороших покупок.
3914

Ужасная смерть

Развернуть
Ужасная смерть GIF
2146

Bethesda... Bethesda never changes

Развернуть
Bethesda... Bethesda never changes
2383

Багфикс

Развернуть
По мотивам поста: https://pikabu.ru/story/udaril_mordoy_v_gryaz_no_vyishel_pob...
Багфикс
3498

Про баги

Развернуть
Про баги
479

Когда убер дешевле чем автобус

Развернуть
Когда убер дешевле чем автобус
Баг наверное, примерно такая же сумма и до Минска. До Бреста уже в районе 30к
3972

Разработчикам Electronic Arts виднее, как должно быть)

Развернуть
Разработчикам Electronic Arts виднее, как должно быть) GIF
1864

Когда в душе ты сурикат

Развернуть
Когда в душе ты сурикат GIF
4819

Когда перестаешь чувствовать реальность

Развернуть
Иду недавно с работы. Народу мало уже, тротуар почти пуст. Вечерело...Смотрю впереди меня парень лет 25-30 стоит, озирается посередине тротуара. Подхожу поближе. Оказалось их было двое: парень и его убойный перегар. Подходят они ко мне, у парня на лице ужас и непонимание. Смотрит на меня с надеждой:
-Браток, гдеееее м-мы?
-Ну в Ереване, отвечею - не было желания отшутиться в духе "застряли в матрице".
У парня дыхание захватило:
-Бляяя, в Краснодаре же пили... - бедняга, чуть в слёзы не ударился.
Тут к нам подходит явно армянин и на чистом русском обращается к парню:
-Лёша, ты достал у же всех своим Краснодаром, пойдём домой.
-О, Араик, ты тоже здесь оказался! - Лёша прямо расцвёл на глазах, заулбался.

Как объяснил Араик, они с Лёхой уже год живут здесь, работают. Ну иногда и напиваются. И тогда у Лёхи происходит неипический сбой в системе и он начинает ходить и бредить Краснодаром, тянет его туда, хотя сам он с Кемерово и в Краснодаре ни разу не был.
4322

Про планы, дела и дофамин

Развернуть
Про планы, дела и дофамин
Вы составляете километровые планы, клянётесь, что всё сделаете, ложиться спать с твёрдым намерением вгрызться в дела вот прямо с утра - и на следующий день тупите до часу, не может заставить себя начать, даже будучи вроде бы выспавшимся и вроде бы при нормальном сомочувствии?

Так было всегда - уже со школы?

Вас это очень раздражает, но вы ничего не в состоянии с собой сделать?

Если ответ положительный, возможно, у вас дофаминовый сбой.
Это ещё один совокупный подарок нам любимым от матери-природы и мачехи-жизни.

Дофамин - медиатор достижений. Он вырабатывается, когда что-то получается.

Вы сделали работу, получили результат, что-то поняли, чего-то достигли. - Молодец! Возьми с полки пирожок! Ну, то есть на тебе твой дофамин, кайфуй.

В норме дофамин - один из мощнейших медиаторов мотивации. Наше стремление что-то делать, выполнять какие-то задачи и даже просто браться за них во многом завязано именно на дофамин.

Причём, надо понимать, что в природе всё построено на стремлении к получению максимума результата при минимуме затрат. Поэтому наши мозги при выполнении любой задачи сканируют ситуацию, оценивают возможности и составляют прогноз: насколько вероятен успех. Если он маловероятен - шевелиться нет смысла. Если очень вероятен, то тут же включаются активирующие системы для работы по достижению.

Сидит, скажем, лев в кустах. И надо бы пожрать. И на горизонте стадо газелей.

Но.

До горизонта степь и в ней ни кустика. Стадо не просто так пасётся, оно мониторит окрестности. При таких вводных его скорее всего засекут ещё на дальних подступах. Соответственно стадо срулит когда лев будет на полпути к нему. Ну и смысла топать нет, нефига зря тратить силы.

А вот если какая-то коза настолько дурная, что пошла гулять и догуляла до ближнего куста - это уже другое дело. Тут мозги переходят в режим "охота", кортизол, адреналин и прочие поднимают активность. Глазоньки засверкали, ушки домиком, лапы напряглись - вперёд, за обедом.

У льва нет того разума, которым оценили бы эту ситуацию мы. Он не прикидывает "ой, далеко". Его поведение строится не на интеллектуальном анализе, а на совокупности случаев из прошлого опыта.

