Только за деньги работаете?⁠⁠

Обычное утро понедельника. Заходит в офис женщина средних лет.

- Добрый день, это AttorneyAtLaw?

- Здравствуйте, да. Слушаю Вас.

- Дело такое. Я сдаю квартиру в аренду, а жильцы не платят уже второй месяц. Съезжать тоже не собираются. Можете помочь?

В этот момент женщина кладёт мне на стол пачку документов на несколько десятков листов.

- Конечно, консультация X рублей, изучение документов Y рублей.

- Ясно, Вы тоже из ЭТИХ… До свидания.

- Простите, из каких этих?

- (ворчливым голосом) Только за деньги работаете.

- Ааа, да, я из этих. Всего доброго.

Так и живём.

879

Вы смотрите срез комментариев. Показать все

MeJlaMoPu

3 года назад

Потому что если прода торчит в интернет (а для сайта это как бы по очевидно), то она по умолчанию цель для атаки. Если админ не закроет .git, то в него точно залезут. Соответственно злоумышленник получит исходники.

Админ может оставить открытым репозиторий по многим причинам: начиная от кривых рук и заканчивая банальным забыл/не знал о его существовании. В крупных компаниях с грамотным DevSecOps'ом это маловероятно, однако практика показывает, что гит много где остаётся открытым.

раскрыть ветку (20)

Fedcomp

3 года назад

Вот кстати интересно, а что плохого в получении этих исходников?

раскрыть ветку (19)

MeJlaMoPu

3 года назад

Эм... Во-первых, в них могут находиться креды. Во-вторых, анализируя исходники можно найти кучу уязвимостей. Абсолютно безопасного кода не бывает, это аксиома. Даже hello world можно взломать и получить привилегированный доступ.

Можно посмотреть какие версии технологий используются, 99% найдётся устаревшая с известной cve'шкой. Можно найти дырки в логике. Например, проверка загружаемой картинки на сайт. Часто делают так: если последние символы jpg, png и т.д, то разрешают загрузить. Таким образом можно загрузить not-a-shell.php.exe. Все, контроль получен.

Обобщая, просто смотрим код и ищем дырки.

раскрыть ветку (18)

Fedcomp

3 года назад

Во-первых, в них могут находиться креды.

Ну значит разработчики идиоты.

Даже hello world можно взломать и получить привилегированный доступ.

Смотря какой.

Так то скрытие исходников напоминает security thru obscurity.

Таким образом можно загрузить not-a-shell.php.exe.

Смешно конечно читать про получение доступа на сервере через залив экзешки.

раскрыть ветку (17)

MeJlaMoPu

3 года назад

1) креды могут быть тестовые. Могут быть забиты напрямую для доступа в бд. Я вас удивлю, но такое и в серьёзном ПО встречается. Не раз находили тестовые (работающие) креды в комментариях к коду.

2) вы не понимаете. Обфускация кода это несколько другое. В данном случае мы говорим о получении исходного кода ресурса через программу контроля версий (либо изучение исходников на гитхабе и т.д). Там не может быть обфусцированного кода.

3) очепятка. Not-a-shell.php.jpg. По тексту моего комментария видно же.

раскрыть ветку (16)

Fedcomp

3 года назад

1) Так их там не должно быть. Вообще никаких. Env/конфиги для кредов. То что так делают я не спорю, но извините и двери в квартиру оставляют открытыми иногда.

2) Я кажется ничего про обфускацию и не говорил. Я вам больше скажу, некоторые компании держат свои исходники на гитхабо-ресурсах, как раз чтобы не бояться таких вещей. Но таких компаний мало.

Не говоря уже о том что хоть на гитлабе хоть на гитхабе уже есть сканеры уязвимостей которые сообщают об уязвимых зависимостях.

3) Если у вас исполняется пхп в директориях загрузки то с безопасностью что то не так. Не говоря уже о том что современные фреймворки дополнительно страхуют чтобы не тот файл куда не надо не попадал. Еще забавнее когда файл заливается в какой нибудь S3.

раскрыть ветку (15)

MeJlaMoPu

3 года назад

1) так делать нельзя, я и не спорю. Был вопрос: что плохого в получении исходников. Я ответил, почему это дыра в безопасности.

2) прошу прощения, не так прочитал. Дне раз повторю: любой код содержит уязвимости, доступ к исходнкам позволяет их найти. Видишь устаревшую версию условного php - дыра найдена.

3) я же писал для конкретного примера.

"Часто делают так: если последние символы jpg, png и т.д, то разрешают загрузить. Таким образом можно загрузить not-a-shell.php.png. Все, контроль получен." Логика может быть сложнее, но имея доступ к функции, найти уязвимости не проблема.

раскрыть ветку (14)

Fedcomp

3 года назад

любой код содержит уязвимости

Можно какие нибудь пруфы? А то опенсорс сайты живут себе поживают. С нормальными фреймворками дыры обычно в зависимостях и не более.

раскрыть ветку (13)

BrainFury

3 года назад

Живут потому что нахер никому не нужны.

раскрыть ветку (12)

Fedcomp

3 года назад

Ой давайте только без мантры что на всех сайтах тыщи уязвимостей.

раскрыть ветку (11)

BrainFury

3 года назад

А разве оно не так? Как сетевик-безопасник постоянно вижу кучу дичи))

MeJlaMoPu

3 года назад

Да так и есть. CVEшеки регулярно выходят, патчи безопасности на ПО тоже регулярно выходят. mitre.org - список CVEшек. На сайте ФСТЭКа есть список уязвимостей для отечественного ПО.

Уязвимостей в используемых протоколах тоже дохрена (логика работы текущего Кербероса содержит уязвимости). В фреймворках тоже дохрена уязвимостей. Банально устаревшая версия PHP (уже писал об этом выше). Взломать можно всё, вопрос в другом: стоит ли оно затрат?

Насчёт данных: https://www.ptsecurity.com/ww-en/analytics/web-vulnerabiliti...

https://www.webarxsecurity.com/website-hacking-statistics-20...

Учтите, что есть ещё разный уровень риска. Одно дело возможность sql-инъекции, другое - cookies-poisoning. Уровень критичности разный.

Вот получше набор данных, правда очень сильно устарел. Однако тенденции не сильно изменились за 10 лет. Если сейчас уязвимости не найдено, значит найдут позже, 0-day уязвимости никто не отменял.

Да и вообще, от APT защититься практически невозможно.

раскрыть ветку (9)

Fedcomp

3 года назад

Тенденции огого изменились за последние 10 лет, хотя бы потому что сейчас на уровне фреймворков фильтруют sql inj.

раскрыть ветку (8)

MeJlaMoPu

3 года назад

Посмотрите данные от PT. Особо ничего не изменилось.

SQL-инъекции это прям вообще дыра, обычно всё куда интереснее. Защита, встроенная в фреймворки, спасает только от совсем простых уязвимостей (типа тех же SQL-инъекций). Да блин, банальное buffer overflow регулярно всплывает.

Дальше что-либо доказывать бессмысленно, я умываю руки.

раскрыть ветку (7)

Fedcomp

3 года назад

Buffer overflow в веб приложениях это уже забавно.

Ну ниче, еще лет 10-20 и эта ошибка станет довольно редкой.

раскрыть ветку (6)

MeJlaMoPu

3 года назад

Не в самих приложениях, а в его компонентах. Например, у Adobe недавно CVEшка была с переполнением буфера. Веб-приложение же это не только сайт.

Касательно ошибок в логике работы кода. На хабре есть статьи от PVS-Studio, не знаю как сейчас, а раньше они искали ошибки в исходном коде крупных проектов, в QT например. Ошибок в логике находили много, большая часть от банальной невнимательности. Каждую ошибку можно использовать для реализации атаки (это к вопросу что плохого в доступе к исходному коду приложения). Целью атаки может быть не только получение контроля над ресурсом (это уже вообще залёт), но и кража данных, или просто сломать/положить ресурс.

