July 18th, 2011

putin dark

Премия Шестирига

Евгений Шестаков решил вступиться за Путина, которому не дали немецкую премию «Квадрига». И учредил свой утешительный приз для нацлидера. Полный текст извещения:

Originally posted by eu_shestakov at post
Уважаемый Владимир Владимирович!

Эти пидарасы зажали вашу премию. Потому что мудаки. Когда у нас опять будет много танков, они пожалеют. А пока не побрезгуйте, я только что учредил премию "Шестирига" и хочу вручить ее вам. Она небольшая, 22 рубля и поцелуй в щоку, но уж чем богаты. Пришлите какого-нибудь Диму, я ему передам.
Кох Арон Гершевич

Перевернутый мир: кладбище-сквоттер

В течение ближайшего месяца муниципальному ГУП «Ритуал» предписано освободить незаконно захваченные 11 тысяч квадратных метров, которые сейчас составляют территорию Бабушкинского кладбища. Как выяснили в Росреестре, на этот гектар с небольшим кладбищенская землица прирасла путём банального самозахвата близлежащих участков — тоже муниципальных или государственных, т.е. de facto бесхозных.

Тут, конечно, сразу представляются душераздирающие сцены уничтожения свежих могил, но волноваться рано: суровость наших законов, как обычно, компенсируется необязательностью их исполнения. Если ГУП «Ритуал» банально наплюёт на предписание Росреестра — с предприятия будет взыскан штраф от 10 до 20 тыр. Не слишком большая цена, если вспомнить о текущей стоимости мест на столичных кладбищах:

Как сообщили сразу несколько игроков рынка ритуальных услуг, место под могилу в Москве стоит от 150 тыс. руб. до 5 млн руб. На Пятницком кладбище оно обойдется в 800 тыс. руб., на Троекуровском — в 4,5 млн руб. В среднем же цена участка колеблется в диапазоне 0,5-1 млн руб.

По поводу стоимости могил тоже существует закон, и он говорит, что место под захоронение гражданину РФ должно выделяться бесплатно. Но Москва ведь не только для жителей нерезиновая: у покойников те же проблемы.

В результате имеет прелестную ситуацию: и якобы действующее законодательство, и предписания надзорных органов годятся исключительно на подтирку. Не только несознательные граждане, но и государственные унитарные предприятия в едином порыве кладут хуй и живут по понятиям. А как им ещё жить, если самозахват гектара московской землицы официально оплачивается штрафом в 350 уе?!

Диктатура закона во всей красе.
mao by warhol

Кто спалил СМС?

Яндекс выпустил пресс-релиз по поводу попадания текста SMS-сообщений абонентов Мегафона в общедоступные результаты поиска, вместе с номерами адресатов. За подписью Очира Манджикова, как о том и просил Лесной.

Там довольно доходчиво объясняется, что именно мегафоновские вебмастера сделали не так, добившись столь шокирующих результатов:
скриншот из журнала straykov.livejournal.com, оригинал по ссылке
Согласно объяснениям Яндекса, проблема состояла в том, что в директории, куда записывались отправляемые через веб сообщения, не был прописан файл robots.txt. А теперь с ним там всё в порядке:
http://www.sendsms.megafon.ru/robots.txt

Это, очевидно, правильное объяснение, но очень какое-то неполное.
Яндекс же всё-таки не рентгеновская установка, и не разведслужба. Он сам не может догадаться о содержимом какой бы то ни было директории, если роботу специально прямые ссылки туда не скормить.
Видимо, кто-то на стороне мегафоновского сервера ещё и покормил Яндекс-робота этой удивительной ссылкой — да так, что 8766 сообщений оказались проиндексированы. Понятно, что Яндекс может ответа на этот вопрос не знать, а даже если и знает — не имеет причин озвучивать публично.

И всё же интересно, что это было: распиздяйство, криворукость, или всё же месть обиженного сисадмина?

Update: в официальной реакции Мегафона говорится, что проблема возникла по вине внешнего администратора сайта. То есть утверждается, что поддержку веб-модуля отправки SMS на своём сайте megafon.ru они кому-то аутсорсили, с кого теперь и спросят за robots.txt. Вполне могу в это поверить, особенно в свете последующего обнаружения таких же дырок на других веб-сервисах по отправке СМС.
Android

Дырки в СМС: продолжение драмы

Кажется, у меня есть хорошие новости для Мегафона.

Его веб-интерфейс — не единственный, где можно поживиться подобным счастьем.

Есть, например, пермский портал PRM.RU, принимающий SMS-сообщения через веб-интерфейс для абонентов МТС, Мегафона, Билайна и Utel. При этом сообщения доставляются адресатам, а ссылки на их содержимое — в базу Яндекса:
http://yandex.ru/yandsearch?p=11&text=&site=sms.prm.ru&rd=0
Вот как выглядит отправленное СМС-сообщение на сайте sms.prm.ru.

Интересно, сколько мы до вечера еще таких дырок найдем.
bloody

Почта России — те же грабли

В комментариях к предшествующей записи ещё один долдон спалился, за компанию с Мегафоном и пермским порталом.

Филиал ФГУП «Почта России» под названием EMS Russian Post (услуги экспресс-доставки) зачем-то отдаёт Яндексу страницы с трекингом посылок, причём делает это практически в реальном времени.

Про посылки эти, конечно, не слишком много можно узнать из трекингов на сайте EMS Russian Post.
Но в них попадаются имя отправителя, его индекс, населённый пункт и индекс получателя, вес и объявленная ценность посылки.

У всех служб экспресс-доставки в мире такая информация хранится в открытом доступе, не за логином, потому что она, по идее, интересна только отправителю и получателю, а третьим лицам как бы без надобности. Но при этом Вы ни у какого FedEx не можете спросить "а покажи-ка ты мне, милок, все бандероли, которые получали и отправляли жители моей деревни, откуда и куда". Там ответ на запрос выдаётся строго по идентификатору посылки, который известен отправителю, и может быть ещё переслан получателю. Постороннему этот идентификатор никак не вычислить. Он исполняет функцию своего рода пароля, только без логина.

А вот как раз в EMS Russian Post без логинов и паролей можно посмотреть — через поиск Яндекса — что и откуда получали жители посёлка Полярные Зори в Мурманской области. Или станицы Кущевская.

Может, это и безвредный функционал — но, на мой взгляд, совершенно излишний. А зачем информация об отправленных и полученных бандеролях на этом сервере хранится годами — вообще полная загадка.

Update: дальнейшие исследования показали, что в поисковиках свободно доступны данные трекинга отправлений DHL. Причём через всё тот же Яндекс. Зато про абсолютно весь мир. Идентифицирующей информации там совсем мало, но от EMS отличие невелико.