Hồi kết của Yahoo! 360
Yahoo! 360 là blogging platform phổ biến nhất tại Việt Nam. Điều này không cần phải bàn.
Results 1 - 10 of about 2,230,000 Vietnamese pages for yahoo 360. (0.33 seconds)
Yahoo! 360 được coi là một trong những thất bại thảm hại của Yahoo! Điều này cũng không cần phải bàn.
Nobody notices or protests when it shuts down. (Although, to be fair, the Yahoo 360 blog post announcing the shut-down did receive 1,521 comments, most of them from users wanting more details about what is going to happen to all of their data.)
Just checked with comScore. They show a 51 percent decline in monthly U.S. traffic, from 5.7 million unique visitors in September, 2006 to 2.8 million in September, 2007.- TechCrunch
Yahoo! 360 đang đi đến hồi kết. Một thông báo chính thức đã được đưa ra, và ngay sau đó là một thông báo khác, cho biết từ giờ cho đến khi dịch vụ thay thế 360 được ra mắt, sẽ không còn có lỗi nào của 360 được sửa nữa.
Q: Will the bugs be fixed on 360°?
A: No, we will no longer be fixing bugs related to 360°. We are putting all of our resources on building the new profile system.- Yahoo! 360 Team
Điều này nghĩa là gì nhỉ? Theo như tớ hiểu thì điều đó có nghĩa là những ai còn dùng 360 sẽ phải sống chung với ít nhất 3 lỗi khó chịu:
- Lỗi đầu tiên là profile image không xuất hiện, chỉ hiện ra mỗi cái khung nho nhỏ
- Lỗi thứ hai là profile image dài vô tận, cuộn mãi không thấy quick comment đâu
- Lỗi thứ ba, lỗi gần đây nhất, là link trong các blog bị nhảy loạn xạ, trỏ tới những entry xa lắc xa lơ từ hàng tháng trước
Dĩ nhiên, nếu nhìn kỹ 3 lỗi trên, thì ai cũng có thể biết được nguyên do của chúng:
- Lỗi thứ nhất là do một thẻ IMG có thuộc tính src với giá trị “” (ngộ nhỉ?)
- Lỗi thứ hai là do một thẻ IMG với thuộc tính height cỡ mấy chục triệu (ặc)
- Lỗi thứ ba là do Chúa (nói cách khác là đố biết tại sao đấy?)
Nói chung, những lỗi này cũng *chỉ* khiến cho người ta thấy khó chịu, và thúc đẩy mọi người biến khỏi Yahoo! 360 càng nhanh càng tốt (chả hiểu cái dịch vụ kế nhiệm 360 có ra kịp để đón những người này không nữa?). Đó không phải là việc tớ để ý, mà điều tớ đang quan tâm nhất là: Liệu Yahoo! có bỏ lời hứa của mình (we will no longer be fixing bugs related to 360°) nếu như một lỗ hổng về an ninh được tìm thấy không?
Tớ nghĩ là có. Dù lỗ hổng đó đã và đang tồn tại, từ hàng tháng nay, mà (không hiểu sao) vẫn chưa có ai thèm khai thác (hoặc có nhưng chưa rầm rộ và tớ không biết đến).
Lỗ hổng đó chính là ở khả năng dùng file flash để thực thi các lệnh javascript. Theo tớ, nếu chỉ xét tới mặt trái, đây là một vấn đề khá nghiêm trọng:
- Một malicious user có thể dùng javascript để đánh cắp cookie, từ đó mò ra thông tin về những người truy cập blog mình.
- Một malicious user khác cũng có thể dùng javascript để cài đặt virus vào máy người khác - tương tự như cái-gọi-là *đại dịch virus Yahoo! Messenger* hồi năm ngoái. Điều này hoàn toàn có thể xảy ra, bởi 1) ở Việt Nam rất nhiều người sử dụng IE với đầy lỗi bảo mật và 2) mấy ai nghĩ trong blog 360 lại có thể chèn virus.
- Một malicious user khác 2 malicious user trên có thể dùng javascript để… làm một điều tệ hại khác mà malicious user đó muốn. Tình huống này tớ cũng chưa nghĩ ra.
Khi tình cờ tìm ra cái lỗ hổng này, tớ mới hiểu tại sao ban đầu WordPress.com cấm flash, và đến khi cho phép blogger sử dụng flash cũng chỉ giới hạn trong một whitelist nhất định. Chốt lại thì, “Trust is a weakness” - Không bao giờ được phép tin người sử dụng!
Bài viết được gửi hôm 01.11.07 · Mang các từ khóa linh tinh, yahoo 360
Bài viết liên quan:
Mạnh Tuấn gửi hôm 10.11.07 lúc 5:06 am #
Worth reading. Thanks a lot