1. Куча / Говнокод #26448

    +3

    1. 1
    2. 2
    3. 3
    4. 4
    5. 5
    6. 6
    7. 7
    8. 8
    9. 9
    «Специалист по кибербезопасности» едет в питер учить несмышленышей об опасностях в сети.
    Едет он из эстонии, где и живет, потому что парень неглупый и понимает, что в россии таким людям делать 
    нечего, но необходимость дать неокрепшим умам хоть какое-то представление о безопасности конечно 
    сильнее всех, неурядиц, которые могут подстерегать в этой стране.
    Между эстонией и питером, как известно, располагается екатеринбург, куда он и двигает - потусить с какой-то 
    инстаграмной барышней, которую он до этого никогда вживую не видел. На барышню надо произвести 
    впечатление, для чего заказывается метамфетаминовая закладка, и где-то там в этой всей неразберихе 
    появляются менты, которые и принимают «специалиста по кибербезопасности».
    Ну хоть сервак не взломали.

    https://www.znak.com/2020-02-24/sozdatel_krasnoy_knopki_litreev_priznal_ vinu_po_delu_o_nezakonnom_oborote_narkot ikov

    Запостил: Fike, 24 Февраля 2020

    Комментарии (172) RSS

    • Какой багор )))
      Ответить
      • >Между эстонией и питером, как известно, располагается екатеринбург
        Какая география )))
        Ответить
        • Правдин (Митрофану). А далеко ли вы в истории?

          Митрофан. Далеко ль? Какова история. В иной залетишь за тридевять земель, за тридесято царство.

          Правдин. А! так этой-то истории учит вас Вральман?

          Стародум. Вральман? Имя что-то знакомое.

          Митрофан. Нет, наш Адам Адамыч истории не рассказывает; он, что я же, сам охотник слушать.

          Г-жа Простакова. Они оба заставляют себе рассказывать истории скотницу Хавронью.

          Правдин. Да не у ней ли оба вы учились и географии?

          Г-жа Простакова (сыну). Слышишь, друг мой сердечный? Это что за наука?

          Митрофан (тихо матери). А я почем знаю.

          Г-жа Простакова (тихо Митрофану). Не упрямься, душенька. Теперь-то себя и показать.

          Митрофан (тихо матери). Да я не возьму в толк, о чем спрашивают.

          Г-жа Простакова (Правдину). Как, батюшка, назвал ты науку-то?

          Правдин. География.

          Г-жа Простакова (Митрофану). Слышишь, еоргафия.

          Митрофан. Да что такое! Господи боже мой! Пристали с ножом к горлу.

          Г-жа Простакова (Правдину). И ведомо, батюшка. Да скажи ему, сделай милость, какая это наука-то, он ее и расскажет.

          Правдин. Описание земли.

          Г-жа Простакова (Стародуму). А к чему бы это служило на первый случай?

          Стародум. На первый случай сгодилось бы и к тому, что ежели б случилось ехать, так знаешь, куда едешь.

          Г-жа Простакова. Ах, мой батюшка! Да извозчики-то на что ж? Это их дело. Это таки и наука-то не дворянская. Дворянин только скажи: повези меня туда, — свезут, куда изволишь. Мне поверь, батюшка, что, конечно, то вздор, чего не знает Митрофанушка.
          Ответить
    • В рашке сейчас идут очередные дела врачей и грачей, можно Нюен освобождать, what nick даже не заметит.
      Ответить
    • >Литреев также известен как создатель проекта «Русский слон» — базы данных о силовиках, которые, превышая полномочия, избивали людей на митингах.

      >и где-то там в этой всей неразберихе появляются менты

      Какая к дьвяолу «неразбериха»? Дурака вели, за ним следили.
      Не удивлюсь что подложили одну из штатных сотрудниц.
      Только непонятно какое звание у дамы из ебурга.
      Ответить
      • Подтверждаю. Быть серьёзной занозой в заднице у российских спецслужб и при этом не только приехать в РФ после успешного съёбывания, но ещё и купить в РФ наркотики — это какой-то запредельный уровень долбоебизма.
        Ответить
        • >купить в РФ наркотики
          Через телеграм, курируемый инфильтровавшимся в Лондон полковником Дуровым.
          Ответить
          • Я пытался долбоёбам в интернетах объяснить, что «Телеграм» — это эфэсбэшный зонд с опциональной функцией отправки сообщений. Меня заклевали, сказав, что мне «Whatsapp» и «Viber» приплачивают за антирекламу «Телеграма» (при этом я ни разу не хвалил «Whatsapp» и «Viber»).

            Всё нормально, граница на замке. Долбоёбы ничего не подозревают.
            Ответить
            • Я слегка сомневался, пока не начали проводить массированную пиар-кампанию по его «запрету».

              При этом были страшные казусы: многие официальные лица рф продолжали публично им пользоваться.
              Ответить
              • При этом ещё кремлёвские пропагандоны публикуют ссылки на свои профили в «Телеграме». Ага, в запрещённом мессенджере для террористов и наркоманов.
                Ответить
                • Вики эпично всё резюмирует:

                  Блокирование Telegram в России — процесс ограничения доступа на территории России к мессенджеру Telegram Роскомнадзором, техническая часть которого началась 16 апреля 2018 года. Блокировка привела к перебоям в работе многих сторонних сервисов, но практически не повлияла на доступность Telegram в России.


                  Приводится также статистика как о резком росте популярности Телеграм-каналов, так и резком сокращении количества просмотров. В целом, мессенджер остаётся доступен в России.

