Видимо по случайности разработчики "Хабрахабра" отключили обработку PHP во время проведения работ по обновлению кода сайта (видимо до долгожданного "СуперХабра"), поэтому файлы с кодом стали отдаваться как обычные бинарные файлы.
Как только дыра была обнаружена новость быстро разошлась по сетевому андеграунду, посредством IRC и двачевской имиджборды (копия треда).
Среди прочего в открытом каталоге оказались фотографии рабочего процесса, среди которых, например концепт-схема автокадабры:
и даже видео рабочего процесса в офисе "Тематических медиа" один из примеров, зеркало.
В коде же, по сообщениям аналитиков были обнаружены строчки, которые позволяют получить права суперпользователя просто установив куку со специальным именем.
Официальная позиция / Комментарий эксперта
IgrOK, вот специально для Вас говорю еще раз:
Подчеркиваю: никаких реально важных данных, которыми мы не хотели бы делиться, там не было. Закрывать доступ к некоторым папкам мы стали просто потому, что нам надоело ничего не делать, надо было создать видимость какой-то движухи.
Более того, непрекращающиеся тут и там разговоры о том, что все это было по-настоящему лишний раз свидетельствуют о том, что задумка удалась.
Вся эта история с "дырой" и открытыми исходниками, фотками, видео и прочей ерундой была придумана, спланирована и реализована в период с 6 по 9 августа включительно мной и всей командой ТМ. Все, что мы выложили в открытый доступ, было выложено туда намеренно с полным осознанием происходящего исключительно шутки ради, ну, и чтобы народу было чем заняться, пока мы прикручивали Суперхабр
Задачи привлечь лишний трафик не было. Была задача развлечься самим и развлечь как можно больше народа. Обе задачи были выполнены в полном объеме
Контекст комментария
Лучшие комментарии
Добрые люди уже всё выложили
.
Урезанная версия, без видео: iFolder, LetItBit
Полная версия, со всеми видео:
iFolder часть 1,часть 2, LetItBit
Настенко, это вот это что ли?
Юр, прибил бы ты этого ссылочного спамера, а то он тебе засрет все комменты быстро, своей перфектоманией.
Контекст комментария
Как же лошат там разрабочтиков. Все такие умученные и тихие...
- Очень плохо, очень плохо
- Но почему? (робкая заискивающая улыбочка)
Смешные строчки из кода
mysql_select_db('habrahabr', mysql_connect('localhost', 'deniskin', 'chmokichmoku'));
if (in_array(getTekushiiPolzovatel(), $permissionusers)) {
setcookie('habrahabr_11223', 'true', 604800);
}
if ($_COOKIE['habrahabr_11223'] == true) return 'god';
function blog_access($perm) {
global $habrauser;
switch ($perm) {
case 'god':
return array('r'=>1, 'w'=>1, 'x'=>1, 'd'=>1, 'e'=>1, 'o'=>1, 'm'=>1);
break;
case 'editor':
return array('r'=>1, 'w'=>1, 'x'=>0, 'd'=>1);
break;
case 'writer':
return array('r'=>1, 'w'=>1, 'x'=>0, 'o'=>1, 'e'=>1);
break;
case 'owner':
return array('r'=>1, 'w'=>1, 'x'=>1);
break;
}
}
----------
По сути установив самостоятельно в браузере куку с именем 'habrahabr_11223' можно получить полные права проекта. Такая классическая, незамутнённая соображениями о секурности дыра.
Контекст комментария
Это вирусная фигня. В "исходниках" исходники друпала и, подозреваю, произвольно скаченные файлы из интернета, разбавленные картинками из жизни и "видео о том, как создавался хабр".
Вчера денискин висел в аське, в это время можно было смотреть файлы в папках, за это время бардак можно было заметить и исправить. Не думаю, что он этого не видел, или кто-то еще из разработчиков.
