Aukcje.org
Aukcje internetowe w Polsce i na świecie
D.O. (bit_studio) o Systemie Promocji Sprzedaży.
Pod artykułem na temat ograniczeń Luki w Allegro pojawił się komentarz autora Systemu Promocji Sprzedaży. Jako niezwykle istotny dla aukcjonerów - przenoszę go do newsa.
Sporo sie tu pisze o SPS wiec pozwalam sobie zabrac glos w kilku sprawach.
Po pierwsze, sprawa zabezpieczen w Allegro caly czas rozbija sie o mozliwosc odczytu danych sesyjnych. Wszystko sprowadza sie glownie do mozliwosci dolaczania do tresci opisu aukcji lub strony „O mnie” polecenia odczytu ciastek z klienta www (przegladarki kazdego uzytkownika), dalej do przeslania tych danych do zdalnego hosta. Przy obecnej konstrukcji serwisu mozna to robic w sposob calkowicie niewidoczny dla potencjalnej ofiary. Metoda ta nie jest jakos specjalnie wyrafinowana, ale z wiadomych powodow nie podam tutaj szczegolow.
Stawiam pytanie:
Dlaczego tak duzy serwis jak Allego zabiera sie za to dopiero teraz ?
Po drugie, planowane ograniczenia dla opisow aukcji i stron „O mnie” to klasyczne „wylewanie dziecka z kapiela”. Przyznaje, ze dosc trudno jest napisac w 100% skuteczne filtry na potencjalnie niebezpieczne elementy skryptow JS (dla zewnetrznych skryptow jest to nawet niemozliwe). Jednak nie jest to niewykonalne (patrz: eBay.com), nie jest tez prawda, ze konieczne jest przy okazji wyrzucenie wszystkich animacji Flash. Napisze wiecej, duzo prostszym zabiegiem bylo by przeniesienie wszystkich dokumentow niejawnych do odrebnej lokalizacji - wtedy problem odczytu danych sesyjnych w ogole znika:
Po trzecie, poruszona sprawa obciazenia serwerow poprzez zewnetrzne aplikacje mogla by byc (chociaz oficjalnie nie jest) kolejnym pretekstem do wprowadzenia tak drastycznych zmian. Moglbym tu napisac naprawde dluga historie o tym jak to sie „milo” wspolpracuje z zespolem Allegro. Wspomne tylko, ze wielokrotnie informowalem szanowny zespol A. o mozliowsci powstania efektu „lawinowego”, w efekcie „zatykania sie” serwisu. O co tutaj chodzi ? Oficjalna zgoda na funkcjonowanie SPS w Allegro zawierala bardzo szczegolowe zasady, ktore glownie dotyczyly spelnienia okreslonych warunkow technicznych. Chodzilo miedzy innymi o mozliwosc wykonania jednej kopii zdjecia z opisu aukcji oraz mozliwie „nieinwazyjne” aktualizowanie danych o ofertach sprzedawcy. Wszystko zostalo dograne i zaakceptowane, jednak po kilku miesiacach zaczely pojawiac sie „pseudopanele”. I tu zaczely sie schody. Nagle bowiem okazalo sie, ze mozna do woli ciagnac gigabajty danych (w postaci miniatur lub skalowanych oryginalow(!) zdjec) z serwerow Allegro bez zadnych konsekwencji (dla autora/wlasciciela zdalnego skryptu). Czyli to co bylo wymogiem dla SPS poszlo w zapomnienie ..? Co ciekawe, jeszcze kilka miesiecy wstecz zespol A. nie widzial nadal zadnego problemu z obciazeniem serwerow, chociaz rozpowszechnienie sie skryptow (czesto sprzedawanych dozywotnio(sic!) za 1,00 zl) bylo naprawde znaczne. Jakie stanowisko w sprawie maja obecnie ?? Nie wiem, przestali odpowiadac na mail’e …
p.s.
Zeby nie wyszlo jakos „pogrzebowo” - SPS ma sie dobrze i niezaleznie od sytuacji po 4.XI nie zostawi swoich klientow „na lodzie” -;)
Serdecznie dziękuję za ważny głos w dyskusji i komunikat dla aukcjonerów używających Systemu Promocji Sprzedaży.
Zobacz:
Poprzedni news: Luka w Allegro cd..
Następny news: Aukcje24.pl - Wilq na aukcji!
Partnerzy:
RSS | RSS komentarzy | Kontakt | O stronie | Polityka prywatności
Copyright © Jacek Z. Strzembkowski - wszelkie prawa zastrzeżone
# ForU — 24/10/2004 @ 23:50:
http://archiwizator.info/o15452.php ;-)
# Anonim — 26/10/2004 @ 21:29:
duzo prostszym zabiegiem bylo by przeniesienie wszystkich dokumentow niejawnych do odrebnej lokalizacji - wtedy problem odczytu danych sesyjnych w ogole znika
IMHO nie do końca tak.
Dane niejawne w sesji są konieczne także do złożenia oferty zakupu w aukcji. Więc strona opisu aukcji po zalogowaniu staje się.. „niejawną”
Dane sesji użytkownika na stronach aukcji i na stronach ustawień są identyczne (przecież jest to to samo haslo i login). Dlatego samo zahasłowanie dostępu do ustawień nic nie dało i dziura była nadal (i jest).
Tym samym: można powiedzieć, że dodatkowe logowanie było bezsensowym zabezpieczeniem. Ono nic nie wnosiło. Jeśli ktoś znał login i hasło ofiary - to co za problem wpisać je dwa razy zamiast raz?
