https://www.opennet.ru/openforum/vsluhforumID3/104284.html Проведя (https://www.gnu.gl/blog/Posts/multiple-vulnerabilities-in-pocket/) поверхностный анализ защищённости службы Pocket (https://getpocket.com/), была выявлена серия серьёзных уязвимостей, демонстрирующих халатное отношение разработчиков к защите данных пользователей и показывающих, что при разработке безопасности не уделялось должного внимания. В частности, через манипуляции с URL "file://" оказалось возможным получить содержимое системных файлов из серверных окружений Amazon EC2, которые используются для обеспечения работы Pocket. <br><br><br>Проблема была обнаружена после попытки отложить в Pocket ссылку "http://127.0.0.1/server-status", что привело к появлению на другом синхронизированном устройстве содержимого страницы со статистикой работы сервера. Попытавшись сохранить страницу, при попытке открытия которой выдаётся редирект на URL "file:///etc/passwd" удалось получить содержимое файла /etc/passwd и использовать подобный метод для чтения других файлов с сервера, например, закрытых SSH-ключей текущего пол https://www.opennet.ru/openforum/vsluhforumID3/104284.html#112 Sun, 23 Aug 2015 21:27:23 GMT я понял, но на это же отвечать неинтересно&#8230;<br> https://www.opennet.ru/openforum/vsluhforumID3/104284.html#111 Sun, 23 Aug 2015 21:04:39 GMT &gt;&gt; А с другой стороны &#8212; отсутствие вменяемой опенсорсной альтернативы.<br>&gt; чему? с какого испугу место этих всех примочек &#8212; в браузере, а <br>&gt; не на AMO? Firefox всегда был весёлым конструктором: кости, жир, изолента <br>&gt; &#8212; остальное на AMO. в этом и была его уберфича. всё&#8208;таки <br>&gt; разница между &#171;эта фигня отключена&#8230; наверное, но всё равно торчит&#187; и <br>&gt; &#171;да не собираюсь я её ставить, и потому её нет вообще&#187; <br>&gt; &#8212; огромная. а сделать расширениями пока ещё можно всё, они ничем <br>&gt; не отличаются по возможностям от того, что &#171;в коробке&#187; поставляется.<br><br>Да я не про файрфокс же писал, а про расширение для сохранения страниц. Про отсутствие опенсорсной альтернативы именно покету.<br> https://www.opennet.ru/openforum/vsluhforumID3/104284.html#110 Sun, 23 Aug 2015 17:59:37 GMT &gt; А с другой стороны &#8212; отсутствие вменяемой опенсорсной альтернативы.<br><br>чему? с какого испугу место этих всех примочек &#8212; в браузере, а не на AMO? Firefox всегда был весёлым конструктором: кости, жир, изолента &#8212; остальное на AMO. в этом и была его уберфича. всё&#8208;таки разница между &#171;эта фигня отключена&#8230; наверное, но всё равно торчит&#187; и &#171;да не собираюсь я её ставить, и потому её нет вообще&#187; &#8212; огромная. а сделать расширениями пока ещё можно всё, они ничем не отличаются по возможностям от того, что &#171;в коробке&#187; поставляется.<br> https://www.opennet.ru/openforum/vsluhforumID3/104284.html#109 Sun, 23 Aug 2015 16:55:12 GMT &gt; правильно, ибо ftp вообще не нужен - 2015-ый год на дворе <br><br>Ты в зеркало-то смотрел с утра? Сам-то ты нужен в 2015, а?<br> https://www.opennet.ru/openforum/vsluhforumID3/104284.html#108 Sun, 23 Aug 2015 16:47:02 GMT &gt;&gt; Разработчики мозилы к Pocket не имеют никакого отношения. Это сторонний сервис по <br>&gt;&gt; типу яндекс. Мозилла просто добавила интеграция(кнопку) в файрфокс.<br>&gt; ага. добавили под дулами автоматов, не иначе. а почему не мой сервис <br>&gt; &#171;pupkinkarman&#187;? может, всё&#8208;таки, деньги, а?<br><br>Конечно же, с одной стороны &#8212; деньги.<br>А с другой стороны &#8212; отсутствие вменяемой опенсорсной альтернативы. Автор wallabag'а, например, на запрос фичи сохранения полной версии страницы, без кастрации её посредством readability, заявил, что типа это уничтожает саму идею программы. Ну вот такое. А я на пхп не пишу, чтобы в сорцы того же валлабэга лезть.<br> https://www.opennet.ru/openforum/vsluhforumID3/104284.html#107 Fri, 21 Aug 2015 15:57:39 GMT В первых переводах офисных продуктов было не Копировать и Вставить, а Положить в карман и Взять из кармана чтобы пользователи понимали как это работает. Но прижилось ушлёпское Отрезать, Копировать которое не копирует, Вставить кому-то что-то.<br><br>А Pocket переводится как раз как Карман.<br> https://www.opennet.ru/openforum/vsluhforumID3/104284.html#106 Fri, 21 Aug 2015 14:05:56 GMT правильно, ибо ftp вообще не нужен - 2015-ый год на дворе<br> https://www.opennet.ru/openforum/vsluhforumID3/104284.html#105 Fri, 21 Aug 2015 13:02:08 GMT видимо, гениальная мысль не пихать всякое говно прямо в браузер, а делать как раньше &#8212; устанавливаемыми расширениями, &#8212; в черепа Очень Нужных Маркетологов никак не приходит.<br><br>впрочем, есть задача, с которой Очень Нужные Маркетологи справляются отлично: разгон пользователей. когда последний мерзкий пользователь, наконец, уйдёт &#8212; тогда уж Очень Нужным Маркетологам никто не будет мешать делать Браузер Мечты.<br> https://www.opennet.ru/openforum/vsluhforumID3/104284.html#104 Fri, 21 Aug 2015 12:48:33 GMT &gt; Суть в том, что пользователям Firefox навязали изначально кривой и дырявый сервиc, в котором сведения о том, что сохраняет пользователь могут утекать направо и налево. <br><br>Но могут и не утекать, если юзер не авторизован в нем.<br><br>&gt; но спорим, через год Pocket будет фигурировать в числе доноров в финансовом отчете Mozilla?<br><br>Ну так сотрудников за что-то нужно же кормить. И даже тех же самых маркетологов, которых все считают ненужными, но которые при должной прямоте рук бывают крайне нужны.<br><br>&gt; Google в отличии от Pocket наряду с другими поисковыми системами<br>&gt; Pocket пока только один, альтернативы проигнорированы<br><br>Ну Пакет сейчас самый популярный сервис из себе подобных. К тому же никто ведь не мешает добавить поддержку Instapaper и Readability в будущем.<br>