aradığınız sayfa aslında yoktu
ya da vardı ama artık yok. varsa bile ben bulamadım.
ana sayfa
ama subethaya girip oradan tıkladığımızda sorunsuz geliyoruz duyuruya. nedir?
kanzuk bir şeylerin ayarıyla oynadı yine diye tahmin ettim ben. aynı durum bende de var. bi de eskiden yeni sekmede açılırdı duyuru, artık laps diye aynı sayfadan yönlendiriyor.
sözlüğe yazar girişi yapıp sub-etha sayfasından geldim ben.
+1 şifremi değiştirdim ben. Ondan mı oluyor demiştim. Demek ki genel sıkıntı.
Nereden girerseniz girin link aynı. Sözlükte bişeyler bozuk, bazı denemelerde giriyor.
Muhtemelen load balancer'ın arkasındaki web server'lardan birinde hata var, diğerinde yok. Hangisine denk gelirse session, ona göre sonuç veriyor.
selam, oncelikle sozlukte bir seyler bozuk degil yani en azindan buradaki sorun o degil :P
ben eski bir eksiteknoloji calisaniyim (git: eksisozluk.com) , 2 gun once sozlukteki sub-etha kismini incelerken sozluk hesabinizin ifsa edilmesine yol acabilecek bir guvenlik zafiyeti dikkatimi cekti.
bunu sozluk yonetimi ile paylastim ve sub-etha'nin yapisini degistirdiler. suan eksiduyuru ve diger sub-etha sitelerine giris yapmak icin eksisozluk uzerinden tiklayip gelmeniz gerekiyor.
bulunan zafiyet onemli oldugu icin, sub-etha sitelerinin tek tek yeni sisteme entegre olmasini beklemek yerine hemen gecis yapmislar(bence cok iyi oldu), yavas yavas sub-etha site yoneticilerine de yeni sistemi kullanmalari icin yapmalari gereken seyler anlatilir diye umuyorum.
(@harzem evet sub-etha login linki ayni ama GET degil CSRF kullanan POST var artik).
(git: eksisozluk.com)
@ahoy, guzel aciklama. Tesekkurler aydinlattigin icin. Sozlugun boyle bir seye bu kadar kisa surede aksiyon almasina da cok sasirdim.
@ahoy kaptan, açık artık düzeltildiğine göre açığın ne olduğunu açıklayabilir misiniz?
sizin isteginiz disinda sub-etha sitelerine giris yapmaniz saglanabiliyordu.
'e bunda buyutulecek ne var ki?' demeyin, sub-etha siteleri eksisozluk gibi bir ekip ile surekli olarak gelistirilmiyor. haliyle irili ufakli bir suru guvenlik aciklari var, birisi sizi istedigi sub-etha sitesine sokabilirse oradaki acigi sizin hesabiniz ile kullanadabilir.
mesela suna tiklayabilirsiniz(bana ozel mesaj gondereceksiniz farkinda olmadan): (git: bitly.com)
ahoy kaptanın verdiği linke tıklamayın arkadaşlar. ben tıkladım. bütün banka hesaplarım sıfırlandı. şu an köprü altından yazıyorum. asdfghjkl
i3.heptarlaydi.com
yapmayin soyle sakalar adimiz cikacak :D
Peki eski haline döndürme gibi bir imkanı var mı? Çünkü ben direkt olarak sub etha daki yardır linkini sık kullanılanlara eklemiştim.
suan icin yok, yakinda sub-etha site yoneticileri bir ayar ceker
Durum şu ki, bana bir iki kişi hacklendiğini söyleyen mesajlar gönderdi. Üstüne dün ben de iki kez, şifremi değiştirmeme rağmen hack'lendim. Şifrelerimi, vb. tekrar tekrar sıfırlamak zorunda kaldım. Oraya buraya da mesajlar gönderilmiş olduğunu söyleyenler var. Güvenlik açığı kısımlarından biri de bu sanırım.
evet onunla alakali, ama kimsenin sifresini vs. degisme gibi bir sey olmadi. sadece ozel mesaj gonderme yaptim test icin, o da eksi'ye bildirmeden once emin olmak icindi.