раскрыть ветку (5)

Fedcomp

3 года назад

Не в самих приложениях, а в его компонентах

У меня в рубишном приложении не так уж и много гемов с нативными расширениями. Да и проблема опять же в C/C++ а не нативном коде как таковом.

> На хабре есть статьи от PVS-Studio

Так это C/C++. Этот пиздец надо наконец то закопать и перейти на Rust.

Тогда эта и некоторые другие ошибки станут достаточно редкими.

раскрыть ветку (4)

BrainFury

3 года назад

Не надо закапывать Си. Достаточно не подпускать к такому мощному инструменту криворуких баранов.

раскрыть ветку (3)

Fedcomp

3 года назад

Нет Си надо именно закапывать. Как показывает практика даже десятилетние профи регулярно делают ошибки, поэтому не надо мне про криворуких говорить. Про ужас под названием C++ вообще молчу, там просто невозможно писать не делая ошибки.

раскрыть ветку (2)

BrainFury

3 года назад

Однако, с точки зрения производительности и оптимизации рулят именно С(++)

раскрыть ветку (1)

Fedcomp

3 года назад

C++ лишь ненамного обгоняет Rust по производительности, да и то не всегда. Зато количество ада при разработке просто не сопоставимо. Выбор очевиден.

Да и кодить на Rust проще, асинхронщина круче и т.д.

cm9tyxnhbg

3 года назад

ну дык это проблема не гита, а эксплуатации. так можно на много что пенять, можно базу наружу портами повесить или какой нибудь фтп (ещё остались некрофилы которые деплоят через фтп?)

раскрыть ветку (29)

rupas

3 года назад

Конечно, открытые базы, особенно всякие монги с эластиками сейчас бичь, наряду с исходниками выложенными на гитхабе с зашитыми паролями. Просто люди идиоты, и высокая квалификация не делает их неидиотами

раскрыть ветку (24)

cm9tyxnhbg

3 года назад

ну если квалификация действительно высокая, а не просто мддл/сеньёр по мнению говноконторы, то такие ошибки не совершаются, таки базовые понятия секурности такая же обязательная вестч как и понимание шо такое ооп и всякое прочее что обычно спрашивают на собесах у таких высоко квалифицированных

раскрыть ветку (23)

rupas

3 года назад

Чувак, ты не поверишь где находят открытые базы. Ты только вспомни wanacry и уязвимость ms-17-010. Я досихпор охереваю от масштаба поражения. Ещё больше я ахереваю от того, что сработал Петя. Про монги я вообще молчу. При этом это нельзя назвать ошибкой. За месяц до мая 17 года я рассылал письмо по подведомственным организациям о недопущении открытых smb, sql, rdp, ssh, sntp, о том что они не предназначены для работы в интернете. Меня послали нахер, со словами: "да я 20 лет админ, а ты нихера не понимаешь, так все делают и так удобнее". Когда же я в мае вспомнил это письмо, мне начали задвигать о распространении Вани через почту, а все мировые исследователи не правы.

раскрыть ветку (22)

4ydoIIec

3 года назад

На чем проблема того же ssh открытого наружу?

раскрыть ветку (21)

rupas

3 года назад

То что он часто имеет проблемы разглашения информации, обхода процедуры аутентификации и переполнения буфера приводящей к выполнению кода в контексте ssh сервера. Короче жопа не сильно лучше rdp

раскрыть ветку (20)

4ydoIIec

3 года назад

Ссылочку на PoC можно? А то я так про все могу сказать.

раскрыть ветку (19)

rupas

3 года назад

https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=ssh как то так. вот правда выискивать критичные тут неохото. у многих есть устойчивое мнение, что *nix не имеет проблем. это миф.

Предвижу ваш следующий комент, нет обновляют sshd или openssh ооооочень редко. Говорю по собсвенному опыту 5 лет переодических сканирований различных сетей.

Ну и вопрос, чё vpn то не повесить? религия?

раскрыть ветку (18)

BrainFury

3 года назад

А разве VPN панацея?

В контексте параноидальной инфобезопасности нас спасёт только кнокер+впн+ssh по сертификатам

раскрыть ветку (17)

rupas

3 года назад

Vpn-vpn'у рознь. по хорошему, если правильно строится, то ставится впн (при этом весь pki стоит особняком, выпускается наружу только шлюз) после которого зона отчистки трафика, а дальше доступ согласно модели. И это не паранойя а как бы бест практикс.

раскрыть ветку (16)

BrainFury

3 года назад

НУ ессно, что впн прилетает в изолированную сетку, а потом идет согласно маршрутам. PKI ессно генерируется на отдельной машине. Возможно даже на виртуалке, которая включается только для генерации и ревока сертификатов) А еще можно ВПН порт кнокером закрыть, отключить ICMP, включить тарпиты на популярных портах. Обмазываться секьюрностью можно бесконечно. А потом придет директор Вася и скажет, что ему не удобно пользоваться OpenVPN. Кнокер для него вообще темный лес. Поэтому сделай-ка мне простой pptp и вся секьюрность идет по звезде.

раскрыть ветку (1)

rupas

3 года назад

не просто изолированную, а в зону отчистки трафика. на стеки из антивируса, песочницы, ips и прочей лабуды.

А с начальником это прям боль.

BrainFury

3 года назад

Но для ssh не особо нужен впн. Достаточно грохнуть логин под рутом, создать левого юзера с sudo правами, отключить парольную авторизацию и следить, чтобы серт никуда налево не ушел))

Для упоротых параноиков закрыть порт тем же кнокером...

раскрыть ветку (13)

rupas

3 года назад

То что вы описали выше, безусловно верная настройка ssh.
однако как я писал выше есть два но:
1. У ssh довольно часто встречаются уязвимости связанные с обходом процедуры или аутентификации или авторизации. И здесь никакие сертификаты вам не помошники. Кнокеры, о которых вы говорите, имхо слишком шумные. Выявить их наличие и алгоритм работы вполне реально. Главное умудриться заснифирится.
2. Из моей практики, чаще всего используется защита в виде "нестандартного" пароля, при это повешенного на рута ибо "сложно, я админю 10 серверов, мне чё каждый раз судо вводить? Этож скока времени я потеряю".

с развитием сред виртуализации, облаков и контейнеров все становится ещё печальнее. Например переодически поднимаются сбекапленые машины, у которых забывают обновить конфиг, или вообще тестовые тачки вдруг получают белые адреса с рутовым паролем вида "123" и доступом по сохраненным ключам в остальную инфраструктуру. Это печально. Уж лучше перманентно дропнуть все ssh организовав человеческий доступ

раскрыть ветку (12)

BrainFury

3 года назад

1. У ssh довольно часто встречаются уязвимости связанные с обходом процедуры или аутентификации или авторизации. И здесь никакие сертификаты вам не помошники. Кнокеры, о которых вы говорите, имхо слишком шумные. Выявить их наличие и алгоритм работы вполне реально. Главное умудриться заснифирится.

Что то я не понял, как снифить кнокер) Он в ответ ничего не шлет. Просто при попадании пакетов на нужные порты, делает доступным определенный порт с данного IP.

Если же ты умудрился оказаться в одном L2 сегменте с сервером, то теоретически перехватить кнок-последовательность можно, если проведешь ARP-spoof атаку. Но как правило, если применяется кнокер, то и на сетевом оборудовании и на сервере полюбому все ARP таблицы прописаны статично.

2. Из моей практики, чаще всего используется защита в виде "нестандартного" пароля, при это повешенного на рута ибо "сложно, я админю 10 серверов, мне чё каждый раз судо вводить? Этож скока времени я потеряю".