                  Одновременно недоступными оказались многие сторонние сервисы (в частности, наблюдались перебои в работе Viber)

                  22 апреля у ряда пользователей стали недоступны поисковая система Google и онлайн-переводчик Google. О том, что это произошло из-за блокировок Роскомнадзора, пользователи узнали из Телеграм-каналов, которые по-прежнему работают. Затруднения с доступом к основной странице Google наблюдались, в частности, в Москве, Санкт-Петербурге, Казани, Нижнем Новгороде, Екатеринбурге. Роскомнадзор объяснил блокировку тем, что «Google позволяет мессенджеру Telegram использовать свои IP-адреса для обхода блокировки». Однако позже Роскомнадзор отверг свою причастность к блокировке Google, возложив ответственность за сбои на «операторов, не имеющих полноценных систем фильтрации»
                  Ответить
                  • Реальный пример:
                    http://isitblockedinrussia.com/?host=http%3A%2F%2Fdelphi.embarcadero.co m%2F

                    Сайт, посвящённый «Delphi», заблокирован под предлогом борьбы с «Телеграмом».
                    Ответить
                • Не стоит искать заговоры там, где все объясняется простой тупостью. В ркн сидят долбоебы, которые только свой анус могут заблокировать.
                  Кремлевские пропагандоны давно пиздят как хуево в европе и как скоро наебнутся сша, но у самих там виллы и спиженное бабло. Так что говорить что телеграмм - мессенжер для наркоманов и террористов, а потом заводить там свой канал - норма для них. Быдло и так схавает
                  Ответить
        • >но ещё и купить в РФ наркотики

          В незнакомом городе с женщиной, которую ты знаешь 5 минут. «Специалист по безопасности».
          Ответить
          • Ага. Проще было сразу пойти в полицию и самому предъявить таблетки — меньше срок бы дали.
            Ответить
          • Зато он теперь "борец за свободу" а не ноунейм с говносайтом. Всё правильно сделал.
            Ответить
        • Наркоту нашли при личном досмотре. Там могли и подбросить. Но вину признал. Возможно предложили хорошую сделку, ведь даже не арестовали.
          Ответить
          • > ведь даже не арестовали.

            в сизо ващет отправили
            пхпшник опять в своем воображаемом мире
            Ответить
            • И чо? В рашке пыткам подвергается каждый 10 задержанный. А "нашли наркотики" такая же банальная схема, как "переписал всё на жену".
              Ответить
              • если он действительно нихуя не виновен, но сходу согласился на сделку с ментами - так он трижды долбоеб тогда
                Ответить
                • Именно. Да и на подброс не похоже — слишком много таблеток на значительный размер, слишком мало на крупный.
                  Ответить
                • Ни о чем не говорит. Даже Дадин в конце концов согласился.
                  Ответить
                  • Даладна?
                    >>> 24 января 2017 года, после заседания Конституционного суда РФ по жалобе Ильдара Дадина на неконституционность статьи 212.1 УК РФ, стало известно, что Верховный Суд РФ пересмотрит приговор.
                    >>> 10 февраля 2017 года Конституционный суд России обязал суды общей юрисдикции пересмотреть решения суда в отношении Дадина.
                    >>> 22 февраля 2017 года Президиум Верховного Суда России отменил приговор Ильдару Дадину, постановил прекратить в отношении него дело, освободить из-под стражи и признать право на реабилитацию.
                    >>> 21 апреля 2017 года Дадин подал иск в Железнодорожный городской суд о взыскании с Минфина РФ пяти миллионов рублей в качестве компенсации морального вреда за незаконное уголовное преследование, а также содержание под стражей и под домашним арестом в течение более двух лет. 31 мая суд частично удовлетворил иск, обязав выплатить Дадину два миллиона и двести рублей.

                    Ну, фактически два года поработал на тяжёлой работа за 80к в месяц. Нормально.
                    Ответить
                  • согласился с чем? вроде только с тем, что его жена в его отсутствие загуляла
                    Ответить
                    • С легитимностью басманного правосудия, в первую очередь. Конечно, там с другой стороны Amnesty поднасрала скаленным.
                      Ответить
        • > серьезной занозой

          вы переоцениваете «специалиста». я вообще об этом проекте только из этой новости узнал, хоть и вижу временами их твиторные перепалки со здольниковым
          Ответить
          • Ничуть. Серьёзная заноза в заднице остаётся занозой.
            Ответить
          • Ага. Такие громкие названия. «известен как создатель проекта», «база данных».

            А в реале недоделанный сайт-помойка с 38ю записями.

            https://govnokod.ru/26448#comment528673
            Ответить
        • >но ещё и купить в РФ наркотики
          Лол, учитывая как менты любят их подбрасывать - покупать не нужно, всё сделают за вас. А учитывая их mad skills в допросах - признание тоже нихрена не означает.

          Впрочем, соваться обратно в РФ парню и впрямь не стоило.
          Ответить
          • Ну тут парня обоссали не за историю с наркотой и не за его полит взгляды, а за дыры в секурити, которые этот спец по безопасности допустил
            Ответить
      • >Его компания по кибербезопасности «Vee Security Россия» распространяла прокси для обхода блокировок мессенджера Telegram после решения Роскомнадзора его заблокировать.
        >прокси для обхода блокировок мессенджера Telegram

        Возможно у IT-специалиста ещё хватило ума купить норкоты через ФСБшный мессенджер, привязанный к номеру его телефона.
        Ответить
      • >известен как создатель проекта «Русский слон»
        >базы данных о силовиках
        https://russianslon.com/criminal/38 (последняя страница c Царём)
        39я выдаёт 404

        38 записей

        Какая база данных )))
        Ответить
        • Из их «Твиттера»:
          >>> 199 778 строчек кода отлажены, запущены и готовы служить добру.
          200к строк для сайта, на котором кроме элементарного списка людей с фиксированными полями ничего нет???
          Они там его написали на «NodeJS» и посчитали все файлы из «node_modules» штоле?!
          Ответить
          • БЛЯЯЯЯ.
            ПИЗДЕЦ.
            200к строк.

            Это с неминифицированными фреймворками и либами, надеюсь?

            >It'S Alive! 199 778 Строчек Кода...»
            >https://twitter.com/navalny/status/1184851018158428160

            Говносайт прорекламировал лично навальнэ с миллионами хомяков.
            Но хомяки оказались такие ленивые и бесполезные что вбили всего 38 записей?!
            Из которых часть (№38) какие-то мусорные вореции.

            Да на «Говнокоде» за день три с половиной УзегАдепта срут больше.
            Ответить
          • >>> Русский Слон ищет волонтеров!
            >>> Face Recognition Engineer
            >>> Интересно машинное обучение, распознавание лиц и всё, что с этим связанно? Хочешь поучаствовать в создании большого брата наоборот? Ты нам нужен.
            А исходники проЭкта закрыты. Чот какой-то хуёвый «наоборот» получается.
            Ответить
          • Дефекейт был бы доволен
            Ответить
          • Копаю дальше. Изображения у них там хранятся по ссылкам вроде https://files.russianslon.com/media/898e8247-73bd-4876-80aa-fb6c7837fb8f.jpg.
            «files.russianslon.com» резолвится в «35.210.83.113» — это IP «Google Cloud Storage» — ОТДЕЛЬНЫЙ инстанс (с :443 идёт ответ только для files.russianslon.com) для хранения 38 фотокарточек. НА-ХУ-Я?!

            Если попробовать траверснуть директорию с обычной статикой (https://russianslon.com/assets/scripts) — получим «{"error":true,"reason":"Not Found"}». То есть статику у них отдаёт не «nginx», а какое-то скриптоговно. Лол.

            Скрипты вообще эпичны:
            function signIn() {
                var username = $('#username').val();
                var password = $('#password').val();
            
                $.ajax({
                    url: '/api/user/signIn',
                    type: 'post',
                    dataType: 'json',
                    contentType: 'application/json',
                    data: JSON.stringify({
                        username: username,
                        password: password,
                        isSessionBased: true
                    }),
                    success: function (data, textStatus, jQxhr) {
                        displayFormMessage(false, 'Вы вошли в систему. Пожалуйста, подождите...');
                        window.location.replace("/create");
                    },
                    error: function (jqXhr, textStatus, errorThrown) {
                        handleErrorReason(jqXhr.responseJSON.reason)
                    }
                });
            }
            Ответить
            • > «files.russianslon.com» резолвится в «35.210.83.113» — это IP «Google Cloud Storage» — ОТДЕЛЬНЫЙ инстанс (с :443 идёт ответ только для files.russianslon.com) для хранения 38 фотокарточек. НА-ХУ-Я?!

              строго говоря, там просто гугл по имени хоста резолвит бакет, не вижу здесь чего-то такого
              Ответить
              • Сам говносайт слона хостится где-то в другом месте. А для хранения 38 фотокарточек они купили отдельный инстанс гугловского хранилища. Нахуя так делать — непонятно.
                Ответить
                • ну я так же делаю и храню три с половиной джипега, тупо потому что впски можно перебивать без задних мыслей. там все равно pay-per-use и еще пять гигов бесплатно, это обходится в два цента в месяц, и те за трафик
                  Ответить
                  • 1. «Pay-per-use» для публичных проектов — несекьюрное говно, которое надо уничтожить. Потому что любой тупой (но упорный) школьник может каким-нибудь «лоиком» накрутить тебе счёт на пару тысяч баксов.
                    2. Чем больше сторонних сервисов используется — тем больше вероятность того, что в один прекрасный день произойдёт бо-бо: https://habr.com/ru/post/417377/.
                    3. Делать бекапы гораздо проще в случае с одним сервером, чем с кучей раскиданных сервисов (при этом в каком-нибудь «Google Cloud» это может быть тем ещё геморроем).
                    Ответить
                    • вообще да, но не буду же я признавать свою неправоту в сети
                      Ответить
            • >отдаёт не «nginx», а какое-то скриптоговно. Лол
              причем статика еще и без кеша нормального. Правда они честно пишут, что фронт у них говно
              Ответить
        • Ещё чо нашёл: https://russianslon.com/shop
          >>> В коллабе с @kotyanus на свет появился новый способ поддержать развитие проекта Русский Слон — стикерпак "Злопамятные Слоны" превосходного качества. Вся прибыль идёт на развитие проекта и оплату аренды оборудования
          >> ФИО
          >> Город, улица, дом, квартира
          >> Телефон

          Какой багор )))
          Ответить
          • > Вся прибыль идёт на развитие проекта и оплату аренды оборудования

            Вся прибыль пойдёт на оплату аренды шлюх из ебурга и наркоту! FUCK YEAH!
            Искренне надеюсь что у него хватило мозгов тратить это бабло именно так.


            >оплату аренды оборудования
            Да, блядь, всю инфу с того сайта можно поместить в кеше обычного десктоп-процессора. 1990х годов.
            Ответить
            • Оно ещё и за «Cloudflare». С учётом того, что там только статика — для обслуживания всех хомячков Навального достаточно будет впски за пять баксов.
              Ответить
              • Ясно одно: навальная айти-пиздота будет точно так же пилить бабло и выделять миллионы на проекты-пустышки.

                То же говно, но с ароматом АйТи.
                Ответить
          • Зарегался. Потребовали ВЕРИФИЦИРОВАТЬ аккаунт. Как ВЕРИЦИФИРОВАТЬ?
            Чтобы подтвердить свой Твиттер, пожалуйста, опубликуй такой твит:
            
            Привет, @russianslon! Этот твит для верификации аккаунта. Волшебный код: XXXXXX.

            Какой пиздец )))

            И вот ещё багор:
            Имей ввиду, что загруженные тобой материалы не появятся в общем доступе мгновенно.
            Сначала их проанализирует наша искусственная нейронная сеть, а затем — заявка будет
            передана модераторам на подтверждение. Как только материал будет одобрен —
            он тут же появится в нашей базе данных и в поиске проекта. Такой порядок работы
            необходим для того, чтобы противостоять фабрикам троллей. Сама страница будет
            доступна по ссылке, но не будет видна в других разделах проекта.

            Как же, блядь, без НЕЙРОННЫХ СЕТЕЙ?

            Короче: это просто хипстер-говноед, решивший похайпиться на модной теме.
            Ответить
            • > Короче: это просто хипстер-говноед

              Да быть такого не может!
              Ответить
            • >наша искусственная нейронная сеть c блокчейном
              Ответить
          • --Как нам победить кровавого диктора?
            --Очень просто: купите эту наклейку, и наклейте её на свой ноутбук
            (спустя некторое время)
            --Вот черт! Весь ноутбук уже в наклейках, а кровавый тиран всё еще не повержен
            Ответить
            • > всё еще не повержен

              мы пока еще на шлюхах тренируемся
              Ответить
              • Задача для программиста
                В силовых структурах, СМИ и на эстраде трудится девяносто семь миллионов шестьсот тридцать девять тысяч девятьсот девяносто одна шлюха.

                Какую СУБД лучше выбрать, и как ее шардировать, чтобы разместить в ней всех шлюх?

                Задача для школьника
                В прекрасной России будущего всех шлюх подвергут люстрации. Известно, что рассмотрение одной люстрации занимает день.
                Сколько лет понадобится демократически избранной власти, чтобы люстрировать всех шлюх?
                Ответить
            • Какой багор )))
              Ответить
        • зато есть мерч!

          https://www.instagram.com/p/B5pbpqeFoZQ/
          Ответить
    • А возможно, это хитрый план. Щас все мусорские инстанции гордо проштампуют явно сфабрикованное дело, получат премии и накупят на них боярки. А тут рашку наконец и ебнут за похищения и содержание в рабстве иностранных граждан.
      Ответить
    • https://t.me/VeeSecurityRU/6

      нет блядь, это просто абсолютно невозможно
      Ответить
      • Если подключаться по VPN — «Tinder» не сольёт твои данные в ФСБ? Охуенные там безопасники сидят.

        И да, это те самые, которые база данных ментов на 38 рыл и запрещённые препараты через «Телеграм»?
        Ответить
        • Через «Tinder» вербуют в «ИГИЛ» что ли? )
          Ответить
        • >подключаться по VPN — «Tinder» не сольёт твои данные в ФСБ?

          Конечно сольёт!
          Но зато будет чувство безопасности.
          Ответить
          • Ага, анальный зонд без смазки и анальный зонд со смазкой — это две большие разницы!
            Ответить
      • Мои глаза.

        Нужна такая картинка: «свидание в 2020».
        — Ты не забыл о таблетосах?
        — Тебе не о чем беспокоиться.

        google: «купить экстази в ебурге без фскн и регистрации» (ссылка на telegram-канал)

        Финальная картинка: (пативен забирает борца с режимом)
        Ответить
      • >>> Движение "Чайный Клуб" @libteaclub Feb 25
        >>> Завтра [...] будут проходить одиночные пикеты в защиту Александра Литреева.
        >>> Мы соберёмся с плакатами, чтобы больше людей узнали о преследовании за преступление, где нет жертвы, но есть угроза реального срока
        Блядь, ору. Быстренько погуглил, нашёл какой-то сайтец https://www.currenttime.tv/a/russia-228-stats/29997955.html: пишут, что по 228 («хранение без цели сбыта», то самое «нет жертвы, но есть угроза реального срока») в 2018-м году осудили 74752 человек. И ничо, нормально.
        Но вот как только закрыли какого-то дебила-хипстера — эти вот чайные питухи пошли кукарекать про отсутствие жертв. Какой багор )))

        PS, блядь, они там «сбор средств на помощь Александру Литрееву» проводят. Пиздец.
        Ответить
        • Ну, справедливости ради, они всякие акции устраивают
          https://twitter.com/libteaclub/status/1155521732440199168

          Просто толку от всей этой "молодой хипстерской оппозиции" примерно undefined.
          Ответить
    • <!DOCTYPE html>
      <html lang="en">
      <head>
          <!--Да, фронт-энд у нас полное говно. Можешь сделать лучше? Пиши @alexlitreev в Telegram.-->

      ахахахахаха
      Ответить
      • <!-- Бекенд тоже полное говно, но вы его не увидите -->
        Ответить
        • Ну-у-у, если совсем уж полное говно — какой-нибудь скилловый петух может и увидеть.
          Ответить
          • Например, когда бекенд на «PHP», это сразу заметно. Именно поэтому я за «PHP».
            Ответить
          • Вот реальный пример, почему я за «PHP»:
            http://www.mlhp.ru/index1.php

            И вот ещё один реальный пример:
            http://www.kmax.com.br/agenda.php

            И ещё:
            http://www.studio-41.com/company/press.shtml

            Или вот:
            http://www.ch-gefaehrten.ch/gallery/Silvester04_by_Nenu/8_G?full=1

            Удобно же.
            Ответить
            • P.S. Нашёл таким запросом:
              https://www.google.com/search?q=eregi+is+deprecated+-intitle:deprecated+-intitle:eregi
              Ответить
              • https://www.pinterest.co.kr/pin/358528820312057542/

                Horse Tips
                <br /> <b>Deprecated</b>: Function ereg_replace() is deprecated in <b>/home/wwwrhyth/public_html/enc/metatitle.php</b> on line /> Rhythm Beads Hoofprints On Your Heart Horseshoe Art Wired Whinnies Feathers n Flair
                Ответить
                • Именно поэтому я за «PHP».
                  Ответить
                • Я сначала думал, что это левый сайт. Нет, это настоящий «Pinterest». На других доменах то же самое:
                  https://www.pinterest.ru/pin/358528820312057542/
                  Ответить
                  • Похоже, что ошибка не в «Пинтересте», а в сайте «rhythm-n-beads», с которого «Пинтерест» попытался подтянуть описание.
                    Ответить
                    • какой веб1.0:))
                      http://www.rhythm-n-beads.com/
                      <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
                      Ответить
                      • На самом деле пофигу, какой там доктайп. Эти ваши «веб-два-ноль» не в доктайпе заключаются.
                        Ответить
                        • Основные правила «веб-два-ноль»

                          * сайт должен иметь не менее одного мегабайта джаваскрипта
                          * все ссылки должны обрабатываться джаваскрптом, и потому не быть копируемыми
                          * когда пользователь читает текст, то посреди текста должна появляться плашка, сообщающая что сайт использует куки
                          * по мере прогружения сайта, блоки верстки должны немного менять места, чтобы текст прыгал

                          ничего не забыл?
                          Ответить
                          • Должны быть элементы, которые по наведению на них мышки меняют цвет.
                            Ответить
                          • * Любой длинный список элементов должен подгружаться динамически через бесконечный троллинг. Никакой возможности вернуться к последнему просмотренному элементу, передать ссылку на конкретный элемент или сохранить состояние прокрутки после закрытия вкладки быть не должно.
                            Ответить
                            • При выделении текста и нажатии правой унопки, должно появляться меню "сообшить об опечатке", чтобы способа выделить текст не было
                              Ответить
                              • В идеале на всех событиях по типу window.onselectionchange() должны висеть заглушки, чтобы выделить текст было нельзя.
                                Ответить
                            • удалять элементы из DOM при бесконечном троллинге нельзя, только просить пользователей докупить памяти. Хотя бы снять со старой машинки Тьюринга.
                              Ответить
                          • * мегабайты альтернативных шрифтов должны подгружаться во время открытия страницы, текст должен измениться и сделать большой прыжок
                            * элементы интерфейса должны быть переписаны и ни в коем случае не совпадать со стандартными
                            * элементы интерфейса должны быть большими, с большими отступами и полями, а размер шрифта должен быть маленьким
                            * иконки должны быть упрощены до того уровня, когда они почти не отличаются и не вызывают у пользователя никаких ассоциаций
                            Ответить
                            • Справа внизу должно выскакивать окошко с роботом и текстом: "Светлана печатает вам сообщение...."
                              Ответить
                              • Уточнение: должно появляться окошко с роботом, висеть, демонстрируя печать, несколько секунд, а потом развернуться в центр экрана, закрыв весь контент сайта. Возможности полностью убрать его с экрана быть не должно.
                                Ответить
                                • Вообще чтобы зайти на сайт нужно требовать от пользователя аутентифицироваться через ВК или Facebook. Причем всегда
                                  Ответить
                              • Раньше делали закос под QIP, теперь - под браузерные уведомления.

                                Кстати, этим страдают не только спамеры, у которых клик по сообщению открывал ссылки на гоатсе с рекламой. На нормальных сайтах подключена питушня для помощи, где радостная рожа Олега (кстати, где макет?) и сообщение "Чем я могу Вам помочь?"

                                Что интересно, уже в самом Эльдорадо консультанты к тебе не подходят с просьбой подсказать, а на сайтах такая питушня только набирает обороты.
                                Ответить
                                • >Олега
                                  вот этого
                                  https://media.istockphoto.com/photos/smiling-manager-at-office-desk-with-laptop-picture-id1027846838 ?
                                  Ответить
                                • Подтверждаю. Практически любой коммерческий сайт на юридическую тематику содержит это говно.
                                  Вот, например, первый попавшийся сайт с УК:
                                  Здравствуйте!
                                  > Если Вам требуется консультация, у нас на сайте она бесплатная.
                                  
                                  > Какой у вас вопрос? Мы консультируем по любым правовым ситуациям. 
                                  
                                  < Здравствуйте! Очень рад Вашим сообщениям. Мне срочно необходима консультация специалиста.
                                  
                                  > Спасибо, в течение 5-10 минут я подготовлю ответ на ваш вопрос.
                                  
                                  >Оставьте свой контактный телефон ниже, я Вам перезвоню и проконсультирую по данному вопросу.

                                  И предложение ввести телефон, ФИО и адрес. Какой развод )))
                                  Ответить
                          • скругленные уголки и тень
                            Ответить
                            • ой, ну ты еще мокрпол вспомни
                              это 2008-й год же
                              Ответить
                    • API для слабаков
                      Ответить
                      • Модный API под названием «Open Graph»:
                        https://www.ogp.me/

                        Описание подгружается из мета-тегов.
                        Ответить
                • Очень удобно. О том, что используемая функция устарела, администратор узнает в самые кратчайшие сроки по сообщениям посетителей. А в других языках программисты могут много лет использовать deprecated говно и не догадываться об этом.
                  [/color]
                  Ответить
                  • компилятор всегда недоволен пирформанс-хаками, смотреть его выхлоп это для джунов
                    Ответить
    • Проверяем сайт специалиста по компьтютерной безопастности
      https://veesecurity.com/about

      * SSH прямо на 22-м порту сообщает нам: "SSH-2.0-OpenSSH_7.6p1 Ubuntu-4ubuntu0.3" (убунту 18.04 LTS это)
      * https://www.sshaudit.com/ F: Score: 47 / 100 (lol, hmac-sha1)
      * HTTPS: https://www.ssllabs.com/ssltest/analyze.html?d=veesecurity.com B (тухлый TLS 1.0)
      * HSTS Preload: https://hstspreload.org/?domain=veesecurity.com нету

      Сразу видно что специалист серьезный
      Ответить
      • > nslookup -type=txt veesecurity.com
        veesecurity.com text =
                "yandex-verification: 03ed20e6dd01b928"
        veesecurity.com text =
                "google-site-verification=C0cCbqnDAcaFA8ohgWaFnVPNXSnCz9W_MlAm5OM4ATE"

        Сразу видно борца с режимом.
        Ответить
        • Это для яндекс вебмастера и вебкосноли?

          Почта у него на гугле (судя по mx), но вот dmarc опять пустой, и spf тоже и dkim.
          https://mxtoolbox.com/SuperTool.aspx?action=spf%3aveesecurity. com&run=toolpage

          То-есть я вполне могу послать письмо от его имени, и никто этого не отловит.

          В купе с отсуствующим HSTS я бы напрягся
          Ответить
          • > Это для яндекс вебмастера и вебкосноли?
            Ага, для де-факто принадлежащей ФСБ конторки.

            Кстати, судя по https://www.seo-stat.info/domain/veesecurity.com, год назад этот сайтец был за «Cloudflare» и посылал «Strict-Transport-Security: max-age=15768000; includeSubdomains; preload». Но что-то, видимо, пошло не так…
            Ответить
            • Бабки кончились?

              Если бы он был за клоудфляре, то и серт бы у него был не леценкриптовский
              Ответить
              • По идее, бесплатного плана «Cloudflare» должно было хватит. Хотя хуй знает, конечно.
                Вот как сайт тогда выглядел: https://web.archive.org/web/20190117222414/https://veesecurity.com/

                > Если бы он был за клоудфляре, то и серт бы у него был не леценкриптовский
                Да, но, кстати, за $200 в месяц («Buisness» план) можно загрузить собственный сертификат, а не SNIшный от «Cloudflare». Правда, «Let\'s Encrypt» бы в таком случае тоже не было, лол.

                Самый простой способ определить «Cloudflare» — глянуть в A/AAAA записи. У «Cloudflare» всегда по два адреса для каждой версии IP, и IPv4 начинаются со 104:
                > nslookup gcode.space
                Addresses:  2606:4700:3036::681c:d7f
                          2606:4700:3036::681c:c7f
                          104.28.13.127
                          104.28.12.127
                Ответить
                • у него какой-то один 188.42.62.25
                  Судя по whois это https://www.servers.com/

                  Видимо он купил себе дедикейтед сервер в стране тюльпанов для своего VPN, и там же где-то крутит сайт. Может, виртуалка на том же сервере

                  >ачинаются со 104:
                  ну да, ведь
                  https://whois.arin.net/rest/net/NET-104-16-0-0-1/pft?s=104.28.12.127
                  Net Range	104.16.0.0 - 104.31.255.255
                  CIDR	104.16.0.0/12
                  Name	CLOUDFLARENET
                  Origin AS	AS13335
                  Ответить
                  • Проверяем почту.
                    Received: from so254-22.mailgun.net (so254-22.mailgun.net [198.61.254.22])
                    	by freeharaka121 (Haraka/2.8.24) with ESMTP id 64D55FA3-411D-496D-81F4-337906571480.1
                    	envelope-from ;
                    	Wed, 26 Feb 2020 14:31:32 -0600
                    DKIM-Signature: a=rsa-sha256; v=1; c=relaxed/relaxed; d=noreply.veesecurity.com;
                     q=dns/txt; s=k1; t=1582749095; h=Content-Transfer-Encoding:
                     Content-Type: MIME-Version: To: From: Subject: Date: Message-ID:
                     Sender; bh=GmWBoTy9qQ7FoYlEkh9tHK1tF2YQS0kj/3Q34t2sgso=; b=CDnsaLZRAX3DvWCDyi2+OkKuQ90dGPpEwTJfUE33J0icFG3k+z6DQN8YQnj3PB4xzd5eQlbK
                     d10XRS0MK62LrcSzuLJCzPDcFW6UJ8PzIWfOZbhjl55Z1IZ7XZpEx7zDge8d1PaMloCITTpm
                     bXuTRmmF9+fn3eA33pgB6uXTKm8=
                    X-Mailgun-Sending-Ip: 198.61.254.22
                    X-Mailgun-Sid: WyIzNTFhZCIsICJtYWZhbmU0MzkxQG51ZXZvbWFpbC5jb20iLCAiMzU1MDExIl0=
                    Received: by luna.mailgun.net with HTTP; Wed, 26 Feb 2020 20:31:24 +0000
                    Sender: [email protected]
                    Message-ID: <[email protected]>
                    Date: Wed, 26 Feb 2020 20:31:24 +0000
                    Subject: Verify Email
                    From: Vee Security 
                    To: [email protected]
                    MIME-Version: 1.0
                    Content-Type: text/html; charset=utf-8
                    Content-Transfer-Encoding: quoted-printable

                    Какой «mailgun» )))
                    Ответить
                    • https://github.com/haraka/Haraka

                      Даже почтовый петух смузихлёбский.
                      Ответить
                      • Это почтовый петух «temp-mail.org», кибербезопасники отправляют через «Mailgun».
                        Ответить
                        • Теперь понял. Received же.
                          Ответить
                        • >> The Email Service for Developers.

                          Для разработчиков чего?
                          Ответить
                          • https://www.youtube.com/watch?v=Vhh_GeBPOhs
                            Ответить
                          • Интересно, нах это надо?

                            Крупные облака предоставляют свои сервера (AWS SES например), в базовую комплектацию большинства линуксов входит postfix или exim у которых миллионы пользователей, и которые поддерживаются производителем дистрибутива линукса, зачем еще что-то на джаваскрипте?

                            >Screencast
                            >Getting started with Haraka

                            За использование видео вместо документации нужно давать в зуб
                            Ответить
                      • > Haraka can serve thousands of concurrent connections and deliver thousands of messages per second.

                        на одном ядре.
                        Ответить
                    • Послал тебе письмецо от имени этих ребят, проверь.
                      Ответить
                      • Проверил, дошло. Но это временная почта, туда любое говно пройдёт. Попробуй на «Gmail».
                        Ответить
                        • попробовал, проверь
                          https://i.postimg.cc/26pL0pBn/lol.png
                          Ответить
                          • Да, смешной багор. «Кибербезопасность — это мы», блядь.
                            Ответить
                            • Короче, у них нет SPF, так что гугл никак не может понять, что его наебали: я имею полное право послать письмо со своего сервера с ссылкой на левый сайт, и просибой ввести там логин.

                              А так как нет HSTS preload, чуваки из ФСБ могут спуфнуть DNS у провайдера жертвы, и выдать ему левый сайт.
                              Причем сайт этот может редиректнуть на какой-нить
                              https://veesecurity.eu/ (специалисты же не догадались купить такие же домены в других зонах), и показать красивую формочку ввода пароля и даже с HTTPS.

                              Безопасность как в 1999-м году, в общем;(
                              Ответить
                          • произошел троленк
                            https://imgur.com/pz0xBb3
                            Ответить
                          • Попробуй послать от gcode.space, проверь.
                            Ответить
                            • Проверил сам, послал на свой «Гмейл».
                              Received-SPF: fail (google.com: domain of [email protected] does not designate 93.99.104.21 as permitted sender) client-ip=93.99.104.21;

                              Что за хуйня? Гмыло мне даже не подсветило домен, просто нарисовало знак вопросика рядом, с тултипом «Системе Gmail не удалось подтвердить, что это письмо отправлено из домена gcode.space. Возможно, это спам».
                              https://i.imgur.com/yIFE587.png — говно тупое.
                              Ответить
                              • Пиздец, что с этим «Гуглом» не так?!
                                Поставил SPF, поставил DKIM, поставил DMARC с «p=reject;sp=reject» — а ему просто поебать!
                                Ответить
                                • О, всё. Видимо, «Гугл» на несколько часов закэшировал ответ. Теперь поддельное сообщение не дошло.
                                  Ответить
                              • айпишник не хочешь прописать в spf?
                                Ответить
                                • Как почтового петуха заведу — так и пропишу. А сейчас один хуй (не золотой!!!) оттуда отправлять никто ничего не должен.
                                  Ответить
                                  • хм. тогда гугол ведет себя странно.
                                    ща пошлю на mailtest, посмотрю что скажет
                                    Ответить
                                    • Да он уже раздуплился. Хотя какого хуя он игнорировал явное «-all» в «SPF» — я так и не понял.
                                      Ответить
                                      • ттл у днса небось не прошел
                                        Ответить
                                        • Нет, Гугл же написал — «Received-SPF: fail».

                                          Погуглил на эту тему: https://serverfault.com/questions/680584/gmail-ignoring-spf-record/680779.
                                          >>> The behavior on SPF mismatch is entirely up to the receiving end, and considering how frequently SPF is configured incorrectly (or out of date) a lot of providers won't reject based on a mismatch (even with -all instead of ~all).
                                          >>> @0fnt you can thank Microsoft for this one, they tell their O365 customers to setup these SPF records. technet.microsoft.com/en-us/library/Dn789058(v=EXCHG.150).aspx
                                          >>> No, I'm telling you since o365, more people have misconfiguration spf records. Usually blocking web contact forms, newsletters, bulk mailers, and other alerting services. I work for an MSP and do about 100K messages per day, I reject SPF -all and have had people tell me my spam filter is broken because I respect their record..... TLDR: -all isn't respected to patch ignorance.

                                          Как всегда: придумали годную идею, дали её дебилам, дебилы не разобрались и начали жаловаться, годную идею поломали до еле живого состояния.
                                          Ответить
                                          • лол, и правда, я сослепу не прочитал.

                                            из за криворуких дебилов теперь нормальные пацаны страдают.
                                            Ответить
                                          • А можно для ботаников?
                                            Ответить
                              • relay=gmail-smtp-in.l.google.com[64.233.162.27]:25, delay=1.4, delays=0/0.02/1/0.36, dsn=5.7.26, status=bounced (host gmail-smtp-in.l.google.com[64.233.162.27] said: 550-5.7.26 Unauthenticated email from gcode.space is not accepted due to 550-5.7.26 domain's DMARC policy. Please contact the administrator of 550-5.7.26 gcode.space domain if this was a legitimate mail. Please visit 550-5.7.26 https://support.google.com/mail/answer/2451690 to learn about the 550 5.7.26 DMARC initiative. u14si2469118lfq.147 - gsmtp (in reply to end of DATA command))

                                гогол не принял, но мож потому, что я попытался подписать

                                ща без подписи попробу
                                Ответить
                  • https://medium.com/@artemtam/%D0%BF%D0%BE%D0%B4%D1%80%D0%BE%D0%B1%D0% BD%D0%BE%D1%81%D1%82%D0%B8-%D1%81%D0%B1%D0%BE%D1%8F-connecto-vpn-a14862a71d89 отсюда мы можем узнать, что они героически арендуют по целому серверу в геозоне. Какая высокая доступность )))
                    Ответить
                    • >>> на все наши 10 физических VPN-серверов
                      Ответить
                    • В последней части пути ссылки на «Медиум» можно удалить всё до последнего минуса, как в ссылках на «Ватабу»:
                      https://medium.com/@artemtam/-a14862a71d89

                      >> TLD .us обновили правила, и теперь доменами могут владеть только граждане или резиденты США

                      Какой багор )))
                      Ответить
                      • Какой-то жестский бугор описан, на кой хуй покупать домен US, когда есть com?
                        Ответить
                • > и IPv4 начинаются со 104:

                  https://www.cloudflare.com/ips/
                  Ответить
                  • Это полный список их адресов. По моему опыту, веб-серверы у них находятся только в 104.16.0.0/12.
                    Кстати, вот так у меня делается вайтлист их айпишников:
                    #!/usr/bin/env bash
                    
                    SET_NAME_CLOUDFLARE=cloudflare
                    IPS_URL="https://www.cloudflare.com/ips-v4"
                    
                    now=$(date '+%d-%m-%Y %H:%M:%S')
                    echo "Started Cloudflare IPv4 update script at $now"
                    
                    ipset -L $SET_NAME_CLOUDFLARE >/dev/null 2>&1
                    if [ $? -ne 0 ]; then
                        ipset create $SET_NAME_CLOUDFLARE hash:net
                    else
                        ipset -F $SET_NAME_CLOUDFLARE
                    fi
                    
                    curl -sS $IPS_URL | xargs -I % ipset add $SET_NAME_CLOUDFLARE %
                    
                    now_end=$(date '+%d-%m-%Y %H:%M:%S')
                    entries_num=$(expr `ipset -o save list $SET_NAME_CLOUDFLARE | wc -l` - 1)
                    echo "Ended Cloudflare IPv4 update script at $now_end: $entries_num total entries"
                    echo ""

                    Какой RCE )))
                    Ответить
                    • Один раз тебе оттуда приедет километр HTMLя с ошибкой 500, вот будет лулз
                      Ответить
                • Отдельного внимания заслуживает вот это:
                  >>> More than 2,000,000 users around the world trust us*
                  >>> * Vee Security helped more than 2 million users all around the world to bypass regional restrictions and access Telegram Messenger via Connecto Proxy.
                  И с января прошлого года эти надписи так и не изменились. Видимо, больше им не доверяют.
                  Какое недоверие (((
                  Ответить
                  • >> More than 2,000,000 users
                    > Видимо, больше им не доверяют.
                    Не зря Сёма поднимал вопроса программистов и математики.

