Все в скоупе и нет проблем )
Правда посчитать импакт бывает непросто

Ну, у нас для этого есть Ext. O проблема что никто из хантеров не рад что их бага в Ext. O попала)

Что поделать, правила есть правила

хотел бы я посмотреть на того, кто будет рад

Понимаю(

Убрать возможность поставить сертификат через политики?

Пока думаем в сторону этого варианта, правда локальные пользователи все равно будут иметь возможность импортить серты.
Спасибо всем за советы

он с концами?

все, баунти больше не будет

👋 У кого нибудь завалялись ссылочки по байпасу 360 ваф?

Ты же понимаешь что очень сильно нагружаешь чужой сервер + фолз позитив очень вероятен из-за вафов?
И наверняка клауд даже не пропустит такой рейт

Это вообще близко к ддосу

ты думаешь хантеров это правда хоть немного волнует?
То что где то ляжет сервак, никак не остановит хантера, который хочет пораньше всех набрутить и зарепортить свой любимый пхпинфо

та в 99% случаях все окей. в больших корпах пропускная хорошая

дело не в пропускной способности, разные эндпойнты рассчитаны на разную нагрузку. Например ручка активации промокода рассчитана условно на 10 000 запросов в час (10 тыс юзеров активируют промик), это нормальный юзер сценарий, даже при том что юзеров могут быть десятки миллионов. И она прекрасно рассчитана на наплывы юзеров после какой-либо маркетинговой акции, ну придет 20 тыс в час, окей. И даже 30 тыс в час тоже, запас прочности есть.
Но-приходит хантер и строго на эту ручку дает нагрузку в 100к в минуту. Внутри системы идет мультипликация нагрузки, потому что сервис активации промокодов идет в еще 3 других сервиса, в одном чекает баланс, во втором проверяет валидность самого промокода, в третьем чекает что промоакция уже активирована.

В итоге один хантер дернув одну ручку, может положить парочку сервисов в крупной компании с десятками миллионов клиентов.

забавно наблюдать за трансформарцией некоторых баг хантеров ставшими в баунти сотрудниками. сначала их заботили мысло о заработках и даже не своих и о том кем лучше регаться - ип и фриланс. а сейчас, что некий багхантер может положить сетку

так-то оно все так, только кроме хантеров может придти и регулярно приходит просто какой-нибудь васян, который с бешеным рпс долбит ручки типа активации промокодов

одно другому не мешает, сейчас просто времени на хант мало. Но да, сам несколько раз сдавал гуглоключи годы назад, а теперь пилю такие мемы когда вижу подобный репорт:

в будущем отмечай, а то чуть не пропустил

а там почему то нельзя было сделать реплай на твой ответ, видимо потому что только что вошел в чат

давно я тут)

в общем то по любому я много сканирую