А это уже не дыра в системе, а дыра в админе. За такое надо нещадно бить по рукам и отбирать рутовый доступ. В идеале - пришел админ на сервер, создал учетку, отличную от рута, дал ей судо права и сидит админит.

Мои сервера извне даже не пингуются, чтоб не привлекать лишних ботов))

раскрыть ветку (11)

rupas

3 года назад

Ну пинг не единственный способ определить наличие оборудования.
кнок это некий секрет который открыто ходит в публичной сети. При этом насколько я понимаю один для всех. Имхо vpn лучше. Да и не обязательно находится в L2. Главное трафик через себя пропустить. Учитывая количество всяких госсопок, мизулиных, и прочих активных деятелей количество сниферов на разных точках сети, которые толком никем не админятся просто зашкаливает. Ну и опять же доступы в кросовые. С просони пока ничего лучше для перехвата трафика не придумаю.
2. Если почитать вумные книжки, то админ является привелигированным внутренним нарушителем и он несёт множество угроз. Они могут быть преднамеренные и не преднамеренные. Вы конечно правы, что нужно бить таких админов по рукам, что и является моей работой.

А насчёт пинга. Опять таки мне кажется это несёт больше проблем чем профита. Я же например тоже захочу своего бота, который будет давать мне переодический отчёт о открытых портах и уязвимостях. Тупо хотябы openvas какой нить.

раскрыть ветку (10)

BrainFury

3 года назад

кнок это некий секрет который открыто ходит в публичной сети. При этом насколько я понимаю один для всех.

Кнок не дает инфы наружу. Опять же кноком вполне можно прикрыть впн порт. Но это для упоротых параноиков)))

раскрыть ветку (9)

rupas

3 года назад

эм. я правильно понимаю кнок это некоторая технология которая по сигнатуре сетевого коннекта разрешит доступ к порту. Если не прав то поправте. никогда не пользовался этой технологией в бою. Если это так то вот это обращение/сигнатура которое разрешает доступ и есть секрет. И это обращение никак не замаскируешь.

(далее идёт теория без привязки к чему-то)

Таким образом, если мы повесим например портмирор или какой либо тап, то рано или поздно мы получим дамп трафика. Далее в полученном pcap находим успешный ssh пару шагов назад и видим ту саму сигнатуру. проверяем её пару раз на других сессиях и вуаяля. но это дикая теория.

раскрыть ветку (8)

BrainFury

3 года назад

Не. Кнок - это стучалка.

Условно говоря стукаем последовательно в УДП 1000 1001 1002, и у нас iptables открывает 22й порт для подключения с нашего ИП.

При этом, в ответ сервер ничего не шлёт.

http://ruunix.ru/1550-knockd-udalennoe-upravlenie-portami-v-...

вот первое в гугле упало) Самому расписывать лень.

раскрыть ветку (7)

rupas

3 года назад

Ну в общем да. Я правильно все понял. Но всеравно спасибо за диалог

раскрыть ветку (6)

BrainFury

3 года назад

В твоей модели атаки подразумевается доступ на соседний маршрутизатор, что само по себе весьма проблематично.

При этом, кнокер + ssh по ключам делают практически абсолютную защиту, сломать которую можно только при очень большом желании и неслабом финансировании)

раскрыть ветку (5)

rupas

3 года назад

Не обязателен соседний. Достаточно любого через который проходит трафик

раскрыть ветку (4)

BrainFury

3 года назад

Ок, кнок последовательность ты глянешь. А как быть с рукопожатием ssh по заранее прописанным сертам?

раскрыть ветку (3)

rupas

3 года назад

Серт авторизации работает не на уровне хендшейка.

раскрыть ветку (2)

BrainFury

3 года назад

Ну давай, рассжи мне, как ломать ssh

раскрыть ветку (1)

rupas

3 года назад

Друг, о том как ломать может рассказать митровая база. Я на этом не специализируюсь. я знаю о наличии уязвимостей, я умею собирать логи и анализировать их. но не ломать. это немного другое.

то о чем ты говоришь все правильно. ты навешиваешь защиту на протокол. но если следовать именно лучшим практикам, то всетаки рекомендуется прятать протоколы удаленых доступов.

Про SMB в 17 году мне так же писали как и ты.зачем рисковать, если можно сделать хорошо, при этом не сильно затратно.

NormoSPB

3 года назад

sFTP. А чем это плохо, если не секрет?

раскрыть ветку (2)

cm9tyxnhbg

3 года назад

не то чтобы плохо, все через это проходили наверное, но есть нормальный процесс CI/CD, и заливание файликов "руками" на фтп, не просто "не модно", но ещё и позволяет игнорировать многие полезные этапы перед деплоем (как минимум юнит-тесты, которые конечно тоже можно запускать руками, но зачем?)

раскрыть ветку (1)

NormoSPB

3 года назад

Спасибо за разъяснения. )) пошёл учить матчасть. Привык за 20 лет к cuteFTPPro, года три всего как на NotePad++ с php-префиксом пересел. Пора бы разобраться с актуальными вариантами. Спасибо ещё раз за вектор поиска +)

MeJlaMoPu

3 года назад

Так никто и не говорит, что это косяк гита. Просто часто его забывают спрятать. Ну или банально ваф настроить.

maskinist

3 года назад

А причём тут git? Я программист, зарегистрировался на github. Это значит, что могут меня взломать и украсть мои программы?

раскрыть ветку (47)

MrSlap

3 года назад

git - система контроля версий. Типа когда сайт делает целая команда, каждый, кто порукосуил, вносит все свежие изменения. И, вроде как, можно откатить все изменения через него, но это не точно. Я прямо сейчас пытаюсь понять что это за зверь такой. Пытаюсь стать погромистом, и эта хрень требуется для одной вакансии))

раскрыть ветку (26)

StanPro

3 года назад

Бро, то что он требуется только в одном месте, подразумевает что его знают априори. Если компания в 2020 не пользуется гитом, или аналогичной svc, серьезный звоночек что не стоит туда идти. Джуном конечно могут взять, типа в процессе научишься. git checkout/add/commit/pull/push осваиваются за вечер, просто другого от джуна возможно где-то не ждут.

раскрыть ветку (10)

MrSlap

3 года назад

Ну, судя по форумам, вообще им много кто пользуется.

раскрыть ветку (9)

MeJlaMoPu

3 года назад

Им все более-менее серьёзные компании пользуются) Если в требованиях нет, значит либо компания из серии "перспективный стартап", либо по умолчанию подразумевается (ну не будут же писать в требованиях для сишника "умение работать с указателями", так же и тут)

ibnLoki

3 года назад

Гит - это уже стандарт для программиста. Из разряда "уметь включить компьютер". Когда я начинал, в 2009, он был в диковинку, в основном пользовались SVN. В 2012, помню, задумывались о переходе. С 2014-2015 - я не видел ни одной фирмы (а я их повидал), где не используют git.

раскрыть ветку (7)

maskinist

3 года назад

Когда я начинал программировать более 20 лет назад, это знание нигде не требовали. Так и программирую до сих пор и не было нужды его изучать. Что-то придумывают всё время, хотя зачем усложнять то, что и так работает?

раскрыть ветку (6)

StanPro

3 года назад

Ты не контроллеры программируешь?)

раскрыть ветку (3)

XanderEVG

3 года назад

польза гита не чувствуется когда работаешь один(а она есть).

раскрыть ветку (1)

Minusator9000

3 года назад

Как тех.дир. могу тебя заверить, что эта "хрень" требуется для всех адекватных вакансий, а не только для одной.

раскрыть ветку (3)

HighLord

3 года назад

Ну почему, может они своеобразные и у них mercurial.

Или любители вечных ценностей с svn.

раскрыть ветку (1)

Minusator9000

3 года назад

Такая своеобразность граничит с неадекватностью, т.к. время этих vcs'ок давно прошло. А мы все же говорим об адекватных вакансиях.
Даже если проект жуткое легаси это не оправдание.

NormoSPB

3 года назад

Даже сетевики в IOSXR получили git )) после каталистов непривычно, конечно, было )

asugoi

3 года назад

Прочитал "прорукососил" вместо "порукоусил".. так даже лучше)

раскрыть ветку (2)

ora600

3 года назад

Нет там порукоусил!

раскрыть ветку (1)

Framr

3 года назад

что это значит))?

ora600

3 года назад

Это не хрень

раскрыть ветку (2)

MrSlap

3 года назад

Да я не оскорбляю гит, просто слово хрень - универсальный синоним для всего.

ora600

3 года назад

Любители меркуриала минусят)

ещё комментарии

MeJlaMoPu

3 года назад

git != github. Первое это система контроля версий. Второе - площадка, где размещают код. Вообще разные вещи.

раскрыть ветку (5)

BarnyTheBear

3 года назад

Можно еще github с pornhub-ом сравнить. И там и там -hub))

раскрыть ветку (4)

MoiSostDermo

3 года назад

Наконец то! Живой человек среди ботов!

VeloDemon

3 года назад

И там и там порно)
И ещё вопрос, где его больше..

раскрыть ветку (2)

KovAlexey

3 года назад

На порнхаб запрещены такие извращения, которые могут выкладываться на гитхабе.

раскрыть ветку (1)

dimario33

3 года назад

Особенно в проектах на php, даже для симфонии зачастую если берешь бандл, он работает через жопу обычно и проще написать свой, чем пытаться завести полумертвую реализацию, написанную малочитаемым кодом

cm9tyxnhbg

3 года назад

с учётом что большинство реп на гите хранятся в открытом виде (до не давнего времени приватную репу можно было завести только за деньги с платной учёткой) то в общем то, оставив свой код на гитхабе ты автоматом делаешь его достоянием общественности (другое дело что возможно нахуй он ни кому не нужон), и твои программы уже какбе не твои, а опенсурс, а если как писали ниже у тебя где-то в сырцах хранятся адреса явки пароли, то да могут и "взломать" (алярма, кавычки тут не спроста)

раскрыть ветку (13)

rupas

3 года назад

Не только адреса и пароли представляют ценность. Код пригоден к изучению. Можно готовить таргетированную атаку

раскрыть ветку (4)

cm9tyxnhbg

3 года назад

в целом да, хотя если речь о приложухе или веб морде которая использует и так открытый api, то самое "страшное", что произойдёт, это то что кто-то на базе твоего кода сделает более удобное/качественное/конкурентное приложение, при этом сэкономив немного времени юзая твой код ака бутстрап (но для этого это должен быть не говнокод)

раскрыть ветку (3)

rupas

3 года назад

Не совсем. Возможно найдут уязвимость атаки на пользователя, типа csrf или xss. Если апи закрытые, возможно найдут ошибки аутентификации или контроля сессии. Короче вариантов море. Хотя как свалка всякого опенсорца штука неплохая.

раскрыть ветку (2)

cm9tyxnhbg

3 года назад

ключевой момент

Если апи закрытые

раскрыть ветку (1)

rupas

3 года назад

Ну у вас может быть аутентификация на сам ресурс, который будет использовать открытые апи гуглмапа какого-нибуть, но при этом предоставлять доступ к вашей кухни. Короче на проект надо смотреть, но то что многие ребята так попадали это факт вместе с факом.

FrankSandow

3 года назад

Всё же говорили про собственный гит скорее всего.

раскрыть ветку (1)

MeJlaMoPu

3 года назад

Не, просто парень перепутал .git и github)

maskinist

3 года назад

А могут через него влезть в мой компьютер и достать оттуда пароль от банка? Просто я программист, а не системный администратор и не специалист по безопасности, поэтому и задаю такие глупые вопросы.

раскрыть ветку (5)

cm9tyxnhbg

3 года назад

скорее конечно нет, если ты не хранишь пароль от банка в своём коде)
Но чисто технически, при "удачном" стечении обстоятельств, например зная логин пасс базы, какой нибудь LAMP/WAMP и прочее можно превратить в бэкдор, а там уже можно залить какой нибудь троян/рдп (это только один из кейсов).
В целом если на компе нет каких-то сервисов через которые можно было бы получить доступ к твоему компу + в "угнанном" коде нет паролей/ключей/токенов от этих сервисов, то твой пароль от банка в безопасности (от угона с использованием твоего же кода)

раскрыть ветку (4)

dimario33

3 года назад

Кто-то до сих пор использует lamp/wamp на машине, когда есть докер? Конечно можно, бесспорно, но нахуя?

раскрыть ветку (3)

cm9tyxnhbg

3 года назад

это был лишь один кейс.
Но в универах до сих пор студентам часто преподают с использованием морально устаревших технологий, да и самоучкой есть вероятность наткнуться на гайд предлагающий подобное, так что на начальных порах многие используют именно на своём личном компе.
ЗЫ но не во всех универах всё так плохо, где-то и про гит и про докер и прочие более менее современные подходы рассказывают

раскрыть ветку (2)

dimario33

3 года назад

Я отучился 5 лет на программиста, за это время первые два курса по семестру уделили паскалю, плюсам, джаве и шарпу. Все, на этом обучение окончилось, на уровне синтаксиса и парочке лабораторок в стиле сортировки массива. Остальные 3 года - психология, экономика, термех и прочая чушь. Но при этом к докеру с гитом пришел сам еще во времена обучения, когда в моем ноуте слетел винт и пришлось все с нуля восстанавливать, с того момента все что пишу лежит в личном репозитории, тогда же задолбался настраивать среду и осознал что проще один раз написать докер под проект и закинуть его в гит, чем заниматься пляской с бубном в случае отказа железа

раскрыть ветку (1)

fdog

3 года назад

Я бы сказал, что-то сложнее txt.

Zmops

3 года назад

Ну торчит git наружу, с авторизацией по сертификату. И как вы предложите его ломать?

harmful2018

3 года назад

Как говорил один умный человек : " Если Вам кажется, что клиент мудак значит так оно и есть. Не работайте с мудаками".

раскрыть ветку (2)

ReallySerious

3 года назад

Золотые слова. Другое дело, что мудаки, когда им нужно, хорошо умеют прикидываться адекватными людьми, не портящими настроение

VQ30DE

3 года назад

К сожалению, это крайне проблематично, т.к., в той или иной степени их, как минимум, половина, а то и большинство. ))

Gpavel1980

3 года назад

Поставщик, которого номинировали на поставку детали которую он ранее не делал. Нанимает разработчика, для проектирования и разработки детали. Соответственно разработчик делает как умеет, поставщик начинает поставки, завод использует детали в производстве..... 2 года..... Появляется дефект у потребителя. Завод пытается провести анализ, подключает поставщика, пробуют какие то способы устранения но ничего не получается...реальный способ это полностью исправить конструкцию детали, но это очень дорого - собственно это новая разработка с нуля. Проходит ещё пару лет вялотекущей работы.
Месяц назад наши начальники - "пусть контора разработчик переделает бесплатно! Ведь они ДОЛЖНЫ!!!!!"
5 лет прошло с момента поставки, 6 лет с момента закрытия с разработчиком контракта, 4 года как поменялось руководство на заводе и поставщике..... И там и там пришли эффективные менеджеры....
Только вот разработчик почему то бесплатно делать ничего не хочет, и потребители до сих пор имеют проблемы.

Motix

3 года назад

Если бы не столько комментариев такого рода, я бы в жизни не поверил. Неужели такие тоже бывают? Ну я просто не очень понимаю, чем они руководствуются.

раскрыть ветку (1)

alexey9039

3 года назад

Работал электриком в УК, зп небольшая, беру халтуры в рабочее время (когда оно есть). Делаешь таким перенос счётчика в квартиру, всё оговорено, платим без проблем. А когда работа сделана - круглые глаза и " мы в УК заплатили, пошёл в пешее. Там они заплатили за замену счётчика, которую произвести 20 минут, а я тут с проводами и перфоратором 1.5 часа для удовольствия прыгал. И там такому не сделать в рамках УК. Сразу жалобы в контору. А с развитием маразма они пытаются везде по этому алгоритму жить.

146

Aries0104

3 года назад

Ну и зря послали. Выставляете заградительную цену и 100% предоплату. Зачем сразу отказывать? Могли бы и заработать.

раскрыть ветку (46)

125

3fir

3 года назад

Нет, там изначально был клиент сложный. А после таких заскоков проще было отказаться раз и навсегда.

раскрыть ветку (13)

pavelperet

3 года назад

Согласен, чем раньше оттолкнуть проблему, тем меньше неприятностей она тебе доставит. Сложный клиент это прежде всего проблемы, а не заработок.

раскрыть ветку (4)

kass82

3 года назад

"Не работайте с мудаками" :)

раскрыть ветку (1)

Maxus812

3 года назад

Тогда не с кем (с)

shamman79

3 года назад

Да уж, бывают такие клиенты, вроде и денег от них нормально приходит, но прибыль почти всегда отрицательная.

ещё комментарий

Legiondark

3 года назад

Да уж. Работаю в SEO, делали сайт клиенту, с ним работаем уже 3 года, посещаемость каждый год практически удваивается, выводим в топ 3, и тут жесткая просадка, разбираемся в чем дело, а там клиент кучу всего наделал, с нами не советовался, и вообще не поставил даже в известность, зато потом, а почему у нас позиции с топ 1-3, стали 23, я заплачу любые деньги, но верните позиции. И такое с ним постоянно, при этом каждый раз говорим, вы с нами хотя бы действия согласуйте.
И каждый раз говорит, да я раньше в топ 1 выходил сам за счет Title.

раскрыть ветку (6)

3fir

3 года назад

И каждый раз говорит, да я раньше в топ 1 выходил сам за счет Title.

Ха-ха... Ну это можно конечно, по низкочастотным запросам :) Типа: купить подводную лодку в Севастополе дешево.
Тут даже не топ 1 будет, тут сразу на Пикабу.

раскрыть ветку (5)

Alxim

3 года назад

Вот так зарос «купить подводную лодку в Севастополе дёшево» и попер в топ.

раскрыть ветку (2)

3fir

3 года назад

Проверил, в гугле нету, а жаль.

раскрыть ветку (1)

sbk82

3 года назад

Черт, я тоже загуглил )

Maxus812

3 года назад

"Везде кретины"

Legiondark

3 года назад

У него как раз высокочастотные. Там только по первым 3 запросам, тыс 60 где-то.
У него ещё такой прикол, есть любимая категория, и если мы по ней просели, то все, работаем плохо, итд, когда по всем остальным мы в топе, посещаемость растет.

CauliflowerRiot

3 года назад

Я вот хз, как сказали выше - заградительные цены помогают. У меня было 2 вагона мудаков среди клиентов, они как раз получали ценник 300-400 % со второго заказа, и как-то сразу становились нормальными людьми. Вот что с ними не так

ancientDeveloper

3 года назад

ХЗ почему, но почему-то с проблемными это не работает.

Начинается какой-то карнавал с торговлей, выклянчивание, выяснением почему так дорого и что сколько стоит, а что можно удешевить, сравнение с конкурентами, вопросы по конкурентам и работе и прочие мозгосношения.

Идея, вроде бы здравая, но сколько я ее не применял, в итоге всё равно приходило к деловому аналогу "пошел нахуй".

раскрыть ветку (4)

DELETED

3 года назад

Есть клиент, которому я никогда не иду навстречу. Дорого - ищите дешевле, не подходят условия, сроки - ищите там, где подходят. Ибо на 3 мелких заказа почти 20 запросов, каждый из которых на пол дня обсуждений.

раскрыть ветку (3)

Maxus812

3 года назад

Зависит от прибыли. Бывает, что через 120 запросов получаешь контракт с кучей нулей

раскрыть ветку (2)

DELETED

3 года назад

Согласен, поэтому и акцентировал, что тут частник и мелкие суммы

раскрыть ветку (1)

Maxus812

3 года назад

Тогда да. Ну нафиг

mvs3d

3 года назад

А вот нифига не зря. Сайт сделать, это же не продать какую-то вещь и забыть об этом (ну если вы серьёзная компания, конечно). О живет потом довольно долго, требует поддержки а значит придется еще долгое время иметь "удовольствие" общения с неадекватным клиентом. Лучше не связываться.

раскрыть ветку (1)

dimario33

3 года назад

Я когда таким занимался, то в контракте отдельно прописывал что поддержка платная и каждое обращение стоит n рублей, ни разу мозг не выедали, ибо по разработке вопрос закрыт, а по поддержке обращались только тогда, когда реально что-то надо было

LolKekCheburek07

3 года назад

Защита от дурака называется

harmful2018

3 года назад

Для повышения уровня знаний "заградительная цена"-это что, как и для чего?

раскрыть ветку (5)

yametekudasay

3 года назад

Она же "стоп-цена" - неприлично высокая стоимость даже по мнению исполнителя.
Имеет ряд плюсов, 1- не ты отказываешь в сотрудничестве проблемному клиенту, а он сам сливается. 2 - если он все-таки соглашается, то за такую сумму не обидно и потерпеть все его заебоны

M.Brayn

3 года назад

– Продаш мне левое яичко?

– Не вопрос, цена 999 триллионов долларов

раскрыть ветку (1)

FD.dikey

3 года назад

Да за такие деньги можно и 3 и разных цветов бонусом нарастить хоть до 2 метров!

FARINURLAUB

3 года назад

Выставляешь цену за услугу в два или три раза больше если сложный клиент. Или сольется или хоть норм заработаешь за мозгоклюйство

раскрыть ветку (1)

harmful2018

3 года назад

О, спасибо. Про действие знал, про термин нет.)))

XZAS

3 года назад

Нервы дороже. Неадекватный клиент при деньгах мозги может вынести так, словно с ним Горка с Моркой говорят напрямую, и ты трижды пожалеешь, что вообще с ним связался.

DELETED

3 года назад

Да я вас умоляю, кто там кого посылал, это уже потом перед сном додумано:"он бы просил сделать за деньги, а я бы ему такой :иди нахуй!" вот так-то

раскрыть ветку (15)

3fir

3 года назад

Деньги не пахнут? Для вас видимо да.
А мне мои нервы дороже, тем более, что в те годы заказов было много и можно было выбирать, да и сейчас не плохо. В карантин конечно подсели все, но сейчас выровнялось.
Не судите по себе.

ещё комментарии

DELETED

3 года назад

Видно, опыта у вас маловато, вот и не верите. В тех случаях я говорю "как клиент вы меня не интересуете", и кладу трубку.

ещё комментарии

ancientDeveloper

3 года назад

Вы не представляете как часто приходится говорить "нет" по несколько раз одному и тому же клиенту.

Зря думаете что фантазии.

ещё комментарии

DELETED

3 года назад

100%. Тут половина историй так на самом деле додумываются, даже тех, которые до лучшего доходят.

раскрыть ветку (1)

3fir

3 года назад

Эта чистая правда.
2005 или 2006 год по моему. Славянск. Магазин "Колесо" на въезде в город.

DELETED

3 года назад

Да потому что это пиздеш)

ещё комментарии

BloodyHarry

3 года назад

Кто эти люди, которые минусят ветку? Страные клиенты, "свидетели котолампы"? Вот какие мотивы минуса влепить свершенно адекватным комментариям?

раскрыть ветку (3)

NormoSPB

3 года назад

"Все вокруг мудаки" - комментарий неадекватный. Хотя бы потому, что, если является истинным, то написан тоже мудаками и для мудаков. Такой подход заслуживает минусов.

раскрыть ветку (2)

BloodyHarry

3 года назад

Но ведь эта ветка не сводится к "все вокруг мудаки", тут же конкретные люди в конкретных ситуациях, совершенно конкретные мудаки :-) но спасибо за взгляд под другим углом, в голову не приходило

раскрыть ветку (1)

NormoSPB

3 года назад

И вам спасибо ) Будьте здоровы!

Bettybongo

3 года назад

Жиза

135

Strannayadama

3 года назад

Это тоже самое, что прийти в магазин и сказать: "Я у вас полгода назад покупал ковёр. Так вот, мне больше не нравится его узор. Верните деньги."

раскрыть ветку (28)

213

Assan

3 года назад

Я у вас неделю назад покупал рулон туалетной бумаги. Мне не нравится ее цвет, текстура и запах после использования. Заберите назад и верните деньги.

Sailor4131

3 года назад

Хорошо хоть не колбасу

раскрыть ветку (8)

KiriGun

3 года назад

а колбаса на туалетной бумаге осталась

раскрыть ветку (7)

Mitrich45

3 года назад

Часть колбасы.

раскрыть ветку (4)

Kakelman

3 года назад

Часть команды.

раскрыть ветку (1)

Mitrich45

3 года назад

Судя по нику - вашему авторитетному мнению в данной области можно доверять.

rexenux

3 года назад

на куске бумаги

раскрыть ветку (1)

Mitrich45

3 года назад

Именно.

kochkanabolote

3 года назад

Её есть невозможно,верните деньги

раскрыть ветку (1)

Bystrozorov

3 года назад

Возможно, но лучше не пробовать

NastyenaV

3 года назад

Но ковёр я вам не верну! А за те деньги, что вы мне вернёте, я возможно куплю у вас другой.

раскрыть ветку (2)

MaestroSvami

3 года назад

Куплю у вас другой

Который будет задавать стиль всей комнате!

VQ30DE

3 года назад

Да чё уж, пусть бесплатно дадут. 😅

Bananovayaradost

3 года назад

У меня так тётенька одна в ноябре хотела вернуть осеннее пальто, купленное в августе, и купить зимнее. Оно ей разонравилось!

ещё комментарии

ofmonkey

3 года назад

Звучит странно, но это абсолютно нормально в США. Тут вернуть можно чуть ли не всё. К примеру, я диван вернул через месяц, пользовался, но разонравился. Ну или купил коробку с шоколадками, съел парочку, не понравились - вернул. Перечислили полную стоимость.

раскрыть ветку (12)

DELETED

3 года назад

вы считаете, что это адекватные возвраты?

раскрыть ветку (5)

doc1501

3 года назад

Конечно!!! Купили ёлочку 20 декабря, вернули 5 января- не подошёл размер)))

раскрыть ветку (1)

Gellert8

3 года назад

Ещё и осыпаться начала, херь какую-то впарили

DELETED

3 года назад

По идее, это подразумевает наценку, компенсирующую подобные возвраты.

ofmonkey

3 года назад

Я поддерживаю, но без перегибов. Одно дело - потребительский экстремизм, когда вещь изначально и не приобреталась насовсем, вроде возврата новогодней ёлки после Рождества. Другое - настоящая война за каждого клиента, когда возможность вернуть неподходящую вещь является ещё одним плюсом того, чтоб люди снова возвращались и покупали. Диван покупал онлайн, как и почти всё, одно дело смотреть на картинке, другое - лежать на нём и видеть вживую месяц. Или если шоколад невкусный, зачем я буду им давиться или выброшу, лучше найду то, что мне нравится.
Клиент знает, что если он купил плохой ковёр, он не будет с ним страдать 10 лет. Если купят десять ковров, пять вернут, то без return policy могут купит всего два-три, кто готов рискнуть получить вещь, которая может не и не понравится или не впишется. Смысл где-то тут, как мне кажется.

раскрыть ветку (1)

ofmonkey

3 года назад

Кстати, добавлю. Потом купил стол в той же компании, где брал и возвращал диван. Стол отличный, уже полгода дома, никаких возвратов) Так что все довольны.

ofmonkey

3 года назад

Честно говоря, я сильно удивлён включённым минусятором на мой коммент. Будто я у кого-то что-то украл, а компания понесла чистый убыток)

Всё покупалось честно, а не с мыслью нахаляву полежать на диване и пожрать.

Такая практика возврата практикуется везде и практически всеми, так работает рынок. И это не считается воровством или чем-то неприличным. Возвраты в США каждый год составляют более 200 миллиардов долларов. Компании прямым текстом пишут, что если вам не понравился наш товар - возвращайте, мы вернём деньги. И они это делают не потому, что их, таких наивных и глупеньких, разводят на бабло, а потому что они хотят для своего товара найти своего клиента, плюс убедить старого, что с ними можно иметь дело, выстраивая взаимовыгодные отношения "продавец-покупатель".

раскрыть ветку (1)

murmus2020

3 года назад

Полностью согласен, поэтому плюсую)

Evgeniy85

3 года назад

В США это не "нормально". В США есть такая практика возвратов у магазинов, но если покупатель злоупотребляет такими возвратами, это считается dick move, то бишь мудоёбством, и всеми негласно (а где и гласно) осуждается.

раскрыть ветку (3)

ofmonkey

3 года назад

Я про обычные ситуации. Если кто-то злоупотребляет, то это тоже нормальным назвать не могу. Слышал даже, что Амазон и прочие могут забанить, если слишком много возвращаешь.

Хотя вот тоже по ситуации: заказывал хоккейную форму, ехала вся издалека. Старался подбирать, но из-за того, что всё онлайн, другой бренд, ну и похудел, со многими вещами просто не попал. Вернул почти половину.

Обиделась ли как-то компания? Какое там, да они мне ещё и скидку дали, когда я перезаказывал такой же товар с корректировками.

раскрыть ветку (2)

Evgeniy85

3 года назад

когда я перезаказывал такой же товар

Ну как бы ответ уже есть в твоем комменте. Скидку дали, потому что твое поведение - это поведение постоянного покупателя, который готов нести деньги, просто ошибся с первым заказом. Это нормальное, здоровое поведение.

По твоему первому комменту просто было не вполне понятно, о каких ситуациях речь. Ну а я сразу подумал про тех, кто пользуется системой возвратов на постоянной основе, чтобы просто попользоваться товаром. Типа бесплатной аренды.

раскрыть ветку (1)

ofmonkey

3 года назад

Видимо, многие так тоже подумали) На самом деле я адекват, даже ёлку не возвращал после Рождества :D

ещё комментарии

MoreLessEvil

3 года назад

Постричься, а потом требовать вернуть деньги - "ведь волосы отросли и стало как было", вот это высший класс

раскрыть ветку (4)

CrazyCrash

3 года назад

Я такое видела наяву в парикмахерской: пришёл сын с отцом, сына ткнул пальцем на парикмахера, и отец начал на женщину орать, что его, дескать, не было в городе, а она, воспользовавшись случаем, что мальчик пришёл один, его сына подстригла кое-как, он весь лохматый.
Дама разворачивается к мальчику лет 16, из-за которого был сей скандал, спрашивает: ты когда у меня стригся? Он говорит: ну пару недель назад.
И парикмахер уже сама начинает орать на них: так чего вы от меня хотите? Мало того, что он модельную стрижку заказал - они сейчас все так ходят, так это ещё и было две недели назад, у него волосы уже отросли, вы бы ещё через 2 месяца пришли.