Widzę inne rozwiązanie problemu: dane sesji przed wpisaniem do cookie można zakodować. Jeśli ktoś nawet przejmie dane z sesji - dostanie je w postaci zakodowanej - czyli będą one bezużyteczne.
W ten sposób swobodnie można pozwolić użytkownikom na czytanie cookie (w JavaScript czy przez komponenty Flash, activeX itd..) Najwyżej odczytają oni zakodowane hasło.
I to jest poprawne rozwiązanie problemu „dziury” allegro.
BTW. jest jeszcze jedna dziura (cookie): w części serwisu, o której administracja wydaje się zapomniała.
# D.O. (bit_studio) — 27/10/2004 @ 0:43:
Dane niejawne w sesji są konieczne także do złożenia oferty zakupu w aukcji. Więc strona opisu aukcji po zalogowaniu staje się.. „niejawną”
Anonimie, nie rozumiesz do konca mojej koncepcji …
Odrebnej lokalizacji (w sensie fizycznego lub wirtualnego katalogu) wymagaly by nie tylko dokumenty z „Moje Allegro”, rowniez te, ktore umozliwiaja kazda inna akcje (skladanie ofert, wysylanie e-mail’i itd.). Bledem jest wlasnie to, ze ciastka sesji sa propagowane w przypadku zwyklego przegladania aukcji (strony"O mnie"). Ja rozumiem, ze dzieki takiemu rozwiazaniu realizowane sa miedzy innymi takie rzeczy jak mozliwosc wylogowania sie w kazdym miejscu serwisu ("wyloguj"). Jednak stawiam teze, iz duzo prostsza i mniej czasochlonna operacja (od napisania tych filtrow HTML) bylo by przeadresowanie koniecznych odnosnikow i wyseparownie wszystkich skryptow php zawierajacych akcje w odrebnym katalogu. Ciastka sesji przypisujemy do tejze lokalizacji i przegladarka zwroci je wylacznie w sytuacji koniecznej do identyfikacji zalogowanego uzytkownika.
# D.O. (bit_studio) — 27/10/2004 @ 0:47:
[…] Najwyżej odczytają oni zakodowane hasło.
p.s.
Haslo nigdy nie jest propagowane w cookies !
# Anonim — 27/10/2004 @ 9:47:
Odrebnej lokalizacji (w sensie fizycznego lub wirtualnego katalogu) wymagaly by nie tylko dokumenty z „Moje Allegro”, rowniez te, ktore umozliwiaja kazda inna akcje (skladanie ofert, wysylanie e-mail’i itd.)
Jako konsekwencja należałoby zmienić całą strukturę serwisu - położenie wszystkich plików skryptów. Zauważ jak wielu mechanizmów dotknęłaby zmiana: chodzi także położenie pliku wyświetlającego aukcję.
[…] Najwyżej odczytają oni zakodowane hasło.
p.s.
Haslo nigdy nie jest propagowane w cookies !
Mój błąd. Chodziło o kodowanie danych sesji - a nie samego hasła.
Wydaje mi się że jedną i drugą metodą to można zrobić. Najszybciej sprawe załatwia zakaz JavaScript i Flash - ale jednocześnie użytkownicy najwięcej tracą na tej metodzie.
Zostało jeszcze jedno miejsce gdzie swobodnie można wpisać w kod strony JavaScript.
# Freetime — 31/10/2004 @ 0:36:
http://www.allegro.pl/phorum/read.php?f=258&i=603959&v=&t=603959
BTW: W ciekawy sposób wybrnąłeś z kłopotów - osobiście podoba mi się to rozwiązanie.
# D.O. (bit_studio) — 31/10/2004 @ 1:13:
Dziekuje za „trzymanie reki na pulsie” -;)
p.s.
Piszesz o Galerii SPS ? To nie jest przeciez cos nowego. Nowy jest wylacznie sposob jej wywolania (no i panel dla opisow). Calkowicie nowym rozwiazaniem bedzie dopiero panel ofert. Ale to jeszcze kilka dni (i nocy) -;)
# Freetime — 31/10/2004 @ 12:19:
Myślałeś może o generowaniu GIFa lub JPGa z galerią?
Czy mi się zdaje, czy allegro chce wprowadzić w najbliższym czasie własny system paneli? W trakcie AP?
I jeszcze przypomnę tylko:
http://www.allegro.pl/phorum/read.php?f=258&i=264115&t=264115
„Byłem świadkiem powstania, potem przejścia na komercję i towarzyszącemu wczesnemu stadium degrengolady adminów, a w finale - przejścia na zupełnie mechaniczne i bezduszne traktowanie użytkowników serwisu jak worka ziemniaków czekających na obranie. Z pieniędzy, pomysłów, godności, potulnie stłoczonych w równym rządku do krojenia przez wiecznie znajdujących usprawiedliwienie łachmytów.”
Jak się czuje ktoś, kogo właśnie okradziono z fajnego pomysłu? Podziwiam, że nie opady Ci ręce. Mnie opadły, kiedy wymydlono mnie z pomysłu skrótów z Gorących Godzin (mała strata - to było dosyć pracochłonne dla mnie, więc może lepiej, że teraz robią to sami admini. Bardziej chodzi mi o formę „przejęcia” tego pomysłu) a następnie z projektu FAQ tworzonego na podstawie pytań użytkowników (także mam korespondencję z serwisem w tej sprawie). Bez słowa „dziękuję” ani „spierdalaj”. Był fajny pomysł - więc go wdrożono.
Napisz komentarz:
Opcja komentowania dla tego artykułu została wyłączona.