Скорее всего они перносят базу на новый движок. И чтобы публика не скучала - развлекают.
Контекст комментария
ПРОТИВ же вируса говорит 2 вещи:
1. это то, что у Денискина кишка тонка такое сделать, с моей точки зрения. Т.к. это довольно личное пространство и нужно иметь известное мужество и хладнокровие, чтобы сделать подобную акцию. Если уж он забанил тучу народу за упоминание свадьбы между вебпланетовцем и журналисткой хабра, то я не верю, что он мог создать подобную акцию.
2. "Вирусная акция" направляет всех юзеров на неработающий сайт. Пожалуй самый весомый аргумент
Контекст комментария
Комментарии
Лучший комментарий. Развернуть?
А ты послал всех на свой сайт типа "ищите в комментах". То бишь думал о себе, а не о читателях. Это понятно, но типа здесь не всеми приветствуется.
О чем тебе и намекнули.
Кроме того, у меня есть подробности, которых нет в этой новости, касательно способа "взлома" по URL-адресу, инфа о файле блогистана, ...
Да, я раскручиваю свой сайт. Но вот это
// То бишь думал о себе, а не о читателях. //
в корне неверно. Я думаю И о себе, И о читателях.
Голая ссылка, где надо "искать в комментариях" неюзабельна, неудобна. Зато приносит трафик. То есть здесь Win реципиента осуществляется за счет некоторого Loose пользователя.
Лучший комментарий. Развернуть?
Лучший комментарий. Развернуть?
// мне тоже кажется, что вирус ) //
Даже лучшим комментарием сделали... офигеть.
Черт, кто-то здесь смотрел, сколько ссылок КАЖДЫЙ ДЕНЬ получает работающий Хабр? Нафиг им эти 20-30 ссылок сейчас? Ну нафиг они им сдались? Что-что Хабру никогда за его историю не угрожало -- это маленькая популярность или маленькое количество ссылок. Им эти вирусные акции вообще не нужны.
А тем более такие скандальные.
"Вирус" -- это сейчас такой, достаточно доглий, тренд. Как и "информационная война" в связи с Грузией. Каждый считает своим долгом заявить, что вот, вот они!
-----------------
case 'index.php':
$superhabr->index.php($params);
break;
case 'viewtpl.php':
$superhabr->viewtpl.php($params);
break;
----------------
Точка в PHP это оператор конкатенации строк, и в идентификаторе метода этот символ присутствовать не может. Фотографии "секретных материалов" таки аутентичные, по данным EXIF 14.02.2008, что совпадает с приходом автокадабры более-менее.
Последние фотографии датированы 05.08.2008, что, в принципе может говорить за теорию вирусного маркетинга.
В коде же встречаются куски из друпала и код, который своейственнен джумле. Когда были записаны мувики определить я не смог, хотя вроде бы в MOV00925.THM и т.п. файлах как раз содержится EXIF.
Но в целом, если это вирусный пиар, то своей цели они явно добились. Хотя ролики, пожалуй, показывают психологическую атмосферу в студии явно не с самой лучшей стороны.
Лучший комментарий. Развернуть?
---------------------
Дыра в безопасности во время сегодняшней "профилактики" оказалась поистине огромной:
http://www.perfectomania.com/blog/2008/08/habr-hack/
---------------------
Такой текст тянет на ссылку в "Почитать", вроде: Коды "Хабрахабра" утекли в сеть
По-моему, это должно быть видно из того, что публикуется на сайте.
Первое письмо в саппорт пришло спустя целых 3 часа. Кстати, спасибо за заботу… Дмитрию.
здесь
Таки вирусный маркетинг, молодцы. А ссылку видимо сдали сами, ещё 9-го числа http://twitter.com/alisher/.
Конспиративная история закончилась.