Увидел газель в кустах - прыгнул - поймал. И получил дозу дофамина.

Увидел вдалеке стадо - побежал - обломался. - Не получил дофамина.

В следующий раз мозги уже знают, когда дофамин вероятен, когда нет.

И они не будут активировать соответствующие системы, если вероятность получить свою наркоту стремится к нулю. На кой, спрашивается?


Планировали много дел на свободный день? Не получилось выполнить всё задуманное? - Ну, так вы свой дофамин и не получили. А шли-то вообще-то и за ним тоже.

Не получилось два-три-четыре раза? - Всё, мозги точно знают, что это провальная затея и не активируют вам организм на трудовые подвиги. Ибо - нафиг? Вы сейчас упашетесь, время и силы потратите, профита не получите... ты бы, в-общем, лучше полежал, дорогой.

Дальше начинается триллер Годзилла против Конга. Продвинутая обезьяна опять пытается пересились архаичную рептилию. Чем больше высший примат себя заставляет, тем больше сопротивление. Ведь с точки зрения дофаминовой системы усилие порожнее. Чем больше сопротивление, тем хуже результат, дела накапливаются и переносятся на завтра, напряжение тоже накапливается. Гора дел становится непреодолимой и затмевает эверест. Защитные механизмы (это в другой раз) пытаются эту гору развидеть - вы начинаете всё забывать...

К сожалению, нормальную работу дофаминовой системы многим из нас сбили ещё в детском саду.

Во-первых, у нас вообще не очень принято подкреплять результат, что у детей, что у взрослых, что в школе, что в семье, что на работе. У нас принято использовать критику и негативную стимуляцию. Чем это фигово? Человек с таким мотивировочным паттерном работает не на результат, а на избегание наказания. Результат тут вообще ни при чём. Что бы ты ни делал тебя в лучшем случае - не отлают. Поэтому смысл не втом, чтобы что-то делать и достигать, а в том, чтобы не попадаться на глаза начальству, не высовываться, слиться с ландшафтом. Выполнять можно требуемый минимум. В идеале - откосить, там где можно откосить.

Отсюда страдания на всю страну разных руководителей высокого уровня об неэффективности российской рабочей силы.

Во-вторых, если вы думаете, что за время с развала совка что-то в целом поменялось - так нет. Стало даже хуже.

Возьмём сад. Я регулярно слышу от родителей садовских детишек, что сидели до трёх ночи, делали для ребёнка задание по труду. Родители делали. Угадайте, кто дофамин получил? И будет ли у ребёнка мотивация нормально развиваться.

2-3-4 года - очень важный период именно для формирования мотивационных механизмов. Это именно тот возраст, когда между макакой и ящерицей устанавливаются в этом плане "дипотношения", которые будут иметь значение всю оставшуюся жизнь.

Что я регулярно вижу? Маме некогда, поэтому ребёнок (нормальный шестилетний ребёнок) стоит, пока она его застёгивает. Маме неприкольно, когда маленькое чадо пытается справиться с пылесосом и пылесос отобрали, а чадо послали смотреть мультики, чтобы не мешалось под ногами.

А потом они приходят и говорят - его ничего не заставишь делать! Ему ничего не интересно! Он ничего не хочет!

Хотеть что-то делать тоже надо уметь. Если у ребёнка дофаминового опыта нет (а его всеми силами этого опыта лишали в критически важное время) - он и не знает, что от делания чего-то бывает хорошо. Более того, потом его начинают заставлять делать то, что ему никакого кайфа не приносит с воплями и из-под палки.

Это всё опять же последствия изменившихся условий жизни. Увеличившаяся продолжительность жизни, контроль рождаемости и некоторые другие нюансы позвояют очень сильно "продлить детство", вопреки возможностям.

Между прочим в первобытных обществах где-то с трёх-четырёх лет ребёнок уже не балласт, а пользу приносит - собирает корешочки, таскает всякую мелкую фигню, типа сумочки с теми же корешочками. Да и ладно, что все подряд, мама разберётся, он научится. В четыре - пять эти дети уже за мелочью следят самостоятельно и вполне способны помогать по немудрённому хозяйству. В семь-восемь лет в крестьянских семьях дети вовсю использовались в повседневном труде. И у них вполне получалось и кашу готовить (в печи на минуточку) и избу мести (веником, а не пылесосом). Так что дети куда менее беспомощны, чем это укоренено в нашем повседневном сознании. И когда говорят, что дети несамостоятельны, ничего не умеют - это чаще всего следствие воспитания. Не дети поменялись, поменялся подход к детям.

