Дубликаты не найдены

+1

Шаболовка!

0

Больше напоминает приложение Яндекс.закладчики

0

Больше миньонов напоминают

0
А если взять Delivery Club и Яндекс Еда, то это будет:
Умпа Лумпы 1971 года VS Миньёны)))
-1

их сейчас столько по городу бегает...неужели люди настолько обленились, что даже дойти\доехать до еды сами не могут?

раскрыть ветку 4
0
Зато люди, на этой лени, неплохо так деньги гребут. "Ой, что-то холодно, а ну-ка..." И т.п.
-1
Дело не в лени, а в соотношении (время + личное ощущение комфорта)/деньги.
Сидишь дома/в офисе, захотел еды из Мака.
Надо: переобуться, одеться, дойти по ебучему льду (или по ебучей грязи) до Мака, постоять в очереди, дойти до дома/офиса по ебучему льду (или по ебучей грязи).
Или от всего этого тебя избавит условный Улумбек всего за 100р.
раскрыть ветку 2
+1

правильно, а еще можно продукты на дом заказывать, и тд

я думаю, тут все-таки не желание сделать лишнее движение, ну и в небольшом % случаев как ты описал

смотрел мульт Валли? там люди на плвтформах ездили, потому что удже не могли ходить

-1
Генеральный директор условный узбек: k3mp1nF3gg3t, вы заказывали это и то-то... Пришёл гражданин Узбекистана?
Тогда вы несите заказ обратно! Сотрудник обуется и по ебучему льду до танцует до ресторана!
Похожие посты
421

Опять про доставку Яндекс. Просто курьеры тупые

К разговорам по недоставке продуктов Яндекс-Еда.

Где-то полчаса назад звонок в дверь, открываю, стоит курьер, сует мне два пакета и убегает.

Я думала, муж что-то заказал.

Развязываю первый, а там продукты, которые мы не заказываем.

Блин, ни накладной, ни адреса.

Хорошо, лежал флайер с «Яндекс-музыкой». Поняла, что Яндекс-доставка. На пакете написано Яндекс-лавка.

Звоню в Яндекс-Еда, рассказываю про пакеты, прошу вернуть курьера, мол, потом жалоба же будет, что курьер доставил, а клиент ничего не получил.

Ответ оператора ввел в ступор.

Нет, говорит, у меня связи с курьером, я могу только жалобу написать на него и все.

Вместе с оператором на телефоне порылись в пакете и нашли какие-то цифры, оказалось, номер заказа.

Она мне радостно: - Как здорово, теперь, мы знаем чей заказ! Сейчас я позвоню получателю, подождите на телефоне.

Потом: - Это соседний дом, вы не могли бы отнести?

Я чуть трубку не выронила. - Повторите, - говорю.

Она поняла, что сморозила тупость, и объясняет: - Курьера нет, клиент отказывается идти, может вы?

Я: - Нет, дорогая, это ваши проблемы. Это вам деньги клиенту возвращать за недоставленный товар и читать на пикабу про необязательный Яндекс.

Сказала перезвонит, прошло уже полчаса…

Короче, пакеты лежат в прихожей, там куриные грудки, йогурты, продукты скоропортящиеся, есть еще вода, но ей пофиг, конечно, а оператор не перезванивает(((

Решила, если не заберут, пойду собак на помойке покормлю вечером.

Я ведь имею право это сделать, @yandexeda? @Yandex.eda?

5768

Яндекс Баунти или ключ за миллион бесплатно

Яндекс Баунти или ключ за миллион бесплатно Яндекс, Bugbounty, Баг, Длиннопост, Яндекс Еда

Приключилась со мной история, которая отражает лояльность компании Яндекс.

Небольшой спойлер - история на миллионы.


Яндекс проводит конкурс "Охота за ошибками", в рамках которого, участник нашедший уязвимость, удовлетворяющую условиям конкурса, может рассчитывать на денежное вознаграждение (более подробно с условиями и самим конкурсом можно ознакомиться здесь https://yandex.ru/bugbounty/).


