Метка «vk.com» - 2

в 9:54, , рубрики: security, vk.com, xss, Вконтакте, информационная безопасность, метки: , , ,

Данный пост — небольшой отчет о процессе реверсивного проектирования и анализе работы самой популярной соц. сети в СНГ — vk.com. В основном анализ проводился со стороны безопасности (хотя сама соц. сеть весьма привлекательна как high-load проект, безусловно). Для себя вынес некоторые интересные решения и просто получил удовольствие. Пост получился, возможно, немного сумбурный, так углублялся просто в интересные мне моменты.

Содержание

Общее зрение

Архитектура

  • php 5.2/5.3
  • Периоды нагрузки (отключения автоподгрузки ленты)
  • Врапперы в сообщениях
  • Разный код для мобильной и полной версии

Security

  • Фичи
    • Авторизация
    • Anti-CSRF токены
    • Запрет iframe
    • Отключенный POST на контент-серверах
  • Фиче-баги
    • Узнать возраст через поиск
  • Баги
    • XSS
    • Загрузка документов без имени
    • Подгрузка по ajax фото из закрытых альбомов (?)
    • Не везде anti csrf

Разное

Читать полностью »

в 21:53, , рубрики: javascript, vk.com, Программирование, метки: ,

Привет!

Долго не мог решить, как это оформить – как вопрос в QA или как пост, в итоге, 4-ый пункт правил оформления вопроса меня насторожил — «содержит в себе действительно вопрос, но не повод для дискуссии.», и я решил это сделать постом.

До сегодняшнего вечера, я считал, что немного разбираюсь в JavaScript, и даже знаю какие-то фишки клиентской оптимизации:
— к примеру, минимизировать и обфусцировать скрипты, склеить их в один файл и позволить закэшировать его браузеру;
— так же я свято верю в то, что нельзя засорять window большим количеством глобальных объектов, это так же может сказаться на производительности и «качестве» (собственно об этом и пойдёт речь)

Не помню, что именно меня натолкнуло на мысль открыть консоль в chrome development tools, находясь на vk.com (куда я к слову очень редко захожу), но назад дороги уже нет…

Сначала я удивился отсутствию jquery. Символ доллара, конечно занят, но совсем не под jQuery, а вот под такую штуку:


function () { var curArgs = Array.prototype.slice.call(arguments); return func.apply(obj, args.concat(curArgs)); }

Попытка достучаться через jQuery тоже ни к чему не привела. Ну ладно, подумал я, они, наверное, как yahoo, написали свой мега крутой framework с блэк-джеком и без jquery. Но я решил убедиться, что в объекте window нет какого-нибудь странного свойства, в которое затисался jQuery (ну может он скрывался бы в window.jqry).

Я написал в консоль window, нажал enter, развернул «дерево», чтобы увидеть список свойств объекта и…
Читать полностью »

в 6:04, , рубрики: vk.com, Статистика в IT, метки:

11 сентября сайт vk.com переходит с TNS на LiveInternet и ComScore, а также раскрывает свою статистику посещений, которую можно посмотреть тут. Из этой статистики мне показалось интересным статистика по браузерам, OC и разрешениям экранов.

Читать полностью »

в 15:38, , рубрики: vk.com, wikipedia, Вконтакте, рекурсия, хабрахабр, метки: , , ,

Вконтакте присоединился к протесту против законопроекта №89417 6, попутно положив Хабрахабр

Вот что могут увидеть посетители vk.com в данный момент.Читать полностью »

в 14:16, , рубрики: api, data, processing, visualization, vk.com, визуализация, Вконтакте API, данные, Дизайн в IT, Инфографика, метки: , , , , , ,

Вступление

Несколько дней назад в блоге The Daily Viz была опубликована запись, которая привлекла внимание широкой общественности как пример простой и эффективной визуализации данных.

Визуализация представляла собой карту популярности дней рождения, реализованную как теплокарта (heatmap) в виде календаря. По вертикали располагались числа, по горизонтали — месяцы, и, глядя в эту незамысловатую таблицу, мы могли по насыщенности оттенка судить о том, насколько популярен тот или иной день в году с точки зрения деторождения.

Через какое-то время автор визуализации опубликовал в том же блоге второй пост, извинившись за то, что ввел сообщество в заблуждение, не прокомментировав должным образом исходные данные, использованные в работе над изображением. Проблема была в том, что исходный сет данных не содержал информации о реальном числе родившихся в тот или иной день людей. Информация была дана в другом виде — на каком месте (rank) находится тот или иной день в «рейтинге» популярности дней рождения.

То есть, разница между первой и второй позицией в рейтинге могла быть колоссальной (скажем, в два раза), но отличались бы они все равно только на один тон. Иными словами, визуализация не отражала реальных данных из-за того, что сет содержал лишь производные данные.

Немного подумав над этой проблемой, я решил описать собственный пример создания такой визуализации от начала до конца — т. е. от сбора данных до, собственно, отрисовки изображения. Этот пример хорош тем, что он, с одной стороны, относительно прост, а с другой — является целостным завершенным проектом с определенным интересным результатом.Читать полностью »

в 6:36, , рубрики: oauth, ruby, ruby on rails, ruby on rails 3, vk.com, авторизация, День святого Валентина, социальные сети, метки: , , , , , ,

Мне очень нравятся сервисы вроде formsping.me, ask.fm тем, что у каждого пользователя есть своя маленькая страничка (например, ask.fm/popova) — и ты сразу знаешь к кому попал.
Мне и моему другу sborod пришла в голову идея сделать сервис для признаний в любви с похожей механикой:
1. Андрей заходит на сайт, логинясь через ВКонтакте, и вводит ссылку на профиль Марины, которая ему нравится.
Сервис признаний в любви на Rails
2. Ему генерируется собственная страничка howmuchiloveyou.ru/его короткое имя или id номер ВКонтакте, если короткое имя не указано.
3. Он копирует ссылку себе в статус ВКонтакте или на стену.
4. Всем перешедшим по ссылке, кроме Марины, говорят: «Я люблю не тебя». Если заходит Марина, то ей выводится: «Я тебя люблю! Андрей».
Читать полностью »

в 19:10, , рубрики: DNS, php 5.3, vk.com, xdebug, Вконтакте, отладка, метки: , , , , ,

PHP / Отладка iframe приложения непосредственно в среде vk.com с использованием php + xdebug
В этой статье вы узнаете, как можно отлаживать iframe приложение непосредственно внутри среды vk.com, то есть как белый человек. Разработка приложения непосредственно в среде не требует создания песочниц (эмуляции вконтакте), очень удобно работать непосредственно с API вконтакте, видя все переменные, которые передаются туда и обратно непосредственно в трейсе. Не претендую на оригинальность, я просто проверил, что такой статьи нету в тырнете и все, а идея очевидна и проста. Идею придумал за кружкой чая, ибо если бы я успел его допить, то начал бы гуглить.

Злость

УЧитать полностью »

12
Главная   |  Архив новостей  |   Android  |   Google  |   Apple  |   Microsoft  |   Информационная безопасность  |   Веб – разработка
Публикации RSS  |  Комментарии RSS
https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js