Технологии безопасности

Сайт посвященный вопросам безопасности

В свободном доступе по-прежнему находится частная, финансовая и другая закрытая информация пользователей Fl.ru

В свободном доступе по-прежнему находится частная, финансовая и другая закрытая информация пользователей Fl.ru — 1В свободном доступе по-прежнему находится частная, финансовая и другая закрытая информация пользователей Fl.ru — 1 Несмотря на публикацию «Критическая уязвимость в безопасности на fl.ru», этот сервис продолжает раздавать всем желающим информацию, которую следовало бы закрыть от публичного доступа.

Вы можете легко получить доступ к паспортным данным, адресу регистрации, почтовому адресу, E-mail, телефону и другой информации о пользователях Fl.ru, в том числе финансовой! Причем не только о фрилансерах, но и о заказчиках. Для этого не требуется применять какие-то хакерские приемы и взламывать сайт Fl.ru, достаточно просто пройти по ссылкам, проиндексированным Яндексом с указанием соответствующего реферера в заголовке запроса.

Первый вариант — воспользоваться утилитой wget как рекомендует ValdikSS в своем комментарии:

wget —referer ‘https://st.fl.ru’ http://st.fl.ru/about/documents/имя_документа.pdf

Второй вариант — установить дополнение в браузер для указания конкретного реферера для конкретного сайта.
Например для firefox можно использовать это дополнение: addons.mozilla.org/ru/firefox/addon/refcontrol/
После установки надо пройти в настройки RefControl и добавить сайт st.fl.ru, далее выбрать «Иное» и ввести в это поле
https://st.fl.ru

После нажатия «Ok» окно настроек должно выглядеть так:

В свободном доступе по-прежнему находится частная, финансовая и другая закрытая информация пользователей Fl.ru — 2В свободном доступе по-прежнему находится частная, финансовая и другая закрытая информация пользователей Fl.ru — 2

Все, теперь вы можете пройти по ссылкам Приложение к ОФЕРТЕ НА ЗАКЛЮЧЕНИЕ ДОГОВОРА
или по техническим заданиям, а также по любым другим вариантам поиска Яндекса или Гугла по домену Fl.ru и получить доступ к информации, которая должна быть закрытой от публичного доступа!

Я думаю, что указание конкретного реферера в http запросе не является противоправным деянием. Уверен, что Fl.ru следует предпринять более серьезные действия, чем проверка реферера — для того, чтобы закрыть от публичного доступа такую критически важную информацию. Например, показывать эти документы только авторизованным пользователям.