Решил я один из вечером посвятить анализу сервисов Яндекса на наличие уязвимостей. Претендентом на анализ стал https://eda.yandex.ru/.

Буквально через пол часа анализа кода сервиса, наткнулся на интересный момент.

На сервисе в исходном коде сразу же красуется такой код:


<link rel="preconnect" href="https://enterprise.geocode-maps.yandex.ru" />
<link rel="preconnect" href="https://enterprise.api-maps.yandex.ru" />

Проще говоря, данный код заранее устанавливает соединение с указанным сайтом, а это значит, что скорее всего эти сервисы используются далее на сайте, так оно и есть. Продолжив анализ кода, я нашел где задавался API ключ для вышеуказанного сервиса, а именно js объект в котором задавался ключ объекта geocodeKey и его значение "c0d403ab-e5be-4049-908c-8122a58acf23", именно он и станет виновником данного "торжества".


Раз "пациент" подключается к geocode-maps.yandex.ru, можно предположить, что тут происходит геокодирование. Если углубиться, то можно узнать, что у Яндекса есть два вида версии API (бесплатная и платная). Платная подключается с префиксом "enterprise" в адресе, как в нашем случае enterprise.geocode-maps.yandex.ru.


Уже становится интересно, так как на сайте подключена платная версия API.


Здесь можно ознакомиться с расценками на API ключ https://yandex.ru/dev/maps/commercial/doc/concepts/jsapi-geocoder-docpage/
Небольшой спойлер, цены за год пользования API ключом доходят до 1.5 млн рублей.

Провожу прямое геокодирование и ожидаю ошибку 403 (это ошибка, когда на API ключ наложено ограничение, например по IP или домену, откуда идет запрос), но на моё удивление, я получаю успешный результат геокодирования и всё бы ничего, если бы это был бесплатный запрос, но геокодирование один из пунктов платных запросов на API ключе Яндекса.
Пример прямого геокодирования с ключом Яндекса:

https://geocode-maps.yandex.ru/1.x/?apikey=c0d403ab-e5be-4049-908c-8122a58acf23&geocode=%D0%A0%D0%BE%D1%81%D1%81%D0%B8%D1%8F,+%D0%91%D0%B5%D0%BB%D0%B3%D0%BE%D1%80%D0%BE%D0%B4%D1%81%D0%BA%D0%B0%D1%8F+%D0%BE%D0%B1%D0%BB%D0%B0%D1%81%D1%82%D1%8C

А здесь мы видим https://yandex.ru/dev/maps/commercial/doc/concepts/jsapi-geocoder-docpage/

что прямое геокодирование или обращение к HTTP API Геокодера является тарифицируемым запросом, т.е. платным, но ведь мы сделали запрос, получили успешный результат и ничего не заплатили!


Далее проведя еще несколько тестов, я окончательно убедился, что Яндекс не защитил свой корпоративный API ключ от стороннего использования и тут же создал обращение, через программу "Охота за ошибками" от Яндекса.

Ниже представлена переписка с сотрудником Яндекса.


Яндекс:

Проблема использования чужих geocodeKey в JS API нам была уже известна. В связи с этим, к сожалению, мы не можем присудить за нее вознаграждение.


Я:

А при чем здесь использование чужих geocodeKey в JS API, я говорю про конкретный случай в вашем сервисе, про ваш geocodeKey, который вы же и не защитили, что позволяет его использовать всем желающим.

Яндекс:

Так geocodeKey используется в JS API на стороне браузера, защитить его от попадания в браузер технически невозможно. Проблема использования этого geocodeKey сторонним сервисами нам уже была известна. В связи с этим, к сожалению, мы не можем присудить за нее вознаграждение.

