Незважаючи на публікацію «Критична вразливість у безпеці на fl.ru», цей сервіс продовжує роздавати всім бажаючим інформацію, яку слід було б закрити від публічного доступу.
Ви можете легко отримати доступ до паспортних даних, адреси реєстрації, поштової адреси, E-mail, телефону та іншої інформації про користувачів Fl.ru, в тому числі фінансової! Причому не тільки про фрілансерів, а й про замовників. Для цього не потрібно застосовувати якісь хакерські прийоми і зламувати сайт Fl.ru, досить просто пройти за посиланнями, проіндексованими Яндексом із зазначенням відповідного реферера в заголовку запиту.
Перший варіант - скористатися утилітою wget як рекомендує ValdikSS у своєму коментарі:
wget --referer 'https://st.fl.ru' http://st.fl.ru/about/documents/ім "я _ документа.pdf
Другий варіант - встановити доповнення до браузера для зазначення конкретного реферера для конкретного сайту. Наприклад, для firefox можна використовувати цю додаток: addons.mozilla.org/ru/firefox/addon/refcontrol. Після встановлення треба пройти в параметри RefControl і додати сайт st.fl.ru, далі вибрати «Інше» і ввести в це поле
Після натискання кнопки «Ok» вікно налаштування має виглядати так:
Все, тепер ви можете пройти за посиланнями Додаток до ОФЕРТИ НА УКЛАДЕННЯ ДОГОВОРУ
або за технічними завданнями, а також за будь-якими іншими варіантами пошуку Яндекса або Гугла по домену Fl.ru і отримати доступ до інформації, яка повинна бути закритою від публічного доступу!
Я думаю, що вказівка конкретного реферера в http запиті не є протиправним діянням. Упевнений, що Fl.ru слід зробити більш серйозні дії, ніж перевірка реферера - для того, щоб закрити від публічного доступу таку критично важливу інформацію. Наприклад, показувати ці документи тільки авторизованим користувачам.
UPD П'ятниця, 27-мар-2015 14:09
На даний момент цю дірку Fl.ru нарешті закрила!
Спасибі всім, хто взяв участь в обговоренні, репостив іформацію і т. п. - ми таки змусили Fl.ru звернути на це увагу і вжити заходів!