Эта запись видна только хозяину дневника.

Комментарии (33)

avatar
ну как это нельзя получить пароли. А волшебный пост на твиттере и хабре откуда?
avatar
Посты отправили используя уязвимость на bp. Не зная паролей.
avatar
шифрование паролей планируете вводить?
avatar
Еще вчера ввели. Все зашифровано.
avatar
А пароли юзеров на сторонние ресурсы и раньше хранились в зашифрованном виде. И получить их было нельзя.
avatar
мот openid введём? на ресурс вообще?
Если они хранятся в зашифрованном виде, это ещё не значит что их нельзя получить.
Архитектура BP не позволяет получить их даже в зашифрованном виде.
Скажем, при публикации поста в ЖЖ, там же мой пароль участвует в тразакции? Если да, значит его можно получить :)
Все эти операции происходят непосредственно на сервере и через XSS это никак не получить. XSS это технология, при которой жертве просто в броузере подсовываются JavaСкрипты которые постят за него.
А что, была только XSS атака? Возможна ведь и sql injection.
Инъекция маловероятна.
avatar
Архитектура bestpersons.ru практически исключает sql injection.
avatar
а зачем тогда подтверждать свои сайты?
Действительно. Помнится кто-то у нас тут говорил, что неподтвержденные сайты будут удаляться. Не так ли?

Да и как мне подтвердить профиль на last.fm ?
avatar
Подтверждать сайты нужно только для того, чтобы никто другой не смог указать ваш сайт у себя в профиле.
Неподтвержденные удаляются только тогда, когда их подтвердил другой аккаунт.
интересно
Одновременно с вашей историей меня перестали авторизовать на Яру и почте Яндекса. Это взаимосвязано или совпадение такое странное?
Это проблемы Яндекса.
Фак мой мозг!
Оказывается, здесь можно пачкой регистрировать аккаунты и не пройдя подтверждение писать комментарии, голосовать за сообщения.
avatar
Исправлено.
avatar
Ребята, желаю вам закрыть все дыры и продолжать совершенствовать сайт. То что представляет сайт собой сейчас мне очень нравится. Дизайн и юзабилити на высоте. Я это говорю не только как пользователь, но и как дизайнер.
Я бы не сказал что юзабилити на высоте. Есть много недочетов, которые в совокупности временами бесят
avatar
что ты имеешь в виду? уточно? интересно твое мнение.

Просто мне нравиться
Элементарные примеры.
1. Я запостил в 5 блогов пост. В итоге во френдленте видны 5 одинаковых записей на разных блогах. Когда это читаешь, это мягко говоря бесит.
2. Удаление записей из ленты по одиночке - не удобно.
3. Нет редактирования записей(опять таки надо решить проблемы №1,2 вместе с этим)
4. На почту приходят уведомления о том, что меня кто-то добавил в друзья. Можно было бы туда же поместить форму приватного сообщения и ссылку на добавления этого человека в друзья.
5. Зачем мне на странице другого человека видеть его информер???
6. Может это и фича, но не привычно видеть интересы размер которых зависит от баллов которые пользователь проставил, а не от распространенности этих тэгов на сайте.
7. Опять таки, где облако тэгов???
8. Хотелось бы в ленте писать комментарий не переходя на страницу с сообщением.

Это вот самое основное, что меня раздражает... а так этот список можно ещё продолжать и продолжать. Надеюсь разработчики это учтут.
avatar
1) Согласен, я просто отключил импорт с зеркальных блоов.

8) вот это точно.
1). Это ты отключил, а вот другие не отключают, прокуратор к примеру... получается баян
avatar
угу, я согласен что с этим что то надо делать.
но и автор тоже должен заботиться за своей лентой
avatar
автор может вообще понятия не иметь о bestpersons
avatar
Сюда прибавлю, что лично меня пидарирует, что движок считает пустое поле пароля заполненным. Конкретно, когда заходишь подредактировать параметры блога (ЖЖ, например), нужно вводить пароль иначе он стирается нахер. Это даже не юзабилити, а корявость какая-то.
avatar
Исправлено. Еще раз вводить не надо, не стирается.
Тестируйте и дебажте
а мне сайт нравится, хотя эта не очень хорошая шумиха сыграла свою роль - хотела уже уходить с этого сайта, но раз теперь с безопасностью все в порядке, то я остаюсь! :)
вернуться к странице