А "вирусный маркетинг" это просто термин по-моему. Тот же Паркер когда-то написал про игру "провокация". Коспирологическая теория всегда более притягательна, т.к. таит в себе некую тайну, загадку, вместо тривиального "забыли закрыть каталог от просмотра с помощью .htaccess при отключенном mod_php, из-за чего запросы перестали перенаправляться на index.php, и при этом не отключили автоиндекс директорий, что делают все мало мальски грамотные админы на продакшине, может быть для личного удобства".
Хочется верить, что есть такие специальные умные люди с большим опытом чтения в сердцах и думах людей, которые планируют подобное, и, при этом работают рядовыми программерами в конторе с довольно раздражительным человеком за небольшую зарплату.
Видимо все же что-то случилось у них – сайт не работает с субботы – это явно внештатная ситуация.
Между прочим, это работает. Попробуйте скормить браузеру куку habrahabr_1122 3
Всех сомневающимся прошу внимательно изучить Яндекс.Блоги и прочие ресурсы, чтобы убедиться, что Хабрахабр природным образом получает в день столько ссылок, что нынешний "вирусный эффект" никто бы в нормальной обстановке и не заметил.
То есть, ссылочно-трафиковый эффект отбрасываем нафиг. Такая мелочь Хабру не нужна.
Теперь берем эффект имиджевый. В течении двух дней широкие массы совершенно не понимали, что происходит. То есть, догадаться, что идет Суперхабр проблем не было -- но уверенности не было ни у кого. Вот Суперхабр запустился. Кто-то рад, что это было сделано без предупреждения? А вот ругаются многие. Проблемы с доступом, к тому же, продолжаются.
Улучшилось отношение к администрации? Есть такое. Наконец хоть что-то сделали. Но в случае такого сообщества как Хабр улучшение с невнятного уровня на немного лучший -- это не успех совсем. Большинство проблем осталось. Багов тучи.
Все фотографии в архиве выложены специально? То есть, фотографии сотрудников в таком разрешении, что видны прыщики -- можно использовать на свое усмотрение? Они все дали на это согласие? Хорошие сотрудники. Бывшие в том числе. Девушки. Всякие схемы поглощения и номера асек даже не упоминаю, пусть даже они все ничего не значат. И не упоминаю факта закрытия доступа к материалам через пару часов после начала распостранения "вируса" по сети. К слову, доступ закрыли ДО уверенного выкладывания материалов в открытый доступ.
Повторяю, абзац выше не существенен.
Но если это был "вирус" то чем же он удался? Негативный эффект можно наблюдать, а где позитивный? В масштабах и проблемах сообщества он даже если есть -- сравнительно нулевой. Лучше бы просто нормально всех предупредили, назвали сроки и вложились в них без авралов. Но нет, все произошло как произошло, сервер глючит.
Но мы тут как тут "вирус"! И народ верит!
Комментарий представителя ньюсмейкера. Развернуть?
У вас там баги на сайте. Сайт открывается через раз. А вы с 6 по 9 спланировали и реализовали такую штуку? Да даже если в свободное время.
Не спорю, может вы и развеклись. Хотя все же было предсказуемо, в чем фан? Я тоже не остался без выгоды -- минимум 50 новых подписчиков за счет того, что первым нормально написал о ситуации. Мелочь, а приятно.
Но я уверен, что большинство ВАШИХ пользователей предпочли бы, чтобы их предупредили заранее, дали и придержались четкого срока исполнения и все это с нормальным информированием на страницах ошибок.
Это не вирус для пользы. Здесь мало позитивного эффекта, чем бы это не было. Так я это и хотел сказать. Не баг, так задумано? Когда приходится уточнять, что "вот это фича, а не баг" -- то это таки баг.
На Хабре их больше 10 тысяч.
И что?
Какой внутренний мир человека - такой и эффект.
Хабрахабр -- мой интерес, сложившийся исторически :) Изучение местного сообщества и администрации мне дало очень много. Знаний, связей, трафика, денег :) Так что я даже благодарен им.
