Мини-история началась с того,...

Posted on Fri 01 October 2021 • Tagged with from_telegram, in_russian

Мини-история началась с того, что Notion начал раздавать промокод (ADALOVELACE) на $500. Я пользуюсь этим сервисом, так что пошел в настройки, вбил код и заодно решил посмотреть, что там вообще в настройках есть.

Нашел поле Domain - на каком домене будут находиться те записи, которые я решил пошарить. По умолчанию там рандомный бессмысленный домен, почему бы и не поменять.

Вбиваю arseny - пишет, что занято. Ну и ладно, мало ли Арсениев, можно попробовать мой обычный arsenyinfo. Тоже занято, это уже довольно удивительно. Но когда и arsenyjdkhgjksehfjkhskjgh оказался занят, я заподозрил, что дело в чем-то другом.

Резонно предположить, что иногда внешние апишки так устроены, чтобы не раскрывать всю правду потенциальным злоумышленникам. Например, если кто-то явно брутфорсит пароли к вашему сервису, нормально отвечать что-то вроде Wrong password или Service not available, даже если пароль правильный и сервис нормально работает.

Long story short: несколько попыток перебора показали, что недоступны все домены по маске arse. Что ж, Notion не первый - я с таким уже сталкивался :(

Вообще, технические решения, основанные на white/black списках, не очень надежны.

Когда-то давно в одном популярном сервисе мы делали подсказки для опечаток в почте. Многие пользователи вводили [email protected] и страдали, что им не приходит confirmation email. Я почитал про расстояние Левенштейна и сделал так: для всех доменов не из top-N ищем соседа с расстоянием == 1 и предлагаем заменить.

Все круто, метрики везде растут, кроме одного региона - Азии. Потому что относительно популярный в Азии ymail.com не попал в глобальный top-N, и мы предлагали его заменить на gmail.com.

source