LINUX.ORG.RU
ФорумTalks

Это норма?

 , , ,


1

2

mono, Pinkbyte, посчитаете нужным перенесите это в Security. Лично я пока сомневаюсь в том, что топик соответствует данной теме, поэтому и пишу сюда.

История такова: есть сайт с говноприложением для смарт ТВ — http://smarton.net.ua/ и, однажды вечером, блуждаю по гуглу как аутист, заметил, что у них проиндексирован Гуглом их плейлист, пример.

Как видите, сам ответ идет в xml.

Полной с примерами использования документации на VK.COM XML API я сходу не нашел (долблюсь в глаза?).

Так вот, у меня вопрос, чем чревато вот такое торчащее наружу API к тентаклику на сайте? Из того, что я могу предположить, очевидно, что можно просто спарсить всех пользователей этой приблуды. Но от этого толку мало. А вот возможно ли нечто по-настоящему нехорошее, как-то перехват токена авторизации, взлом зомбоящика и т.д.?

P.S. Сам сайтик вроде как на ASP.Net и Windows Server соответственно :-)

★★★★★

P.S. Сам сайтик вроде как на ASP.Net и Windows Server соответственно :-)

Решето. Да и сами любители этой технологии априори не умеют в безопасность. Ein Server, Ein Unix, Ein Nginx.

Meyer ★★★★★ ()
Последнее исправление: Meyer (всего исправлений: 1 )
Ответ на: комментарий от Meyer

Не подскажешь кого из безопасников ЛОРа скастовать?

Twissel ★★★★★ ()

Полной с примерами использования документации на VK.COM XML API я сходу не нашел (долблюсь в глаза?).

Не удивительно. С чего ты вообще решил, что это прямой проброс VK API к ним на сайт?

Чуваки скорее всего написали прослойку между VK API и своим софтом (который стоит в телеках) как раз таки чтобы API-ключ напрямую в телеки не передавать и тем самым не компрометировать его.

edigaryev ★★★★★ ()
Ответ на: комментарий от Twissel

получаем через сайт ответы в xml-формате от ВК

Еще раз: с чего ты решил, что эти ответы идут напрямую от VK?

Там в XML-ках даже теги, специфичные для этого сервиса присутствуют (<playlist_name>, <playlist_url>, etc.), тебя это никак не смущает?

edigaryev ★★★★★ ()
Ответ на: комментарий от edigaryev

ок, как это проверить, curl'ом ?)))

В общем-то понял.

Twissel ★★★★★ ()
Ответ на: комментарий от Twissel

то что то же нежелательный контакт с чем то кроме лора ,я на это не подписывался

zoloz ()
Ответ на: комментарий от tyamur

Вот и я так думаю.

Потом просто запихивают выхлоп от xml api в свой тег

<playlist>выхлоп</playlist>
и все.

Только нужны пруфы.

/me пошел искать эмулятор Smart TV :-)

Twissel ★★★★★ ()
Последнее исправление: Twissel (всего исправлений: 1 )
Ответ на: комментарий от Twissel

Я вобще не представляю для чего это нужно и что это из себя представляет. Там еще полно методов. /xml/ and /api/

tyamur ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.