B
такие красавичик, что после обновы заглавные буквы в событии обходят фильтр на хсс
Бро, ну это же мелочь такая, что ппц
Size: a a a
2020 April 24
B
Кстати читали статейку про одного из фаундеров?
I
не обязательно через JS, у них где-то был ресерч с детектом по набору cipher-suites
AA
Бро, ну это же мелочь такая, что ппц
ну блин.. это настолько банально, что было глупо оставлять подобное без внимания
NM
Кто нибудь сталкивался с такой багой, сессия в вебе и сессия в мобильном приложении живут разной жизнью. Т.е. если в вебе сбросить пароль, то мобильное приложение продолжает жить. Сколько бы такой баг мог стоить?
B
О, жиза. Часто это именно так и есть.
B
Тот же linkedin, там с мобилки одни ограничения, а с веба-другие
NM
ну мне видится что api какой нибудь при смене пароля должен пнуть мобильный api и инвалиднуть сессию
CO
На Live.com (OneDrive, Outlook) раньше невозможно было убить сессию, логаут и смена пароля не помогали. И сессия была не привязана к IP
CO
В их случае стоило $0 🙂
👾0
Кстати читали статейку про одного из фаундеров?
+, история конечно сильная
EL
ну мне видится что api какой нибудь при смене пароля должен пнуть мобильный api и инвалиднуть сессию
Со своей прогерской стороны могу сказать что на всякие мелочи типа инвалидация сессии вообще никто никогда не смотрит и ничего не делается до тех пор пока жареный петух не наведается
AA
Кто нибудь сталкивался с такой багой, сессия в вебе и сессия в мобильном приложении живут разной жизнью. Т.е. если в вебе сбросить пароль, то мобильное приложение продолжает жить. Сколько бы такой баг мог стоить?
такая фича раньше у киви была. что можно было менять пасс и сидеть в приложении дальше себе
NM
платили они за это?
A
такая фича раньше у киви была. что можно было менять пасс и сидеть в приложении дальше себе
у тебя стадия принятия прошла - фича, а не баг)
AA
ахаах
AA
платили они за это?
нет, этим очень долго в мошеннических целях пользовались
NM
Ну да поидее зафишил креды или дал кому то креды, прикинулся тапком что, ой ой не знаю ничего не делал деньги убежали
NM
потом начинается беготня по логам прокси, понимание с одного устройства или нет, откуда сессия..