LINUX.ORG.RU
ФорумTalks

https://visa.qiwi.com продолжает радовать отборным говнокодом на своем платежном сайте


0

1

хотя свой прошлый говнокод говнокод: https://visa.qiwi.com/ они пофиксили (кстати, месяц или два назад), но чтобы юзерам жизнь медом не казалась, решили добавить новый

итак, заходим на visa.qiwi.com и смотрим, че нам показывает adblock... а он показывает, в числе прочего такие вот скрипты:

https://www.google.com/jsapi

https://stats.g.doubleclick.net/dc.js

особенно последний — это 39528 байт пожатого кода; беглый взгляд выделяет подстроку:

... c=new ActiveXObject(d+".6"),e="WIN 6,0,21,0",c.AllowScriptAccess="always" ... 

особенную пикантность этому коду придает то, что, как я уже писал, отправка формы авторизации киви делается через ява-скрипт

т.е. любой кодер из doubleclick.net совершенно не напрягаясь может сливать логины-пароли юзеров платежной системы visa.qiwi.com либо напрямую, либо, если ему это кажется недостаточно утонченным, делать это замаскированно, наколбасив кода в dc.js со «случайной» уязвимостью, и юзая уже ее

то же, собственно, относится к гуглю

★★★★★

Последнее исправление: www_linux_org_ru (всего исправлений: 1)

DoubleClick был куплен Google, собственно.

Darth_Revan ★★★★★
()
Ответ на: комментарий от XVilka

пойнт в том, что логин-пароль платежной системы могут легко уйти третьей стороне, что как-то совсем небезопасно

www_linux_org_ru ★★★★★
() автор топика
Ответ на: комментарий от www_linux_org_ru

У qiwi.

Для получения вознаграждения пользователю нужно направить письмо на адрес hack@qiwi.ru с описанием ошибки и своими контактными данными. Каждая заявка рассматривается специально созданной рабочей группой в срок до 15 рабочих дней с момента получения отправителем автоматического подтверждения доставки письма. Все ошибки, присылаемые для тестирования, будут оцениваться по двум самым важным для QIWI критериям: возможность повторения и денежная оценка возможного ущерба, который она может нанести. В зависимости от критичности данных факторов будет рассчитываться сумма вознаграждения. Количество заявок присланных от одного лица не ограниченно. В Программе лояльности может участвовать любой пользователь, не имеющий прямого доступа к коду QIWI. Единственное условие, которое QIWI ставит перед участниками — обязательное соблюдение правил конфиденциальности. Сутью которых является неразглашение содержания найденной ошибки до момента вынесения сотрудниками QIWI официального решения.

XVilka ★★★★★
()
Последнее исправление: XVilka (всего исправлений: 1)
Ответ на: комментарий от XVilka

ок, буду знать на будущее

но в данном случае «неразглашение содержания найденной ошибки до момента вынесения сотрудниками QIWI официального решения» невозможно (я уже запостил сюда)

www_linux_org_ru ★★★★★
() автор топика
Ответ на: комментарий от pekmop1024

да

поэтому при желании ее можно и не считать ошибкой (гы-гы), но со стороны кодера киви или какого-то успешного менеджера в киви, не устроившего минимальный аудит кода — это однозначно ошибка

www_linux_org_ru ★★★★★
() автор топика
Последнее исправление: www_linux_org_ru (всего исправлений: 1)
Ответ на: комментарий от www_linux_org_ru

расслабься. для киви денежный ущерб нулевой. а юзеры этого чуда изначально искатели приключений на свою жопу. так что все в порядке.

der_looser ★★
()

Вообще ни разу не пользовался их вебмордой. Только со смартфона.

SjZ ★★★★★
()
Ответ на: комментарий от der_looser

а юзеры этого чуда изначально искатели приключений на свою жопу

Ну давай, давай, предложи другой безгемморойный способ оплаты и ввода-вывода денег, причем круглосуточный.

SjZ ★★★★★
()
Ответ на: комментарий от der_looser

для киви денежный ущерб нулевой

подозреваю, что да

а юзеры этого чуда изначально искатели приключений на свою жопу

там многое сделано через жопу — скажем, к счету с самого начала привязана постоянная карта, хотя могли бы отделить собственно счет и карту (такие карты у них можно купить, но вроде бы нельзя удалить изначальную, основную карту)

я вот юзер, т.к. автоматов много и бегать близко; впрочем, постоянно держу на нем в районе $10...20, а когда надо истратить $100, бегу до ближайшего терминала, кладу и дома уже сразу трачу

www_linux_org_ru ★★★★★
() автор топика
Последнее исправление: www_linux_org_ru (всего исправлений: 1)

qiwi.com

Пусть страдают дальше — им не привыкать.

Deleted
()

Напиши это в тех. поддержку ихнюю, и получи уже деньги!

lexxus-lex ★★★
()

ЛОМАЮЩИЕ НОВОСТИ! 99% написанного кода — говнокод! (ШОК!!! ВИДЕО!)

buddhist ★★★★★
()
Ответ на: комментарий от der_looser

Друг-ролевик не раз участвовал, известно «из первых рук».

SjZ ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.