Внешние скрипты с доступом к вашим кредиткам и личному кабинету

⋮


Страницы: 1 2 3 ... 5 →	ОТВЕТИТЬ НОВАЯ ТЕМА

FunMate 28 сен. 2017 г. в 17:45

противник • На сайте 13 лет

Ну так операторам связи это на руку видимо. Если мы вспомним, сколько телефонов мошенников, которые следовало бы заблокировать, а ничего работают. Подозреваю, теневое государство внутри государства. Владельцы тупо качают поток бабла, а остальное им пофигу, а тут уже приходят сотрудники умельцы и понеслась. имхо

Это сообщение отредактировал FunMate - 28 сен. 2017 г. в 17:46

4ipolino 28 сен. 2017 г. в 17:45

tChibo • На сайте 14 лет

Сильно... интересно, а что будет если в хостах обрубить www.google-anaytics.com и mc.yandex.ru?

пусто 28 сен. 2017 г. в 17:49

Ярила • На сайте 12 лет

Цитата (Goldfray @ 28.09.2017 - 17:16)

Обманув DNS, я перенацелил скрипты аналитики на свой веб-сервер, где их благополучно подменил на свои.

если бы вот так же легко можно было бы обмануть DNS удаленного компа, тогда да, тогда это реально дыра. А таком виде: я вот обманул свой браузер и узнал свои данные, это паранойя. МТС достаточно мониторить скрипт на гугле от изменений.
А боязнь гугловского програмера это 5. Программеров мтс которые написали страницу автор не боится, а програмеров гугла, которые только через скрипт лезут, боится. Л - логика, блядь.

~~Primus525~~ 28 сен. 2017 г. в 17:49

Ярила • На сайте 15 лет

Цитата (4ipolino @ 28.09.2017 - 17:45)

Сильно... интересно, а что будет если в хостах обрубить www.google-anaytics.com и mc.yandex.ru?

скрипторезку не проще? и не пользуйся онлайн-сервисами, если параноишь.

когда ты прибьешь скрипты, увешаешься антивирусами и отключишься от сети, тебе во дворе ебнут по башке, заберут наличку, отнимут карту и дадут пару раз по печени, чтоб ты дал пин.

Это сообщение отредактировал Primus525 - 28 сен. 2017 г. в 17:50

blow05 28 сен. 2017 г. в 17:49

Моргенмуффель • На сайте 15 лет

ТС, ты так говоришь, как будто во "внутренних" JS файлах не может быть всякого разного.

Я в принципе не доверяю сайтам, на которых вводятся данные для оплаты. Только через сайт банка/доверенной платежной системы.

Либо - PSI DSS, но у нас это пока не очень распространено (и справедливости ради - там тоже бредовые решения попадаются, изнутри знаю).

А вообще - налик наше всё.

blow05 28 сен. 2017 г. в 17:50

Моргенмуффель • На сайте 15 лет

Цитата (пусто @ 28.09.2017 - 16:49)

Цитата (Goldfray @ 28.09.2017 - 17:16)

Обманув DNS, я перенацелил скрипты аналитики на свой веб-сервер, где их благополучно подменил на свои.

подсунуть тебе левый DNS не очень сложно.
сотни тысяч зараженных hosts файлов в данный момент в подтверждение

28e 28 сен. 2017 г. в 17:54

Ярила • На сайте 14 лет

Цитата (4ipolino @ 28.09.2017 - 17:45)

Сильно... интересно, а что будет если в хостах обрубить www.google-anaytics.com и mc.yandex.ru?

ничего страшного, уже давно так сделал, ибо нефиг.
Только не в хостс, а в правила прокси-резалки и адреса в роутер.

Это сообщение отредактировал 28e - 28 сен. 2017 г. в 17:54

пусто 28 сен. 2017 г. в 18:01

Ярила • На сайте 12 лет

Цитата (blow05 @ 28.09.2017 - 17:50)

Цитата (пусто @ 28.09.2017 - 16:49)

Цитата (Goldfray @ 28.09.2017 - 17:16)

Обманув DNS, я перенацелил скрипты аналитики на свой веб-сервер, где их благополучно подменил на свои.