ToiletSnake

3 года назад

не волосы, а ногти, но суть та же )))
девочка в 18 лет узнала, что ногти РАСТУТ.

раскрыть ветку (1)

selena69

3 года назад

Ну, девочка всё же стебётся так-то)

VQ30DE

3 года назад

😅👍

spiff

3 года назад

Да что тут думать.
Уважаемая серьёзная компания не осилила бизнес и влетела на деньги. Жить стало не на что. Но основанная двумя поколениями дворового быдла нашла привычный способ заработка - отжим мелочи у тех, кто слабее. Только вот не прокатило.

Evgeniy85

3 года назад

Каждый раз, когда читаю такие истории, надеюсь, что они вымышленные. Но потом вспоминаю некоторых заказчиков из своего личного паноптикума и... блядь.

SkyPhantasm

3 года назад

Идеально! "верните мне деньги за прошлый заказ, я у вас хочу новый сделать". Мне нравится эта формулировка фразы: "Работай у меня бесплатно".

раскрыть ветку (2)

neRotenberg

3 года назад

Вы забыли добавить "...смерд!"

VQ30DE

3 года назад

Самая-то мякотка в том, что, во многих случаях, люди действительно думают, что это нормально. То есть, не то, что борзеть нормально, а то, что это не борзость в принципе. ) Надеюсь, норм сформулировал. ))

OneMoreStep

3 года назад

Ну как же так?! Как же Вы не поняли? СЕРЬЁЗНАЯ КОМПАНИЯ обратила на Вас СВОЙ ВЗОР! Вы были удостоены величайшей чести делать им логотип! А Вы, мало того, что по достоинству не оценили их дар, так еще и финансы прикарманили. И... мне не показалось? Вы еще что-то потребовали?! Как же Вам не стыдно-то, а?! Позор на Ваши седины! Да, всё это написано с сарказмом и шутливо, ибо как по-другому воспринимать подобных клиентов понятия не имею. Видимо, Вы сверху их затрат должны были еще свои 300 докинуть, чтобы господа особо не серчали. Надеюсь, эти "расчетуны" Вам больше не докучали.

раскрыть ветку (1)

DELETED

3 года назад

СЕРЬЁЗНАЯ КОМПАНИЯ обратила на Вас СВОЙ ВЗОР! Вы были удостоены величайшей чести работать на них и нарабатывать бесценный опыт и репутацию, которые вам пригодятся в будущем. И... мне не показалось? Вы еще потребовали зарплату за работу поваром ?

Baraken

3 года назад

Ну и зря! Надо было таки вернуть им деньги зарегистрировать логотип на свою контору и вьебать им судебный иск так штук на 15 баксов. За незаконное использование. Вот тогда кайф был бы. Но гдеж бедному фрилансеру денег на юриста взять. Когда Тимати и Ко так отьебали за незаконное использование фото, это такой бальзам на душу был!

раскрыть ветку (6)

3fir

3 года назад

Не получится. Они в суде докажут, что использовали его до момента регистрации. И всё.

раскрыть ветку (1)

dimario33

3 года назад

Сделать новый и перед сдачей заказчику зарегистрировать на себя) Главное делать не по договору, а чисто на словах, типо как с постоянным клиентом, по понятиям все вопросы разруливать, а уже потом въебать иск за незаконное использование, а в идеале можно подождать полгодика каких, чтобы этот лого они начали использовать во всю, потратили бабла на внедрение и рекламу

VQ30DE

3 года назад

Шикарно. )

Neta199128

3 года назад

Я из лиги лени...

раскрыть ветку (2)

dimario33

3 года назад

Самозванец! ЛЛ никогда не пишет свое полное название, потому что нам лень!

раскрыть ветку (1)

Neta199128

3 года назад

Я начинающая.

Matuvi

3 года назад

Через знакомых свели с одним типом. В сканах надо было даты переставить. Я тогда студент особо не заморачивался. Думал раз не левый человек то кинуть не должен. Пару заказов все было хорошо. Но потом я работу выполнил, а он не заплатил и на сообщения перестал отвечать. Ну думаю, деньги небольшие, но студенту пригодились бы. Спустя пол года, я уже про него забыл, звонит, говорит фуры у него там где-то стоят, срочно сканы нужны. Я говорю - пока за прошлую работу не рассчитаешься ничего делать не буду, а за новую предоплата. Он - ну мне те сканы не пригодились же! Я говорю мне абсолютно пофигу - я свою работу выполнил. Через 30 мин прилетает прошлая оплата + за новую. Сделал и больше с ним не работал. Но чувство внутри было как у того мема, микрооргазм

раскрыть ветку (1)

yametekudasay

3 года назад

После предоплаты надо было тоже слиться, так как эти деньги ещё не использовал

ConanDoyle

3 года назад

Долбоёбы, чо)

Bateks

3 года назад

Да ладно!!! И не вернула?! Вообще даже если они не использовали логотип, но было потрачено какое-то время на его разработку - мне кажется это время должно быть оплачено. Я не дизайнер.

fromyar

3 года назад

Вот я вас не понимаю, ну что вы заводитесь из-за пустяков. У вас такой клиент шикарный, сеть сторовых. Ну пришли бы, после этого разговора, в одну из сторовых, заказали бы еду, съели, а после позвали управляющего и на полном серьёзе потребовали вернуть вам деньги, потому что "что то как то разонравилась съеденная еда. Да и не вкусно было". )))

раскрыть ветку (4)

MasterOfFappets

3 года назад

не знаю как по россии ,но в москве есть сеть продуктовых магазинов которые возвращают деньги если продукт не понравился по вкусу. когнитивно диссонансненько однако.

раскрыть ветку (2)

mendocio2504

3 года назад

Во Вкусвилле такая политика. Можно вернуть обратно, если не понравился вкус товара. Без чека.
Еще и у них правило, что покупателей с маленькими детьми и беременных обслуживают вне очереди. Я с пузом постоянно к ним ходила, магазин в торце дома, где мы живем, и ни разу сама вне очереди не пыталась пройти. Так продавщицы все равно ястребиным взором вылавливали меня и других таких же, и настойчиво звали на кассу.

раскрыть ветку (1)

MasterOfFappets

3 года назад

ага , его и имел ввиду.

sonA9977

3 года назад

....тяжесть в животе и тошнота. И в суд , чеки за таблетки отсудили бы.

reboost

3 года назад

Мы-серьезная компания.

it4b.site

3 года назад

нетленочка

Ну это уже перебор

Lagrant

3 года назад

Согласен с авторами. Люди порой просто не понимают, и не хотят понимать (им, видимо, так удобнее по жизни), что "любой труд должен быть оплачен! Почему возиться с доками и проч. вещами, решать ТВОИ проблемы человек должен " за просто так"? Кто ты такая, собственно, кошелка старая? Ты что, родственница? А если даже и была бы родственницей, "с какого, простите, хера" для тебя бесплатно что-то обязаны делать?!
Расскажу свой пример. Учусь на 6-м курсе филфака. На 5-м курсе имел дурость помочь одногруппнице со сдачей зачета. Даже 2-х. Предмет - компаративистика (соплстпвительнле литературоведение, когда за основу контрольной работы, которую сказал сделать препод, берутся два произведения. Фильм и книга по одному произведению. Они сопоставляются между собой. Результат: трактат на минимум 20 листов с оригинальностью не менее 60% и 10-ю источниками.
Работу для этой девочки я написал за неделю. Оригинальность 95%. У нее зачет. Денег не взял. И вот, через несколько месяцев до сдачи, она мне звонит и говорит мне, какой я не хороший, у нее из-за меня одни проблемы. Оказывается, я не оформил за нее содержание, хотя еще на берегу договорились, что она все сама оформит. И я не указал в содержании выходные данные книги, по котопой писался основной текст работы. Книгу девушка сдала в библиотеку и библиотека спокойно утилизировала книгу. Взять ее негде. Разругались. Затем она даже извинилась, т.к. вых. данные есть в Сети.
По этому же предмету она упросила меня помочь со вторым зачетом. Отношения с преподом хорошие. Договорились, что одногруппница принесет ему бутылку Блэк Лейбл и не будет писать аналогичную работу. И что вы думаете? Я оказался виноват в том, что отказался складываться с ней пополам (у меня работа написана) и в том, что это дорогой для нее вискарь... В итоге после очередных ругачек со мной онасамапошла кпреподу и договорилась на Рэд Лейбл.
И последнее: взамен она обещала делать все задания и к\р подругой дисциплине. Не сделала ничего, "это же время надо тратить"...
Теперь я больше просто так не помогаю никому. Занавес... Так что я тоже " из этих"!

раскрыть ветку (4)

zer3tourney1

3 года назад

так и скажи что имел на нее виды, но не сложилось. Иначе я не понимаю, как можно так помогать за просто так:) Так можно помочь либо закыдычной "подруге", либо той, от которой ждешь чуть другой отдачи. Всем девушкам, кому я помогал чем-то абсолютно бесплатно, я не прочь был предложить перейти в горизонтальную плоскость. Просто раньше был постеснительнее и понаивнее, поэтому неоднократно приходил "username, помоги напечатать реферат, помоги починить комплюхтер, можно я к тебе приду распечатать на принтере". Приходил, помогал и... уходил)) Такой вот был болванчик. С другой стороны, может и дамам то я был неинтересен как парень, а просто так использовали ради "дружеской помощи". В любом случае, став постарше, оцениваю помощь либо как за деньги, либо за взаимную дружбу либо за сам секс, а не расплатой намеками на него и хорошее отношение.

раскрыть ветку (3)

Lagrant

3 года назад

У нее муж уже давно. Замужние женщины - не мое. Да, бывает, что и просто так можно помочь. В группе только эта девушка ведет себя по-доброму.

раскрыть ветку (2)

DELETED

3 года назад

Только с одной целью, и теперь вы знаете, с какой.

раскрыть ветку (1)

Lagrant

3 года назад

Просто люди разные. Я не рассчитывал на секс. То, что девушка - человек не серьезный, ее проблемы. Просто я пересмотрел свое отношение к "помощи": нельзя позволять садиться себе на шею.

dobry.bobr

3 года назад

на что они рассчитывали...

Они не рассчитывали.

Расчёт — это сложная мыслительная деятельность. А они просто ХОТЕЛИ и всё.

Mitrich45

3 года назад

- Да, я вот хотел другой у вас заказать, но сначала деньги верните за прошлый! Я буду судиться!

jk4489

3 года назад

Пришла бы к ним в столовку. Поела и потребовала бы деньги. Не понравилось ведь.

раскрыть ветку (1)

Neta199128

3 года назад

Через полгода :-)

z0ich

3 года назад

Сделала логотип для сети столовых.

ааа, ну тут всё ясно, ребята просто уху ели и решили вам позвонить, чтоб вы тоже поели...

Almutabi

3 года назад

Я в ваших столовыых, за полгода, наобедала на 500 долларов, мне не понравилось, так что вы мне еще 200 бачей торчите.

Petrokl

3 года назад

Человек делал ремонт, купил плитку сантехнику на сумму 300 тыс. рублей.
- Я у вас плитку покупал полгода назад, у меня мозаика осталась одна сетка, вы говорили можно вернуть.
- Да я говорил возврат товара в течении двух недель с момента покупки.
- Ну я же не виноват у меня мастер был занят и только сейчас сделали ремонт.
- К сожалению прошло очень много времени, максимум что я могу сделать это отправить к вам клиента если ему будет не хватать такой же мозаики.
- Хорошо, только там я две полоски отрезал может мне еще с другого краю отрезать и тогда она будет квадратная и казаться целой.
- Не надо ничего отрезать, у мозаики есть размер сетки, я предупрежу возможного клиента что там не целая сетка.

П.С. Я был в шоке когда мне продавец эту переписку показал. Это все равно что купить хлеб откусить и попросить вернуть обратно) Да и ради чего ради 270 рублей)

DELETED

3 года назад

Надо было выставить двойную стоимость работы за новый логотип, а потом вернуть деньги за старый.

раскрыть ветку (3)

3fir

3 года назад

Двойная не катит. Тогда она заработает только одну стоимость и вернет первый заказ. Нужно тройную. А еще лучше раз в пять поднять цену, чтобы в следующий раз забыть их на 2-3 заказа :)

aih97q

3 года назад

А он получит деньги и передумает заказывать новый логотип

раскрыть ветку (1)

Arimanov

3 года назад

потом вернуть деньги за старый.

discoursemonger

3 года назад

К парикмахеру наверное ходят стричься по гарантии.

DELETED

3 года назад

Я так полагаю у этих гениев бизнес пошел по пизде ?

Denis7777777

3 года назад

А мне огурчиками солёными рассчитаться предлагали и вареньем... блин отказался дурак тогда... до сих пор жалею ...

AndrSide

3 года назад

Какие-то криповые истории. Сколько ни читаю тут таких, все не могу поверить, что такое может происходить в реальной жизни

lowfix

3 года назад

Я съел половину бургера и он мне не понравился, дайте мне новый.

МакДональдс: Сию секундочку!

БургерКинг: Уже делаем!

КФС: Простите пожалуйста, мы добавим вам 3 крыла за счёт заведения!

Теремок: Сию секунду, сударь!

Никто: пошел нахуй, мразь тупорылая!

Их, блядь, крупные компании обучают халяве!

раскрыть ветку (6)

Denisromanovich9

3 года назад

Работаю в общепите и был очень рад, когда управляющая слала через писюн халявщиков. Их так трясёт прикольно, когда они доказывают, что клиент прав, а она объясняет, что значит он не наш клиент 🙂

раскрыть ветку (4)

vitarinka

3 года назад

когда они доказывают, что клиент прав, а она объясняет, что значит он не наш клиент

не слышала такой вариант фразы, надо будет запомнить, вдруг пригодится)

раскрыть ветку (1)

Denisromanovich9

3 года назад

Просто людям настолько вбили в голову, что они априори правы, что надо как-то осождать их запал дерзости. Поэтому и придумывают новые ответы, которые удивляют и затыкают 🙂

KAGONEI

3 года назад

Местная вахтерша? Обычно таких хорошо дрючат, если связаться с руководством/владельцами жральни или написать заявление в Роспотребнадзор :D она себе эго почесала, что она такая крутая и шлет всех через писюн, а клиентов, которые "ваши" скоро не останется, они еще и гипотетически ваших заведомо сделают не вашими😊 Но это, разумеется, будет хорошо для кого-то другого: для клиента и другой жральни

В моей любимой(раньше) жральне после кризиса настал какой-то пиздец, они начали жарить свинину толщиной 1мм в 3см слое кляра. И, видимо, у них эта система работает на авось: "Авось, человеку будет неудобно пойти и начинать скандалить из-за этого "аромата свинины в куске теста, и всё прокатит". Но мне, к счастью, никогда не бывает неудобно, и ругаться я не боюсь, и таки мне они переделали это говно в нормальный кусок мяса, как было до карантина. Правда, ходить я туда всё равно больше не буду, потому что каждый раз ругаться из-за еды - такое себе.

раскрыть ветку (1)

Denisromanovich9

3 года назад

Шлёт через писюн сама директор заведения, только халявщиков, которые без причины агрятся. Если конструктивно критикуют, т мы конечно разбираем момент всей кухней и решаем

ещё комментарии

Denisromanovich9

3 года назад