Айрат Натфуллин
А я поддерживаю Ситимобил в этой истории. Хотелось бы, конечно, увидеть, как именно оформил баг Сергей: сказал, что аутентификации нет на точке и всё; или же указал, что выдаются данные, которые можно использовать так-то и так-то.
Просто, если первое, то это немного грязно, хоть и неплохо получилось пропиарить свои скилы :)
Если говорить о самой проблеме, то бага же не в том, что аутентификации - нет. Если добавить аутентификацию, то вы так же сможете все эти данные получить, просто надо будет передавать сессионный ключ, кукис или что там еще.
В конечном итоге, баги, как минимум, в двух местах:
1. Лимит на запросы, как уже писали в комментах: все эти данные имеют смысл только когда они более или менее полные (фразы про то, что можно узнать долю рынка) и когда их можно обновлять регулярно на большой площади (чтобы отслеживать статистику).
2. Персонализация данных машин: а именно то, что можно связать данные по машине в запросе сейчас с тем, что вернётся через час. Например, по какому-то внутреннему id. Именно это, как я понимаю, позволяло отслеживать маршрут машины.
Если вы посмотрите тот же Lyft, он возвращает номер машины и марку только когда уже есть заказ машины, но не показывает их списком, пока они колесят на карте вокруг тебя.
Интересно, хоть часть соображений и анализа были в отчёте? Или это было "У вас тут точка открыта для показа машин рядом. Как вам? Платите."
Ну и надо отметить, что все мы люди, какие бы проекты большие не были, какие бы крутые команды в них не участвовали - баги возможны.
Напомню вам случай, когда программист из Казани нашел возможность удалять на youtube любой видеоролик. Кто бы мог подумать, что такое возможно.
Там - это где? :) в Америке очень даже есть и лучше, чем в России. В России у меня карта известного банка, которая предлагает выбрать категории каждый квартал - так вот она вам их предлагает из того, что вы не покупаете, лишь изредка предлагаю одну "хорошую" категорию. У нас, кстати, еще есть ограничение на максимальный кешбек в месяц.
В Америке же у меня несколько карт: да, есть привязанные к магазинам, но есть и общие, а категории очень крутые: например, летом в течение 3х месяцев был кешбек 5% на все покупки с помощью paypal - а этим можно было оплатить практически всё - я покупал книги, курсы, авиабилеты.
Сейчас на этой карте 5% на Amazon (офигенно), Target и Walmart, что тоже очень выгодно. А так у людей по 5 карт, чтобы получать повышенный кешбек по разным категориям.
Лет 5 назад такая защита была на http://www.starcitygames.com/, картинка генерилась и потом смещалась с помощью css. Ради интереса тогда писал парсер, который распознает и потом так же находит число со смещением, повторяя алгоритм из css.
Проверил сейчас, они убрали эту защиту :) Мне кажется, это и правда не имеет смысла.
да, вы правы, я упустил этот момент :) 1 января 2019 отменили, кроме 4 штатов.
я расскажу, что такое страховка за $100: это полный ноль, у меня похожая за 80$ :) смысл в том, что ты обязан иметь страховку и эта сама дешевая: с ней выгодно не болеть.
в мед. страховке есть 2 основных понятия: deductible и maximum out-of-pocket: до какой суммы ты платишь сам, и какую сумму платишь максимум (в год). Так вот при такой страховке в $80 я до $3500 буду платить из своего кармана, потом только подключится страховая и будет платить 80-90%, но я оплачу не больше $6750, потом уже страховая платит всё. Т.е. если у тебя аппендицит, то операция стоит $20000, но ты оплатишь 3500 + 20% * 16500 = 6800 (но т.к. достигнут лимит, то $6750).
Т.е. как бы страховка, которая мне ничего не дает. К примеру, мне нужно было записаться к доктору для осмотра, т.к. это был первый визит к доктору в этой клинике (а выбрать ты можешь только доктора "в сети"), то с меня взяли $300 и это не покрывается страховкой (лимит то недостигнут).
Если ты болеешь часто, то есть смысл брать дорогую страховку (200-300$, но цена зависит и от штата/города), там и лимит меньше (быстрее страховая начнёт платить), и максимум-из-кармана меньше.
Тоже не понял о чем статья. Я живу в США и могу сказать, что налог штата, страховая и отдельно оплата мед. страховки - это приличная разница. К примеру, при 100К ЗП 7.56% это налог сверху (как это можно было не учитывать?). Сверх этого мед.страховка может стоить от $80 до $500 в месяц. Если жена, скажем, сидит с детьми и не работает, то страховку оплачиваешь обоим.
И да, если бы в США работодатель платил налог, как в России, то просто рынок ЗП подстроился бы соответственно, поэтому непонятно на что это влияет.
При этом, опять же я не могу сказать, где больше платят налоги: система разная. В США вроде, если так посмотреть, то больше, но при этом есть отчисления в Savings, которые до вычета налога, и засчет которых сильно можно экономить. Плюс есть другие способы сокращения налогов, но они есть и в России.
Согласен, как написали выше, сравнение яблок с бананами.
Проверял в самой статье и на хабре, поэтому видимо не нашел. Сейчас увидел в комменте от Сити, спасибо.
В самом баге hackerone (https://hackerone.com/reports/756833) не описано то, что описано в статье. Да, без authn. Да, можно получить цвет машины, где тут sensitive data и как это можно использовать (если есть limit rate и нельзя связать id, как я писал в комменте).