Я:

А для чего тогда вот это?
Яндекс Баунти или ключ за миллион бесплатно Яндекс, Bugbounty, Баг, Длиннопост, Яндекс Еда
Это как раз и защищает ключ от стороннего использования его в платных функциях, например геокодирование.
Как я ранее приводил пример, если у ключа нет ограничений, его может применять кто угодно, но если поставить ограничение в функционале (см скриншот выше), тогда на запрос
https://geocode-maps.yandex.ru/1.x/?apikey=c0d403ab-e5be-4049-908c-8122a58acf23&geocode=Россия, Белгородская область
будет отдаваться не результат геокодирования, а
<error>
<statusCode>403</statusCode>
<error>Forbidden</error>
<message>Invalid key</message>
</error>

Яндекс:

Действительно ключ не защищен стороннего использования. К сожалению эта проблема не входит в рамки программы "Охота за ошибками". В связи с этим мы можем добавить вас в Зал Славы Охоты за Ошибками (https://yandex.ru/bugbounty/hall-of-fame/) без назначения денежного вознаграждения.

Я:

Почему данная проблема не входит в рамки программы "Охота за ошибками"?
Здесь сказано
https://yandex.ru/bugbounty/
1. "Где искать
Веб-сервисы: на доменах yandex.ru, yandex.com, yandex.com.tr, yandex.kz, yandex.ua, yandex.by, yandex.net (кроме people.yandex.net), yandex.st, eda.yandex, ya.ru."
eda.yandex - входит в данный перечень
2. "A01. Инъекции", согласно классификации "OWASP Top-10 версии 2010 года" .
Это недостаток внедрения. Злоумышленник может воспользоваться вашим же ключом в своих корыстных целях путем подстановки его в get запросы, своего рода проведя инъекцию на выполнение платных запросов для получения данных (бесплатно) без надлежащей авторизации.

Яндекс:

Описанная вами проблема с нашей точки зрения не относится к классу "A01. Инъекции", а относится к классу отсутствия лимитов на использование API. К сожалению, правилами нашей программы пока не предусмотрены выплаты за такой тип уязвимостей, если они не затрагивают безопасность данных наших пользователей.

Я:

Уточните, пожалуйста, согласно какой классификации вы отнесли данный баг к классу "отсутствия лимитов на использование API"?
Даже если не расценивать данный баг как инъекцию, то он подпадает, как минимум, под один из классов классификации "OWASP Top-10 версии 2010 года":
2. Broken Authentication.
5. Broken Access Control.
6. Security Misconfiguration.

Яндекс:

Согласно классификации OWASP API Security Top 10 2019 (https://owasp.org/www-project-api-security/). С нашей точки зрения описанная вами проблема не может отнесена к категориям "Broken Authentication", "Broken Access Control", "Security Misconfiguration".

Итоги:

1. Пришлось потратить не мало времени, чтобы доказывать и "разжевывать" Яндексу, что найденный баг является багом, а также немного научить пользоваться их же функционалом (я про выставление ограничений на ключ).

2. В их же условиях указано, что "В качестве классификации уязвимостей для веб-сервисов используется OWASP Top-10 версии 2010 года, для мобильных приложений — OWASP Mobile Top-10.", но в диалоге их сотрудник уточнил, что мою уязвимость они классифицировали по "OWASP API Security Top 10 2019".

3. Найденный баг был передан Яндексу 9 июня 2020 года, прошло более 3 месяцев, но Яндекс так и не исправил баг и любой желающий может совершенно бесплатно воспользоваться их корпоративным API ключом "c0d403ab-e5be-4049-908c-8122a58acf23", стоимость которого достигает до 1.5 млн рублей в год и более. В зал славы меня добавили https://yandex.ru/bugbounty/hall-of-fame/2020/6/ , а вот в денежном вознаграждении отказали ("Конкурсы занятные и призы интересные").


P.S. я лишь донес историю, случившуюся со мной и то как повел себя Яндекс в такой ситуации. Участвовать в данном конкурсе или нет, решать только вам!