подсунуть тебе левый DNS не очень сложно.
сотни тысяч зараженных hosts файлов в данный момент в подтверждение

Серьезно, прям влегкую? Даже с учетом того, что 99% пользователей юзают DNS прова или еще какой взрослой конторы?

Можно вопрос, почему я за 15 лет в инете ни разу не попал вместо гугла к какому-нибудь хакеру в комп, если все так печально и поменять DNS на моем компе совсем не сложно? Кто то ж за это время чисто из интереса ломанул бы.

GreatALF 28 сен. 2017 г. в 18:31

Alien Life Form • На сайте 14 лет

Ну пиздетс, теперь все смертные грехи на чувака спишут, все пропажи итд, посодют и зашлют в самый дальний уголол северной сибири.

а по факту да, такая хуйня есть и всегда была.
И да, в Сбере и в любом другом банке все тоже самое :)

~~JohnWarner~~ 28 сен. 2017 г. в 18:51

Сказочный Сибиряк • На сайте 10 лет

В Опере прикол с Shift+Ctrl+J тоже работает, подтверждаю.
Кстати, насчёт Оперы, вот что ещё: так как в ней встроены инструменты разработчика по умолчанию, можно вообще чудеса со страницами творить.
Не реклама, а констатация факта.
ТСу зелени отсыпал.

На скриншоте показаны скрипты ЯПа.

Внешние скрипты с доступом к вашим кредиткам и личному кабинету

~~JohnWarner~~ 28 сен. 2017 г. в 18:53

Сказочный Сибиряк • На сайте 10 лет

Кстати, насчёт подсовывания левого DNS в hosts:
У меня стоит Денвер, слегка мною под мои нужны перезапиленный по мануалам из сети, я ему скрипт перезаписи hosts слегка модифицировал, и он теперь не сохраняет записи оригинального hosts, а целиком кидает свои - просто я нормальные, положенные там записи закинул в скрипт Денвера.
Это не спасение, конечно, но помогает маленько.

Нанонимно 28 сен. 2017 г. в 19:06

Герцог Мира • На сайте 10 лет

Ну и озаботился бы автор сего написанием расширения, которое, если включено - режет херню с внешних ресурсов и позволяет только ресурсы с поддоменов банка, например.
Тоже мне америку открыл, блять.

vangoga 28 сен. 2017 г. в 20:44

vangoga • На сайте 13 лет

Цитата (maronyx @ 28.09.2017 - 19:19)

годная тема хоть и ниче не понятно

И нехер понимать! Давай новые истории!

xolodnov 28 сен. 2017 г. в 21:14

Приколист • На сайте 12 лет

не пользуюсь электронными деньгами и банковскими картами

Pa5ha 28 сен. 2017 г. в 21:51

Ярила • На сайте 14 лет

Цитата (Sfash @ 28.09.2017 - 17:33)

Цитата

Скажите, как бы вы отнеслись к тому, чтобы продавцы давали возможность собрать атрибуты ваших карточек, включая номер, фамилию и CVC, какому-то постороннему лицу еще в момент оплаты, а также, без пароля, пускали посмотреть, что вы делаете в личном кабинете какого-то сервиса, кому и сколько платите, например.

Мне абсолютно пофиг на это. Для расчетов в интернете имею специальную карту, на которую перебрасываю с основной нужную сумму за пару секунд.

То, что операторы персональных данных в интернете умышленно и неумышленно нарушают все возможные принципы их защиты, мне кажется, должно быть понятно любому здравомыслящему человеку. Для этого не требуется глубоких познаний веб-разработчика, или каких-то иных специальных навыков.

На специальную карту ты деньги кидаешь наверняка заходя в личный кабинет банка. Бинго!
Некоторое время назад был подобный пост про сбер-онлайн, по-моему.

