Дорогие программисты АТ… у вас тут дверь не заперта. Совсем.

Ребят, я не хотела. Честно. Но…

1. Что случилось?

На платформе появился пользователь, который в комментарии к посту и в своём профиле вставил вредоносный код. Результат? Любой, кто заходил на страницу, видел на весь экран оскорбительную картинку или текст. Полностью. На весь экран. Поверх всего контента сайта.

Это не взлом серверов, не подбор паролей, не хакерский гений. Это просто текст в поле ввода, который сайт послушно сохранил и показал всем.

Карл.

2. Как такое вообще возможно в 2026 году?

Есть важное правило разработки:

Никогда не доверяй данным от пользователя.

Всё, что приходит от пользователя — комментарии, описания, «о себе», посты — должно фильтроваться и очищаться перед сохранением. Это блин обязательно.

А что делает АТ? Берёт всё, что вы написали, и записывает в базу как есть. Без фильтрации. Без проверки. А потом показывает это всем остальным — тоже как есть. Офигенно.

3. Масштаб проблемы

Проблема не в одном месте. Она везде:

• Блог-посты
• Комментарии (на всех страницах!)
• Профили пользователей
• Аннотации книг
• Рецензии
• Описания конкурсов
• Форум
• Лента обсуждений
• где-то не нашла мб

Фактически любое место, где вы можете ввести текст, это потенциальная дыра. Один вредоносный пост в ленте и его видят все, кто просто листает обсуждения. Даже не нужно заходить в сам пост.

4. Это не просто «оскорбительная картинка» 

То, что сейчас кто-то вставляет оскорбительные картинки — это детский сад. Но через эту же дыру можно:

1. Попытаться украсть ваш аккаунт. Создать поддельное окно входа, которое выглядит точь-в-точь как настоящее. Вы вводите логин и пароль — и они уходят злоумышленнику.
2. Украсть вашу сессию. Получить доступ к вашему аккаунту без пароля.
3. Действовать от вашего имени. Публиковать, удалять, покупать.

Технически всё это возможно прямо сейчас, через те же самые дыры.

5. Текстовый редактор из 2017 года

Отдельная песня — текстовый редактор, который использует АТ. Это Froala Editor версии 2.6.1, 2017 г.в.. За это время у этого редактора нашли много критических уязвимостей.

Актуальная версия Froala сейчас — 5.0.1 блин. Там куча багов исправлено уже, да может тут он немного кастомный, но не отмазка.

6. Почему меня это бесит?

Потому что АТ это не бесплатный хобби-проект студента. Это коммерческая платформа. С подписками. С монетизацией. Авторы зарабатывают здесь деньги. Читатели платят деньги.

А безопасность забыли. ️

Мы, авторы, вкладываем время, силы, душу. Мы доверяем платформе свои тексты, свою аудиторию, свои данные. А платформа не может закрыть дыру, которую любой начинающий разработчик знает наизусть.

Инцидент уже есть. Прямо сейчас. Человек вставляет мерзость в комментарии и профиль, и сайт послушно это показывает.

7. Что нужно сделать?

Без заумных терминов:

1. Забанить нарушителя и вычистить всю дрянь, которую он навставлял.
2. ️ Начать наконец фильтровать то, что пользователи пишут прежде чем это увидят другие.
3. Обновить редактор с 2017 года. Серьёзно, 2017. Это было ДО ковида.
4. Проверить всё, что уже лежит на сайте, мало ли кто ещё чего навтыкал.

Потому что мне не всё равно. Я люблю АТ. Именно поэтому злюсь. ️