UPD: К посту есть вопросы #comment_180781762

Показать полностью 1
653

Где моя мороженка, Яндекс?

С недавних пор я начал пользоваться сервисами по доставке продуктов.
Заказывал частенько, где то раз в 1-2 дня. Когда-то там, когда-то в другом месте.
В зависимости от наличия товаров.
Не редко бывало, что что-то не положат, что-то привезут испорченное, но с возвратами денежных средств проблем не было.
Но тут речь пойдет о сервисе от Яндекс.

В очередной раз я сделал заказ.

Где моя мороженка, Яндекс? Яндекс, Яндекс Еда, Яндекс Лавка, Длиннопост

По приезду курьера оказалось, что отсутствует вкусняшка для супруги.
Написал, как обычно, яндексу.

Где моя мороженка, Яндекс? Яндекс, Яндекс Еда, Яндекс Лавка, Длиннопост

Ну, думаю, подожду. Раньше возврат денежных средств осуществляли купонами практически мгновенно.
Прошел еще день, написал снова.

Где моя мороженка, Яндекс? Яндекс, Яндекс Еда, Яндекс Лавка, Длиннопост

Решил, что у них какие-то технические проблемы, стал ждать пока напишут сами.
Понимаю, что сумма «СЕРЬЕЗНАЯ», но я забыл...))
Сегодня жена мне случайно напомнила.
Говорит мороженное мол хочется, закажем?
Заказывать не стал, прогулялся до магазина пешком, а вот яндексу о себе напомнил.

Где моя мороженка, Яндекс? Яндекс, Яндекс Еда, Яндекс Лавка, Длиннопост

Ситуация совсем непонятна.
Интересно, они рассчитывают на то, что люди забудут/забьют на эту мелочь?
А сколько в день у них заказов?
И сколько можно «заработать» подобным образом?
Нет, мне не жалко.
Это дело принципа.

P.S:
Не поленился бы написать, даже если бы мороженное стоило 5 рублей.

Показать полностью 3
1861

Ответ на пост «Яндекс обновил голос в русском переводчике. ( голос звучания )» 

Недавно был пост про то, что синтезируемый голос уже практически не отличим от человеческого.

Вот еще несколько примеров того, какими могут быть голоса в переводчике.

3347

Шоколадная фабрика должна была достаться Виолетте Боригард

Шоколадная фабрика должна была достаться Виолетте Боригард Перевод, Длиннопост, Чарли и шоколадная фабрика, Вилли Вонка, Фильмы

Оригинал: https://www.instagram.com/p/BrGyG9VHCXO/?utm_source=ig_share...

(Прим.пер.: фотографию прицепила скорее для узнаваемости, поскольку в посте речь идёт о фильме «Вилли Вонка и шоколадная фабрика» 1971 г. Он похож на «Чарли и шоколадную фабрику» Тима Бёртона, но ближе к концу они расходятся в сюжете, и позже я поясню, как и в чём. А ещё из этого фильма пошёл вот этот мем:

Шоколадная фабрика должна была достаться Виолетте Боригард Перевод, Длиннопост, Чарли и шоколадная фабрика, Вилли Вонка, Фильмы

Но Виолетты в обоих фильмах схожи характером, поэтому написанное подходит для обеих. Погнали, короче :) Итак... )

... Шоколадная фабрика должна была достаться Виолетте Боригард.

1. Виолетта знает о сладостях больше всех. Она увлекается ими всерьёз и хорошо в них разбирается. Когда Вонка, стоя в другом конце комнаты, показал малюсенький кусочек жвачки в жёлтой обёртке, она сразу догадалась, что это. Девочка смогла бросить жвачку и переключиться на шоколадки ради победы в конкурсе, и это говорит о том, что она дисциплинирована и умеет добиваться поставленных целей. Кроме того, два основных проекта фабрики перекликаются с двумя её сильными сторонами: бесконечный леденец (способность заниматься одним и тем же в течение долгого времени) и жвачка из трёх блюд, которую Вонка не смог сделать безопасной (особая любовь к жвачкам).