В школе в ряде случаев дофаминовый баг закрепляется. Тут можно писать много, но давайте не будем, потому что принцип тот же - мотивация строится не на тех медиаторах и механизмах, которые ответственны за мотивацию.

С годами всё это входит в систему и формируется особый тип функционирования. Такие люди вообще малочувствительны к похвале, зачастую не знают, как на неё реагировать, не воспринимают её и не чувствуют от похвалы никакого удовлетворения. Работают только на пинковой тяге. На действия поднять их может только угроза полного и тотального неумолимого абзаца. Знаете таких? У 90% этих людей - просто не простроено нормально функционирование дофаминовых механизмов мотивации. Причём оно искусственно убито и подлежит восстановлению путём несложных манипуляций.

Самое основное, что надо помнить при прокачке дофаминовых систем:

Дофамин выделяется на результат.

Отсюда мораль: любая задача, которую вы перед собой ставите должна быть гарантированно выполнима. У вас должно получиться.

Дела надо планировать так, чтобы они были максимально исполнябельны в заданные сроки. Все дела так спланировать не получится, но форсмажоры-форсмажорами, у нас речь о повседневшине.

Если возвратиться к началу поста и вспомнить историю про список дел и посмотреть на него внимательно, то "Результат" = "Я вотпрямсегодня переделал всё".

Развидьте.

Во-первых, не планируйте себе дел на весь день, даже если он свободен. Оставьте не меньше трети на гарантированный отдых.

Во-вторых, разбейте свой список на отдельные дела. Напишите их на бумажках и постарайтесь переформатировать цель. Каждое дело = результат.

Сделал одно? - Молодец, возьми с полки дофамин!

Тут есть проблемный момент, что далеко не сразу это начинает срабатывать. Когда вы годами в одной колее, то просто так дофамина вам не накапают, его поначалу приходится доить долго и мучительно, как старую корову. Поэтому постарайтесь чтобы у вас было подкрепление за счёт каких-то других медиаторов счастья.

Таким подкреплением может быть перерыв на чашку кофе, кусочек любимого вкусненького, три-четыре минуты движения (при физической активности вырабатывается эндорфин) эмоциональная положительная реакция другого человека (не обязательно, чтобы она была даже особо искренней, можно прийти к кому угодно достаточно адекватному и доверенному и попросить о содействии).

При чём тут сон? Чем эффективнее вы в повседневной жизни, чем чаще вы ложитесь с чувством удовлетворения от выполненных дел, чем меньше тревог у вас вызывает завтрашнее "планов громадьё" - тем лучше спится.
Про планы, дела и дофамин
источник

РОЛЬ ДОФАМИНА В СИСТЕМЕ МОТИВАЦИИ

Исследования показали, что дофамин в мезолимбической системе у животных и людей повышается от вкусной еды, приятных телесных ощущений, секса, и от ассоциированных с ними мыслей.

Соответственно, дофамин там резко падает от голода, холода, боли, неприятных телесных ощущений и ассоциированных с этим мыслей. То есть повышение дофамина в мезолимбике маркирует полезные для выживания и размножения действия, а падение дофамина - маркирует вредные и опасные действия.  

Повышение дофамина в мезолимбике вызывает у человека чувство удовольствия, а понижение - чувство неудовольствия, что потом записывается в память, ассоциируется нейронными связями с данным действием, и помогает людям и животным определять надо ли снова делать данное действие в будущем, или надо его избегать. Кроме того, активизация/деактивизация некоторых отделов "системы поощрения" (в частности "вентральная область покрышки") влияет на префронтальную кору головного мозга (мезокортиальный путь), отвечающую за движение и принятие решений, и таким образом влияет на то, будет ли человек выполнять задуманное ранее действие или нет.

отсюда

(К сожалению, ссылка на источник основного текста не вставляется, домен запрещен Пикабу)
897

Багам быть!

Развернуть
В далёком будущем, когда виртуальная реальность станет неотличима от настоящей, для создателей видеоигр будет обязательным создание визуальных багов, чтобы человек понимал где он находится.
Багам быть!
3495

Расистский телеграмм

Развернуть
Расистский телеграмм