Aukcje.org

Aukcje internetowe w Polsce i na świecie

24/10/2004,

Aukcje internetowe w Polsce, Korespondencja, Bezpieczeństwo

Luka w Allegro cd..

Wczoraj wysłałem zapytanie do autora maila odnośnie dziury w Allegro (news: „Dziura w Allegro nadal jest” ) i tego czy jego zdaniem serwis podjął jakiekolwiek kroki zabezpieczające. Oto otrzymana wiadomość:

Witam, pewnie zauważył Pan, że Allegro zapowiedziało ograniczenia w stosowaniu HTML na stronach o mnie, oraz w opisach aukcji. To rozwiązuje problem, ponieważ ja opierałem się o zły kod dodawany do aukcji. Teraz powstaje pytanie, czy dziury należy łatać ograniczając swobody użytkowników, czy szukać innych rozwiązań. Moim zdaniem, to najgorsze rozwiązanie z możliwych. Myślę, że cały system Allegro zaczął się starzeć, potrzebna jest gruntowna przebudowa, ale z tego co widzimy, Allegro po prostu nie ma zamiaru nic zmieniać…. pzdr
PS. Jak dziura zostanie całkowicie zlikwidowana, opisze krok po kroku, jak to wyglądało.

Odważne oświadczenie - wyobrażam sobie, że większość osób, które używały JavaScript i Flash do opisu stron - a teraz dłubią przy przerabianiu opisów - czy, jak właściciel Systemu Promocji Sprzedaży, zastanawiają się nad przyszłością swoich interesów, będzie miała Panu za złe znalezienie dziury. Oni czekają na „kozła ofiarnego” - nikt z nich nie waży się powiedzieć „to winna Allegro”. Pierwsze co krzykną to „wina włamywacza” :-/ .

HA! Tymczasem, jak czytam na stronie PCWorld.pl:

Gigantyczne zainteresowanie aukcjami, pozycja na rynku, ogromne obroty sprawiają, że kwestie bezpieczeństwa stają się szalenie ważne dla całego przedsięwzięcia. Na forach dyskusyjnych krążą plotki na temat słabych zabezpieczeń serwisu. Zarzucane jest używanie znanych skryptów i szablonowe podejście do zabezpieczeń. Być może to tylko plotki, jednak kontrowersje budzi niedawne wydarzenie. Jak poinformował serwis Aukcje.org w Allegro odkryty został krytyczny błąd bezpieczeństwa umożliwiający dostęp do cudzych ustawień. Użytkownik to zgłosił, jednak dopiero bezpośredni atak na serwis (niegroźny oczywiście) spowodował reakcję. Błąd został wykorzystany między innymi do zmodyfikowania strony jednego z administratorów Allegro.
Bartłomiej Szambelan (rzecznik prasowy Allegro) skomentował ”Nie nazwałbym tej sytuacji błędem krytycznym. Rzeczywiście, dostaliśmy sygnał od jednego z użytkowników, że możliwe jest zmienianie ustawień. Natychmiast wprowadziliśmy doraźne zabezpieczenia. W ciągu najbliższych kilku dni nasi informatycy rozwiążą ten problem definitywnie.”

Do tekstu wprowadziłem wyróżnienia „co-głodniejszych kawałków”.

Tyle jeśli chodzi o kłamstwa. A teraz FAKTY:

PCWorld należy do IDG Poland SA..
IDG na swojej stronie prowadzi to: http://www.idg.pl/allegro/

Oczywiście autor materiału w PCWorld nawet nie ukrywa reklamowego charakteru swojej twórczości pisarskiej:

Zapoznaj się z aktualną ofertą aukcyjną.

Robert Ścisłowski

Żal tylko, że ponownie pod artykułem nie dopisano „artykuł sponsorowany” lub wprost: „reklama”.

# D.O. (bit_studio) — 24/10/2004 @ 15:14:

Witam

Sporo sie tu pisze o SPS wiec pozwalam sobie zabrac glos w kilku sprawach…

[od administratora: komentarz został przeniesiony do newsa D.O. (bit_studio) o Systemie Promocji Sprzedaży]
# stand — 24/10/2004 @ 17:06:

Mnie zastanawia co innego - ta wszechobecna arogancja firm, które mają znaczący udział w rynku. Oczywiście w przypadku allegro nie można mówić o znaczącym udziale - oni zjadają cały tort.
Bardzo incydentalnym przypadkiem jest, gdy ktoś z serwisu, w którym odkryto lukę w zabezpieczeniach uprzejmie podziękuję i weźmie się do pracy. Przeważnie słyszymy tylko o „niegroźnym, z punktu widzenia serwisu…”, „plotkach”, „chwilowym braku…”, itp. U mnie, osobiście, ranga serwisu który przyznaje się do błędu i natychmiast bierze do pracy, wzrosłaby.
Drugą sprawą jest, że takie przyznanie natychmiast podchwycone byłoby przez wszelkiej maści pismaków, konkurencji i szum wokół tej sytuacji zrobiłby się niewspółmierny do zagrożenia.
Może więc najlepszym wyjściem jest bagatelizowanie zagrożeń, brak odpowiedzi na zarzuty?
Przecież zawsze jakiś „pożyteczny idiota” podłapie temat i po swojemu doda do niego komentarz. A czy to będzie opłacany user z mydelniczki czy portal powiązany finansowo z tymże serwisem…
Jakie to ma znaczenie? Kogoś to oburzy?
Zawsze przecież będzie można zignorować zarzuty!

Napisz komentarz:

Opcja komentowania dla tego artykułu została wyłączona.

Zobacz:

Poprzedni news: Dziura w Allegro nadal jest!

Następny news: D.O. (bit_studio) o Systemie Promocji Sprzedaży.

Partnerzy:

RSS | RSS komentarzy | Kontakt | O stronie | Polityka prywatności