Но, согласен, нужно заканчивать. Уже не так интересно, как раньше.
Надо действительно что-то свое делать.
* Всего пользователей: 45016
* Активные: 845
* Заблудившиеся: 44171
* Мужчины: 19112
* Женщины: 2665
* Пол не указан: 23761
Насколько я вижу по данным фидбурнера и IgrOk'а 1046 ридеров. Судя по этим показателям IgrOk пока что "ведёт", Альтер Эга.
// Активные: 845
Заблудившиеся: 44171 //
Но вот это улыбнуло :) Я так понимаю, это столько с момента перезапуска залогинилось?
Мне конечно смешно, что альтер это НАСТОЛЬКО оказался неправ, а Игрок по общедоступным статсам круче, но игрок один и у него 1000 подписчиков. А в хабрахабре неизвестное количество тел, и 845 активных юзеров.
Давай посчитаем хабраредакцию, разработчиков и мяо-денискиных, поделим количество тобою гарантированных подписчиков и определим эффективность per/human? Я думаю игрок снова окажется круче. Почему бы не инвестировать вместо футурики в молодого, пробивного и работящего парня?
Меня вообще даже по серьёзному заставило задуматься - а чего стоит хабр сам по себе?
Гарантии получить легко - надо пойти на Google Reader, в поле "Добавить подписку" вводить урлы блогов "Хабрахабра" (их немного, несколько сотен), по достижении числа в 6000 подписчиков вы можете считать их число гарантированным. По крайней мере весной мне надоело считать именно на этом числе.
Упирание на число подписчиков Романа, на самом деле ничего не говорит. Потому что посещаемость (а деньги это именно она, а не подписчики - на рекламе в трансляциях практически невозможно заработать) разных ресурсов слабо кореллирует с числом подписчиков.
Я приведу примеры из похожих чем-то на Roem.ru сайтов. У меня, например, подписчиков в районе 1500. Доказывать не буду, уж извините.
При этом на сайт приходит в месяц 28 тысяч человек, которые просматривают 220 тысяч страниц.
У "Вебпланеты" подписчиков около 1000. К ним за месяц приходит 172 тысячи посетителей, которые просматривают 420 тысяч страниц.
У "Интернетных штучек" 9800 подписчиков по "Яндексу". Вопрос, сколько у них посетителей/просмотров? Ну точняк больше чем у "Вебпланеты" и Roem.ru, скажет неподготовленный слушатель.
И обломается. Потому что по аудитории ИШ проигрывают "Вебпланете", а по показам и "Вебпланете", и даже Roem.ru (а ведь у них там не один человек работает) - 47 тысяч пользователей и 120 тысяч показов за месяц.
Ну я так понимаю, по ряду причин, что показатели "Перфектомании" ближе к ИШ - так как и там и там - число подписчиков считается через фидбернер. То бишь - около 5 тысяч человек в месяц оказывается на сайте, и приходится на них около 12 тысяч просмотров.
Это немного. Пойду инвестировать в Маула.
Шутка.
А если туда прибавить подписки ещё каждого человека на его персональную ленту, это может выйти сногсшибательная цифра! :-).
Я пошёл полуркал - на главную подписано 3,661 человек. На более интеллектуальные ленты типа "захабренное персональные" и "захабренное коллективные" - 226 и 58 соответсвенно. Я подписан на 3 ленты - значит ли, что меня нужно считать за троих? :-)
По данным мейна и ещё прикинуть что умные читают только захабренное - получается около 4-х тыщ подписчиков, никак не шесть.
------------
Но в целом всё понятно, что посещаемость лучше и зависит она, в общем-то от контента, его количества и качества. Альтер Эга просто решил слегка подобломать игрока, который вполне справедливо радуется 50 новым подписчикам с одного поста. А я его подколол в ответ открытыми статсами.
Всем понятно что если мериться "настоящими" пипиьсками, т.е. униками и pageviews то коллективный ресурс с кучей UGC всегда выиграет у редкообновляемого, пусть и наполненного жаренными фактами, провокационными постами и т.п. блога.
Но так, я вполне серьёзно думаю, что если игроку "дать сайт", то он на своей энергичной нехило его вытянет. Как по новостному наполнению, так и пиаром. На том же хабре он был неплохим постером и довольно коммьюнити-образующим человеком.
Есть у меня знакомый журналист. Ему принадлежит фраза: "а ведь какое хорошее (контекст: для публикации) убийство могло бы быть". Хотя сам по себе, он человек хороший: три раза в неделю супружеские обязанности и по выходным на дачу, пропалывать грядки.
IgrOK примерно такой же. В жизни - отличный парень, но как мышку берет в руки - меняется буквально на глазах.
Его бы энергию, да на бабушек через дорогу... - цены бы парню не было. А то все Синодову приходится отдуваться =)
Всем доброго утра и горячего кофе!
А я бы расставил в другом порядке. Он производит хороший контент, но не знает как его правильно "продать", распостранить. И делает это максимально "честно", напрямую давая это ссылки. За что его по прижимистой русской натуре никто не любит, потому что просто так назвать "спамом" это нельзя - ведь это ссылки на тематический контент! Он же ВОРУЕТ посетителей! Засирает ссылками каменты! Но это пока. Думаю со временем он научится давать ссылки более изощрённым, манипулистким способом, начнёт писать "у меня в блоге" и оставлять ссылку в профайле, вместо прямых линков на конкретную информацию и всё - прикопаться больше будет не к чему, народ будет идти сам копаться, искать доп. информацию. А так ему типа это пытаются ВСУЧИТЬ, как гербалайф. Пока же, ещё раз повторюсь прямые ссылки - это не более чем признак наивной юношеской честности и прямоты.
А "пробивность" его состоит не в умении давать ссылки, а в умении работать, исследовать и создавать материал. Хотя, заметь, даже его такой вот прямолинейный "в лоб" пиар имеет свои плоды - он известен.
Немного дипломатии, а лучше ресурс, который не нужно будет всюду пролинковывать - и все будут на своих местах. Хабрахабр был для этого неплохой пристанью, да.
И потом, ему не раз указывали на сей прискорбный факт. Что мол не очень по-товарищески ты поступаешь, Павлик. А честный наивный юноша все продолжает...
Не сходится ваша логика, в общем.
Будут конкретные преценденты, примеры - определим, сходится ли моя логика или нет. Пока что я лично вижу просто зашоренную нелюбовь к ссылкам а-ля, "между прочим другие люди за ссылки у меня платят".
И да, пока что единственный, кто думает ссылками в этом топике - совсем не игрок. Ссылка это не больше чем основа и суть гипертекстовой разметки. На именно их важности и великой значимости для ранжирования заморочены как раз не производители контента, а сеошники.
Вы там, извиняюсь, грибы употребляете что ли?
Я продемострирую на примере.
- Сначала вы говорите, а потом может быть ещё и срать станете, как делают все люди? И после этого хотите, чтобы я с вами, засранцем, о чём-то говорил и что-то доказывал?
Хотите логики - придерживайтесь границ рассматриваемой темы.
По следующей причине: когда он пишет у себя на сайте - он полностью в своем праве. Это его сайт. Я тоже делаю у себя на сайте все, что считаю нужным.
А вот когда он выползает на чужие сайты - все несколько меняется. Он затрагивает чужие интересы.
При этом Igrok не червонец и нравится не всем.
правильно тебя забанили, Игрок
после этих признаний я жалею, что поддерживал тебя
ты желчный пузырь.
Конечно, факт что сначала администрация показала свое отношение ко мне и сообществу, а потом я показал отношение к администрации (и ничего не показывал сообществу) -- это так, не в счет?
Ну я привык. Последнее время все такие быстрые на выводы, все все знают.