безопасность
Береги прайваси смолоду
У Мегафона сегодня случился эпик фейл. В индекс Яндекса попали sms-сообщения, отправленные через веб-сервис. Мне сразу вспомнилось,. как где-то с год назад были модны хохмочки за бабло типа: «СМС-контроллер! Читай чужие сообщения». Ну а сегодня сие бесплатно и по-настоящему.
Причина фейла проста — для разработки сервиса набрали мудаков.
Во-первых: нехуй хранить в базе своего картонного сайта чужую личную информацию. Тексты сообщений вообще не должны записываться в БД сайта.
Во-вторых: нехуй выводить в браузер все что нужно и не нужно.
В-третьих: нехуй показывать все что можно вывести в браузер кому не попадя.
Для отслеживания статуса sms достаточно двух вещей: идентификатора сообщения (ни текст, ни номер телефона, просто некое абстрактное число) и ключа (в виде куки или пароля), чтобы ни робот, ни кулхацкер Вася не смогли увидеть то, что им видеть не надо.