Это сообщение отредактировал Pa5ha - 28 сен. 2017 г. в 21:53

Pa5ha 28 сен. 2017 г. в 21:52

Ярила • На сайте 14 лет

Цитата (пусто @ 28.09.2017 - 17:49)

Цитата (Goldfray @ 28.09.2017 - 17:16)

Обманув DNS, я перенацелил скрипты аналитики на свой веб-сервер, где их благополучно подменил на свои.

У тебя витая пара по подъезду до щитка идет, наверняка. Этого достаточно для того, чтоб подменить днс, если очень надо будет.
Полагаю, достаточно обычного маршрутизатора за косарь, который дома вайфай раздает, обжимку для витой пары, пару rg45 и ноутбук.

Это сообщение отредактировал Pa5ha - 28 сен. 2017 г. в 21:55

argitek 28 сен. 2017 г. в 22:03

Хохмач • На сайте 11 лет

Цитата (Pa5ha @ 28.09.2017 - 21:52)

Цитата (пусто @ 28.09.2017 - 17:49)

Цитата (Goldfray @ 28.09.2017 - 17:16)

Обманув DNS, я перенацелил скрипты аналитики на свой веб-сервер, где их благополучно подменил на свои.

Короче. Если очень захотят, то достанут.
Остаётся автору опуса надеяться, что он Неуловимый Джо. Либо уехать в тайгу к медведям.

Pa5ha 28 сен. 2017 г. в 22:09

Ярила • На сайте 14 лет

Цитата (argitek @ 28.09.2017 - 22:03)

Это как на мазду сх-5 сигнализацию не ставить т.к. если захотят - все равно угонят.

denmor 28 сен. 2017 г. в 22:10

это я • На сайте 13 лет

ТС малость недоговаривает.

Являюсь абонентом билайна хз скок лет, домашний интернет с 2008, запомнил благодаря злодеяниям дом.ру, долгая история.

Так вот, ТС, умалчивает о том, что для того чтобы пополнить баланс не нужно заходить в ЛК.
Лично я пополняю со сбера.онлайн, или киви.

Systraner 28 сен. 2017 г. в 22:18

Юморист • На сайте 10 лет

Программист web + payment api с более чем 10-летним стажем. Нихера не понял.
Загруженный пиксель может украсть у вас деньги?
Так проверяйте, где вы вводите свои данные, бля! Если не уверены на 1000%, значит не вводите данные!

mks 28 сен. 2017 г. в 22:23

Ярила • На сайте 17 лет

Да потому что банкам надо запретить такие формы на сторонних ресурсах, если оплачиваешь и нужно ввести номер карты - тебя перекидывает уже на сайт банка!

zigoga 28 сен. 2017 г. в 22:24

Шутник • На сайте 13 лет

Ресурс умирает. В авторах и обсуждениях одни пи..дорасы.

~~Вожик65~~ 28 сен. 2017 г. в 22:34

Ярила • На сайте 10 лет

После изобретения телевизора - никакие учёные уже не нужны.
От них всё зло и все проблемы!

- От водородной бомбы до электронных денег...
Всех учёных надо того-с... ликвиднуть!

Вот тогда заживём...

Паровозы - наше всё!

KonungDK 28 сен. 2017 г. в 22:41

Шутник • На сайте 13 лет

За что в обще бояться? Нет денег и кредитов, выживаешь от зарплаты до зарплаты. Что красть то?

spaiter 28 сен. 2017 г. в 22:48

Шутник • На сайте 17 лет

Копипаста смогла в dev-tools! Ну чтож, поздравляю! Шанс что ваши данные сольет сайт на который вы зашли, намного выше аналитик. Копипасте осталось узнать про cdn, ddos атаки и бэкдоры, тогда он вообще в сеть не выйдет. Такого дерьма давно на ЯПе не читал, а я тут с 2007 года.

Отправлено с мобильного клиента YAPik+

Понравился пост? Ещё больше интересного в ЯП-Телеграм и ЯП-Max!

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии. Авторизуйтесь, пожалуйста, или зарегистрируйтесь, если не зарегистрированы.

1 Пользователей читают эту тему (1 Гостей и 0 Скрытых Пользователей)	Просмотры темы: 46092
0 Пользователей: