LINUX.ORG.RU

La revedere

 , , ,


0

3

О тупости ЛОРовских пятизвёздочников давно легенды ходят, но в этот раз она перешла все границы.

Придётся расписать без намёков и недоговорок, как всё было.

Для начала настоятельно рекомендуем ознакомиться с тредом, с которого всё началось, особенно с этим комментарием и ниже. Мы выложили бэкап Opera Mini Mod с крутыми настройками, а в него попал код авторизации в облачном хранилище кук. @EXL обнаружили сие и попали в Наш аккаунт на ЛОРе. Мы разлогинились и на том и заб{и/ы}ли.

Спустя годы, не прочитав или проигнорировав сию историю, бэкап из треда скачали @tiinn, и соответственно, общественным достоянием стала уже Их учётная запись. Мы обнаружили это, расчехлив Opera Mini Mod при тестировании патча для ЛОРа. Первым делом отписали на мыло в профиле. Прождали неделю — ноль реакции. Затем пытались достучаться через ЛОР, аж два раза — ответом на комментарий и кастом, смотреть в удалённых — также безуспешно; @tiinn заходили на ЛОР, но эти обращения проигнорировали и из Opera Mini Mod так и не разлогинились.

Теперь вопрос — как ещё следовало привлечь внимание к проблеме, когда поциент упорно сидят в танке? ;DDDDDDDD

На самом деле, было как минимум три варианта:

1) попробовать отписать ещё в аську — тут протупили, да;

2) тупо нажать кнопочку «Выйти» или «Выйти со всех устройств». Что могло не возыметь должного эффекта: @tiinn могли посчитать это истёкшей авторизацией и просто перелогиниться обратно, а то и вовсе посчитать баном и перепугаться вусмерть. Кроме того, Они могли залогиниться и на других сайтах, так что информацию в любом случае необходимо донести;

3) повести себя чуть более прилично и эскалировать ситуацию до модераторов, можно даже со взломанного аккаунта — но так ведь неинтересно ;DDDDD

Какой в итоге Мы избрали четвёртый — известно.

Должного эффекта это, однако, так и не возымело. @tiinn, вкупе с @EXL, с какого-то перепугу решили, что Мы подобрали пароль, хотя до этого Мы более чем явно продемонстрировали @EXL, что просто повторилась ситуация 7-летней давности. В итоге @tiinn просто поменяли пароль и успокоились.

А теперь — СМЕРТЕЛЬНЫЙ НОМЕР! Мы залогинились во всё той же сессии со своего аккаунта. Теперь все желающие могут выполнить инструкции из треда: поставить мод (opera-mini.ru уже помер, но в интернетах найдёте :P), загрузить в него настройки — и убедиться, как эта «уязвимость» работает.

Технически, это эквивалентно выкладыванию пароля, только без пароля :P Так что, по идее, Нас должны за это забанить. Надеемся, наконец в последний раз. Ибо вопреки распространённой мантре — с ЛОРа вполне уходят, многие много лет как ушли и не вернулись, при этом вполне живы-здоровы. Надо у них этому научиться…

@EXL, с какого-то перепугу решили, что Мы подобрали пароль

А ведь как всё интересно и смешно получилось.

Ты пишешь мол WhiteHat и не будешь делать ничего пагубного из профиля чужого человека. Лично я тебе верю. Но из-за твоего слабо прокаченного навыка «Дипломатии» и «Красноречия» виновник торжества запаниковал, решил что его сломали и для чего-то выложил пароль, чем сиюминутно воспользовался «забанься, дебил» (или его аналог) и тут же намусорил. А стрелки в итоге все легли именно на тебя, «следствие повели по ложному следу» вот это всё :D

И тебе пришлось сегодня хорошенько постараться на благо ЛОРа, чтобы иметь возможность написать этот пост.

Но зато у тебя теперь открыт доступ в /talks’ы на несколько дней.

Осталось только спросить @tiinn зачем он решил скачать какую-то древнюю бяку и вообще заюзать Opera Mini для выхода в интернет? Вот этот вопрос меня волнует сейчас больше всего.

EXL ★★★★★ ()

событие вдохновило меня на новую аватарку, уже польза

Harald ★★★★★ ()
Ответ на: комментарий от AVRS

Пароль был выложен после того сообщения, так что вполне мог и сам tiinn поделиться своими тайными желаниями, чтобы потом всё отрицать под предлогом, что его хакнули :)

Harald ★★★★★ ()

Технически, это эквивалентно выкладыванию пароля, только без пароля :P Так что, по идее, Нас должны за это забанить. Надеемся, наконец в последний раз. Ибо вопреки распространённой мантре — с ЛОРа вполне уходят, многие много лет как ушли и не вернулись, при этом вполне живы-здоровы. Надо у них этому научиться…

И чем же ты собрался заполнять образовавшуюся пустоту??? Куда потратить эту прорву времени?

Harald ★★★★★ ()

Какой в итоге Мы избрали четвёртый — известно.

Кто бы сомневался.

ashot ★★★★ ()

О тупости ЛОРовских пятизвёздочников давно легенды ходят, но в этот раз она перешла все границы.

Ты же понимаешь, что ты расписался в своей тупости тоже?

P.S. Едрить ты поехавший.

zemidius ()
Последнее исправление: zemidius (всего исправлений: 1)

А теперь — СМЕРТЕЛЬНЫЙ НОМЕР!

Захожу лет 10 назад в vk.com через Оперу Мини на десктопе и осознаю, что это не моя учётка, а чувака, которому я ранее скинул эмулятор J2ME с Оперой Мини.

Не думал, что в 2021 кто-то попадётся на такое. Ещё удивительно, что в 2021 сервера миниоперы ещё работают.

Thetan ★★★ ()
Ответ на: комментарий от alpha

Так то чел не в адеквате. Вместо того чтобы сразу написать в этот раздел и попросить удалить ссылки на опасную сборку…

Кстати ссылки реально бы надо удалить.

wandrien ()
Ответ на: комментарий от EXL

зачем он решил скачать какую-то древнюю бяку и вообще заюзать Opera Mini для выхода в интернет? Вот этот вопрос меня волнует сейчас больше всего.

  1. На 8 кбит/с это единственный способ нормально сидеть в интернете, 2) обход блокировок РКН, 3) на кнопочных телефонах это единственный способ выхода в интернет.
tiinn ★★★★★ ()
Последнее исправление: tiinn (всего исправлений: 1)
Ответ на: комментарий от EXL

Ты пишешь мол WhiteHat и не будешь делать ничего пагубного из профиля чужого человека

Так ничего пагубного и не сделали, покекали немного :P

чем сиюминутно воспользовался «забанься, дебил» (или его аналог) и тут же намусорил

Пруфлинк?

«следствие повели по ложному следу»

Ну дык да — почему до Вас не дошла суть уязвимости и Вы выдумали какой-то угон пароля?

Но зато у тебя теперь открыт доступ в /talks’ы на несколько дней.

WUT? Мы 50 шкворца так и не набрали.

В /linux-org-ru/ они нужны, чтобы комментировать, а чтобы топики создавать — шкворец не нужен. И в своих топиках комментировать тоже без шкворца можно, хоть и в толксах.

Хотели в тред @tiinn отписать, но @Pinkbyte пришли и закрыли его.

mertvoprog ()
Ответ на: комментарий от sudopacman

А что «офигеть»-то? До изобретения localStorage, IndexedDB и прочих жирнохранилищ в куках хранили решительно всё подряд. Да и сейчас это единственный способ что-то сохранить в Opera Mini и прочих некробраузерах (но никто такими фолбэками не занимаются, ага). Надо всю эту кучу при каждом запросе по сети гонять? Напомним, Opera Mini заточена под жестчайшую экономию трафика.

Куки-то в любом случае становятся доступны серверу, ибо полный MitM. То, что они и хранятся на транскодерах — уже мелочь на фоне этогою

mertvoprog ()
Ответ на: комментарий от Harald

Какую прорву?

Если Мы тратим на что-то время — это не значит, что оно у Нас есть и Мы его не воруем откуда-то. Много лет уже так.

mertvoprog ()
Ответ на: комментарий от Thetan

удивительно, что в 2021 сервера миниоперы ещё работают

В странах третьего мира она поныне весьма востребована.

Более того, по рыночной доле она уже почти догнала десктопную хроперу. А мобильная хропера и вовсе никому не нужна, в отличие от.

mertvoprog ()
Ответ на: комментарий от firkax

Мы специально откопали гендерно нейтральные формы из праславянского и успешно используем их на прочих русскоязычных ресурсах. Но здесь любые попытки усовершенствования русского языка трут по 5.5. Приходится извращаться и косить под шизика с размножением личности.

И да — непонятно, почему Мы вообще терпим это ретроградство со стороны администрации уже два года.

mertvoprog ()
Ответ на: комментарий от Stil

Таких «дурачков», размножающих по всем сайтам подряд suicide.txt, в те годы было предостаточно. Свято уверенных, что если РКН начнёт лупить по всему подряд, то на проблему наконец обратят широкие массы. Но ничего не добились, от ковровых блокировок Telegram толку и то больше было.

Мы лишь чуть съоригинальничали и вместо suicide.txt использовали кое-что более эффективное ;)

И в тот раз, по крайней мере, предостережению внемли и дыру закрыли. Но всё равно остаётся возможность незаметно залить на сайт харамную аватарку, например.

mertvoprog ()
Ответ на: комментарий от wandrien

А сборка-то тут при чём?

Конфиг с дропбокса Мы и сами убрать можем.

Вот только непонятно — на фига, когда можно прописать себе другой ключ авторизации и спокойно пользовать. Это действительно стоит прописать в топик.

mertvoprog ()
Ответ на: комментарий от peregrine

А при чём здесь китайцы?

Это всё наследие ещё от норвежцев с поляками.

Китайцы только худо-бедно мейнтейнят, вон даже сертификаты умудрять обновляются. У Opera Mini до сих пор нет особых проблем с заходом на https-only-сайты, в то время как в нативных браузерах на ретро-телефонах сертификаты давным-давно попротухали, да и новые алгоритмы шифрования не поддерживаются.

А вот движок так и законсервировался в развитии в 2013-м году. Даже стили для мобильного режима починить не могут, чтобы от флексбоксов страницу по ширине не расколбашивало.

mertvoprog ()
Ответ на: комментарий от fernandos

Из этих 37-и большая часть создана как раз в 2019-м, когда Нам устроили пермабан. И прожила от силы пару часов, а то и пару минут. Так что смысл есть.

mertvoprog ()
Ответ на: комментарий от tiinn

на кнопочных телефонах это единственный способ выхода в интернет

Вы про кнопочные телефоны на Android или кнопочные телефоны на KaiOS?

На последние Opera Mini вообще не портирована до сих пор, там движок от Firefox без вариантов, и плагины, чтобы Java запустить, он не умеет — только перегонять в JS или писать клиент с нуля.

mertvoprog ()
Ответ на: комментарий от mertvoprog

Халка, очевидно. Уже увидел коммент firkax-у.

ashot ★★★★ ()
Ответ на: комментарий от mertvoprog

Ну ладно, что ты хотел от поляков то и норвежцев? Там 1,5 айтишника на всю страну. Какой крупный проект у них есть? Там типа Abby, JetBrains и т.д..

peregrine ★★★★★ ()
Ответ на: комментарий от tiinn

Nokia 3310 (2017)

В 3G-версии есть J2ME-машина, а с ней и возможность накатить UC Browser, Minuet, Pico и прочие.

Что Вы подразумеваете под этим «а ля»? ;)

mertvoprog ()
Ответ на: комментарий от peregrine

То есть разрабатывали не айтишники, понятно.

В нонешни времена даже HR-ы считаются айтишниками, если работают в IT ;DDDDDDDDDDDDDDD

mertvoprog ()
Ответ на: комментарий от mertvoprog

Что Вы подразумеваете под этим «а ля»? ;)

  1. Что J2ME-машина есть не только в 3G-версии, но и, например, в 2G версии. 2) Есть и нативная .vxp версия Оперы мини, именно она там и предустановлена. 3) В массе безымянных китайских телефонов а ля Филипс тоже предустановлена нативная опера мини.
tiinn ★★★★★ ()
Ответ на: комментарий от mertvoprog

Ваши REX OS и Nucleus OS - успешно использовались на кнопочных телефонах. Но, да, сенсорные фичерфоны, если и имели выход в интернет, частенько использовали Оперу Мини. У дочери аж два таких было.

tiinn ★★★★★ ()
Ответ на: комментарий от tiinn

если и имели выход в интернет

А были и без интырьнетов? Simon, что ли? ;DDDDDDDD

успешно использовались на кнопочных телефонах

Так при чём тут кнопки-то, ещё раз спрашиваем? Что вообще такое «кнопочный телефон»?

mertvoprog ()
Ответ на: комментарий от mertvoprog

А были и без интырьнетов?

Были, были.

Так при чём тут кнопки-то, ещё раз спрашиваем?

Кнопочный телефон - имеется в виду как альтернатива смартфону на iOS/Android. Да, фичерфоны сюда тоже годятся.

Что вообще такое «кнопочный телефон»?

А вообще, это телефон, где основной элемент управления - клавиатура с резиновыми кнопками, в противовес телефону сенсорному - где основной элемент управления как раз сенсорный экран. Поэтому всякие Blackberry Bold 9900 - это кнопочный телефон, хотя сенсорный экран в нём тоже есть.

tiinn ★★★★★ ()
Последнее исправление: tiinn (всего исправлений: 1)
Ответ на: комментарий от mertvoprog

Ага. О чём и речь. Работает чел за компом - IT-шник. А то что настоящих IT-шников которые само IT двигают на всём глобусе пара тысяч человек (и пара миллионов которые решают бизнес-задачи, которые без IT решали бы на счётах), это норма. Но по факту программист который сайт-визитку клепает, это тоже не совсем IT-шник. Пользователь языка программирования - да.

peregrine ★★★★★ ()
Последнее исправление: peregrine (всего исправлений: 1)
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.