                    Если бы им больше не доверяли, это число бы уменьшилось.
                    Если им доверяют так же или больше, нижняя оценка не обязана расти.
                    Ответить
                    • Видимо, больше [чем 2000000] им не доверяют.

                      Кстати, ты видел когда-нить, что ты такие числа уменьшали?
                      Ответить
                      • Нет. Но я не видел и как их увеличивали, т.к. не слежу за числами.
                        Ответить
                    • В полном соответствии со сноской подразумевалось, что «доверие» — непрерывный процесс, в ходе которого число доверяющих только растёт: каждый попробовавший прокси компании становится доверяющим, перестать доверять нельзя. Таким образом, утверждение «больше им не доверяют» следует понимать как констатацию прекращения процесса увеличения количества доверяющих пользователей.

                      В силу того факта, что публичное информирование потенциальных клиентов об увеличении количества доверяющих компании пользователей положительно сказывается на рекламном образе обозначенной компании и прямо приводит к улучшению финансовых показателей, можно с большой долей уверенности утверждать, что своевременное отражение факта увеличения количества доверяющих пользователей является безусловно выгодным для компании.

                      Следовательно, при наличии устойчивого и наблюдаемого роста показателя количества доверяющих компании пользователей, наиболее благоприятным курсом действий будет регулярное обновление соответствующего публичного счётчика. С другой стороны, демонстрация посетителям веб-сайта компании устаревшего значения обсуждаемого показателя будет неоптимальным и невыгодным действием.

                      Исходя из всего вышесказанного и принимая во внимание отсутствие публично демонстрируемой положительной динамики развития показателя количества доверяющих компании пользователей, можно с уверенностью утверждать, что и фактическая положительная динамика развития показателя количества доверяющих компании пользователей отсутствует.
                      Ответить
                      • Такой высокосинтаксиальный канцелярский ответ - это честь для меня.
                        И ведь написано доступным языком.

                        Вероятностная питушня, конечно. Домыслы, бритвы Оккама всякие. (Может быть, им 2 миллионов хватает для рекламного образа) Но таки ладно, спорить не буду.
                        Ответить
                      • Ого, ты сломал 2^10. Медаль тебе за это, никому еще не удавалось
                        Ответить
                        • Просто эта питушня не касается каких-то моих убеждений, не вызывает особых эмоций. Поэтому я дал короткий комментарий о том, что формально питушня неверная, и есть место для её позитивного толкования. Спорить на эту тему не собирался.
                          gost выдал восхитительный ответ, с положениями которого я также согласен.
                          Ответить
      • Сертификат, кстати, от "Let\'s Encrypt".
        Ответить
        • Ну это как раз норма, в плане безопасности от платных провайдеров он не особо и отличается.
          Ответить
          • У платных там было бы имя юрлица, в теории это значит, что это лицо у тебя есть. Правда, это всё тоже наебывается конечно
            Ответить
            • Не уверен, против каких векторов это может защитить.
              * MITM с подменой на поддельный серт: от того, что там стоит на сервере — EV-серт или «Let\'s Encrypt», ничего не изменится.
              * Угон/подмена домена: любой серт защитит.
              * Угон сервера: никакой серт не защитит.
              Ответить
              • От НЕ технических векторов.

                Если у тебя есть такой серт, значит ты юрлицо, а не охуевший школьник. Если ты кинешь меня на бабло, мне теоретически будет как-то проще тебя найти. Скажем, я пойду в ФБР (если я америконец) и они у Verisign (или кто там выдал серт) спросят, какие доки ты предъявлял когда его покупал.
                Ответить
                • Хм, разумно. С такой стороны для сайтов, которые просят деньги, EV-серт будет довольно важным плюсом.
                  Ответить
                  • Я бы на их месте купил такой серт, и сказал бы клиентам, что работать с сайтом можно только при наличии зелененькой надписи "issued to [их-юр-лицо]". Это сильно усложнило бы жизнь всем спуферам
                    Ответить
                • И чтобы обязательно совпадало с названием в ПБОЮЛ и ЕГАИС: ЗАО \"ВАТНИК И ХУЙЛО\" АТО распоясались со своим интернетом!
                  Ответить
        • Ага) Серьезная компания могла бы и настоящий купить, чтоб с именем компании в строке. Но гораздо хуже отсуствтие HSTS preload и TLS 1.0 кмк
          Ответить
    • под иос пишет...
      https://twitter.com/alexlitreev/status/1207389573719957505
      Ответить
      • >под иос пишет...

        Хахахаха!
        Теперь так называют выпекание хуёв из говна?
        Ответить
        • > выпекание хуёв из говна

          Теперь так называют разработку под иос?
          Ответить
        • >выпекание хуёв из говна
          это имбирное печенье вообще-то!!
          Ответить
    • блядь, ну сраный банер убунты-то на ссш можно отключить было?

      DebianBanner no же

      Питухи, у какого кстати какой ключ ssh? Я вот похоронил наконец ssh-rsa, теперь у меня ed25519. Быстро, ключ маленький, и секурно!
      Умеют современные OpenSSH и Putty. Всем рекоменду
      Ответить
      • Решил всё таки поебаться с эпилептическими курвами. АНБ не пройдёт!
        https://i.imgur.com/ohXzRlC.png
        Ответить
        • это круто, но я про тип самого ключа (у тебя же аутентификация по нему?)
          в authorized_keys у тебя ssh-rsa ?
          Ответить
          • Не, я перегенерировал всё на курвы 25519.
            Ответить
            • тада выруби у себя ssh-rsa в PubkeyAcceptedKeyTypes,
              Ответить
              • Вырубил.
                Но у меня всё равно RSA ключей нет.
                Ответить

    Добавить комментарий