2. Она лучше всех подготовлена к ведению бизнеса. Виолетта амбициозная, целеустремлённая, трудолюбивая и рисковая. Её отец торгует машинами и занимается политикой, так что она всегда может обратиться к нему за советом и поддержкой (отец Веруки Соль тоже бизнесмен, к тому же в смежной отрасли (орехи), но нам ясно дают понять, что Верука не ценит ни знания о деловой практике, ни трудолюбие).

3. Она больше всех сочувствует умпа-лумпам. Когда Верука потребовала купить ей одного, Виолетта жёстко её осадила. Что ещё важнее, сам Вонка тестировал свою жвачку из трёх блюд, с которой "всегда что-то случается", на умпа-лумпах, наблюдая за результатами со стороны. Виолетта же готова в первую очередь испытать всё на себе, а не превращать умпа-лумпов в расходный материал. Так что она была бы лучшим боссом.

4. «Изъян» её характера идеально вписывается в концепцию фирмы. В песенке про неё умпа-лумпы поют лишь что-то вроде: «Жвачка — это хорошо, но её нельзя жевать целыми днями». Но мы ведь знаем, что она может перестать, когда захочет: она уже делала это, чтобы выиграть золотой билет. И да, она не любит, когда её «хобби» критикуют за якобы непристойность (мы видим это, когда мама пытается пристыдить её во время телеинтервью). Но ведь одержимость сластями и пренебрежение к социальным нормам — это главные черты самого Вонки. Они — суть бренда.

5. Её ошибку можно обосновать разумно. Итак, Вонка показал всем конфету, которой он очень гордится. Виолетта сразу: «Ух ты, это же жвачка, я их особенно люблю». А Вонка такой: «НЕТ! Это САМАЯ ЛУЧШАЯ жвачка!» Ещё несколько мгновений назад он вешал ей лапшу на уши, чтобы её унизить. Так зачем бы она стала его слушать, когда он сказал: «Я бы этого не делал»? Она ведёт себя не как Чарли, который такой: «Конечно, дедуля, давай отстанем от экскурсии и втихушку выпьем вот эту жидкость, про которую в открытую говорили, что она наполняет человека газом и её небезопасно пить. А, ну я ведь видел, что было с Виолеттой, так что я ТОЧНО знаю, что может произойти».

(Прим.пер.: в фильме 1971г. был момент, когда Вилли Вонка привёл экскурсию в цех газированных напитков, предупредил всех, что лимонады пока в стадии разработки и их опасно пить. Затем он повёл всех дальше, а Чарли с дедушкой остались и всё же попили газировки. В итоге они наполнились газом и стали подниматься к потолку, где была шахта с огромным вентилятором. Их чуть не изрубило винтами, но они догадались, что воздух надо срыгивать, и спаслись).

А ещё Виолетта не жуёт молча, а делится ощущениями со всеми, ведь все сгорают от любопытства. Рискует собой, чтобы поделиться опытом с остальными. Виолетта — Прометей своего времени.

В итоге: Август Глупп засоряет шоколадную реку. Чарли портит вентиляционную шахту. Верука парализует работу целого цеха. Майк намеренно телепортируется/уменьшает себя, прекрасно зная, что с ним произойдёт. Виолетта понятия не имела, чем опасна та жвачка, и не причинила вреда никому, кроме себя.

И наконец: вы вообще себе представляете Чарли — вот этого безвольного, наивного мальчика — на месте Вонки? Виолетта же сама как Вонка. Она остра на язык, одержима сладостями, она взрывная и горит делом. Она даже лучше Вонки, потому что не хочет подвергать опасности остальных.

Фабрика должна была достаться Виолетте.

(Прим.пер.: бананометр ругался только на мем с Вонкой)

Показать полностью 1
Похожие посты закончились. Возможно, вас заинтересуют другие посты по тегам: