Aukcje.org

• # Pseudo — 17/3/2006 @ 17:58:

  W kiermaszu.pl to jest niestety jeszcze ta sama dziura ktora byla w allegrokiedys ktora pozwolila na zmiane strony o mnie admina MP.

  A polega ona na odczycie cisteczka sesji przez JS :)
  Jest jeszcze kilka innych dziurek :)

  Ale ktory serwis ich nie ma :)

• # Jacek Z. Strzembkowski — 17/3/2006 @ 18:28:

  No własnie… wychodzi mi na to, że prawie żaden. Nie dziwię się małym serwisom - ale sprawa dotyczy największych.

  To chyba nie będzie spokojny weekend.

• # Jacek Z. Strzembkowski — 17/3/2006 @ 18:47:

  allegro chyba coś zmienia na stronie starej kafejki… ale to niestety nie wystarczy, bo to tylko jedno miejsce. W eBay ani swistaku nie ma takiej funkcji.. a dziura jest.

• # Jacek Z. Strzembkowski — 17/3/2006 @ 18:59:

  tak… coś się zmieniłno … widzę, że Gregban zainteresował się sprawą i testuje wytrzymałość administracji na JavaScript…

  Podpowiem Poznaniakom (drugi raz tego samego dnia… ale niech mają chłopaki)… problem nie tkwi w JavaScript…

• # snw — 19/3/2006 @ 22:26:

  Strach się bać, a mam takie pytanie ta luka jest tak groźna że ktoś może przejąć moje konto z allegro?

• # Jacek Z. Strzembkowski — 20/3/2006 @ 9:17:

  Niestety tak.

• # snw — 20/3/2006 @ 11:21:

  To jak się przed tym zabezpieczyć? czego nie należy robić? czy może to jest nie zależne kompletnie odemnie?

• # Pseudo — 20/3/2006 @ 19:02:

  OT: czemu nie ma zadnego newsa o nowym ebay.pl i zwiekszajacej sie jak narazie ilosci aukcji dzieki http://importeraukcji.breko.pl ?

  [link]

• # BankierWirtualny — 21/3/2006 @ 2:55:

  Jacek, jak małe dziecko piszesz, słowo daję.

  „Podpowiem Poznaniakom (drugi raz tego samego dnia… ale niech mają chłopaki)… problem nie tkwi w JavaScript… ”

  I na co Ty liczysz? Przecie po drugiej stronie (czyli w tym durnym Alegroo) nie ma informatyków. To banda nieuków i idiotów, którzy nawet nie potrafią CZYTAĆ a co dopiero PROGRAMOWAĆ. JavaScript? Pewnie wzięli ksiażkę do JAVA :D Podobnie brzmi, nie?

  Niniejszym pozdrawiam ekipę imbecyli z Alegroo życząc wesołych świąt i mnóstwa problemów z włamami. Skoro Jacek pisze wprost, ze dziura jest, to znaczy, że jest. Jeśli zaś nie wie ćwok z Alegroo o czym mowa to pług mu w dupę. Pewnie tak się będzie czuł chłopina lepiej.

  Co do spawy z usunięciem usera, króry wskazał ostatnio dziurę w Allegro.
  Sprawa jest trywilna. Regulamin mówi wyraźnie:

  14.3. Allegro zastrzega sobie prawo do zawieszenia konta Użytkownika, którego działania zostaną uznane za szkodliwe dla Allegro.

  Czyż działania tego usera nie wpłyneły negatywnie na wizerunek Allegro? Logika u debila z obsługi Alegroo jest prosta „0-1″, „Rozumiem-nie rozumiem”, „kasuję-zostawiam”, „nie myslę-kompletnie nie myslę” itd…

  No i dalej:

  15.1. Towary lub usługi oferowane w ramach aukcji wystawiane są na sprzedaż przez Użytkowników. Allegro nie jest stroną w tych aukcjach i użycza jedynie technicznych środków potrzebnych do przeprowadzenia aukcji.

  No cóż… co ma Allegro do dziury w serisie? Jak sami piszą, „udzielają tylko środków”. Nie ma nic o bezpieczeństwie kont, dołożeniu wszelkich starań odnośnie zabezpieczeń. Nie ma nawet adresu e-mail, gdzie można zgłosić cokolwiek. Są nie działające (czasem) formularze, które są czytane wtedy, gdy ktoś albo wytrzeźwieje albo sie obudzi oraz skończonai kretynka odbierająca telefony (jesli ktoś numer do nich zna).

  Czego my, ludzie ich utrzymujący, wymagamy?Cieszmy się, że nasze konta nie są zawieszane 3 x w tygodniu bo admin zamiast pracować popycha panienkę z jakiegoś Zespołu (rockowego?) na komputerze od zawieszania kont.

  I tak, moim zdaniem, to się kręci.

  SeeYou :))

• # Anonim — 21/3/2006 @ 9:34:

  To że ktoś napisze że nie odpowiada nie oznacza że tak jest. Akurat operator systemu informatycznego odpowiada w sposób określony przynajmniej dwiema ustawami. O świadczeniu usl. drog. elektr. i o ochronie danych osobowych.

• # jedynka — 21/3/2006 @ 13:53:

  Hej, czy coś się dzieje w sprawie? Kiesdy poznamy więcej szczegółów?

• # BankierWirtualny — 21/3/2006 @ 23:26:

  @Anonim, to , że wiesz, ze takie ustawy istnieją nie oznacza, że „operator systemu informatycznego” jest nimi związany. Z polskiego na Twoje: program komputerowy obsługujący lokalnie u rolnika w serwerowni produkcję buraków nie podlega ani pod jedną ani pod drugą ustawę a jest to, jakby nie było, „system informatyczny”.

  Przemyśl następnym razem co piszesz bo piszesz głupoty.

  SeeYou :))

• # BankierWirtualny — 22/3/2006 @ 4:11:

  No, nastała chwila prawdy.

  Mnie zajęło 10 minut odkrycie dziury w Allegro bo juz mnie ta sprawa nieco zurytowała.

  Nie jest potrzebna super wiedza informatyczna. Można to zrobić standardowymi narzędziami, do których KAŻDY ma dostęp. Wystarczą google (żeby wiedzieć co i jak gdy człowiek się zaplącze w swych rozmyslaniach), trochę pomysłowości i małe doświadczenie. Nic więcej.

  Na obecną chwile uważam, że można przejmować kontrole nad co najmniej kilkoma % kont. Dlaczego kilka procent? Jacek wie :)

  Dziwię się, że Allegro jeszcze tego nie poprawiło. I nie poprawi. Mechanika jest prosta natomiast usunięcie dziury szalenie kosztowne. Praktycznie na obecną chwilę niemożliwe.

  SeeYou :))

• # Monter — 22/3/2006 @ 9:20:

  Ja nie rozumiem o co tyle hałasu. Obiektywnie rzecz biorąc: powiedzcie im ile chcecie kasy za to co udało Wam się znaleźć, albo zróbcie to za darmo, zamiast mielić jęzorem. No chyba, że miast położyć swoją cegiełkę w temacie bezpieczeństwa systemów z których korzysta wielu rodaków, wolicie rozgłos i sławę? Czegoś tu po prostu nie rozumiem. To chyba cecha narodowa Polaków - wiedząc coś nie robić nic, tylko czekać aż się samo rozpieprzy - a potem następuje faza narzekania…

• # Jacek Z. Strzembkowski — 22/3/2006 @ 9:43:

  @Monter

  „Pośpiech jest wskazany przy łapaniu pcheł”.
  Na razie rozważam i konsultuję różne scenariusze tego jak i komu przekazać informację.

• # Monter — 22/3/2006 @ 11:34:

  OK, Zgoda. Ale na pewno nie upubliczniać, bo wtedy znajdzie się rzesza ludzi którzy będą to chcieli wykorzystać, oczywiście NIE w szczytnym celu.
  Pozdrawiam.

• # Jacek Z. Strzembkowski — 22/3/2006 @ 11:47:

  Administracja dosyć szybko potrafi łatać dziury. W piątek wycięto prawie cały JavaScript ze starej kafejki - w kilka minut. Problem w tym, że jak na razie zmiany są wprowadzane tylko w sytuacji, kiedy serwis jest przyparty do ściany. Poza tym - sprawa nie dotyczy tylko serwisu poznańskiego.

• # BankierWirtualny — 22/3/2006 @ 22:32:

  hehe
  ale to nie o JavaScript chodzi.

  Blądzą po omacku, jełopy…

  SeeYou :))

• # BankierWirtualny — 22/3/2006 @ 22:51:

  @Monter
  albo jesteś taki tępy jak admini alegroo albo udajesz takiego burola.

  Jak to „Po co?”. Ano po to, żeby pokazać ludziom jak to wygląda naprawdę.

  Kiedys mieliśmy przykład dość jaskrawy - user allegro wskazał dokładnie co i jak z odkryta dziurą i… wywalili mu konto. No to niech teraz się sami męczą.

  Trzeba szanować ludzi , którzy utrzymują ich ciężkie i leniwe dupy a nie popychać panią G[wymoderowano] na stole z danymi osobowymi userów.

  Kumasz?

  SeeYou :))

  [od administratora] - Proszę o zmianę słownictwa w wyrażanych opiniach oraz powstrzymanie się od obrażania czytelnków i nie-czytelników serwisu.

• # Monter — 23/3/2006 @ 10:18:

  Jak masz problem to polecam wizytę u specjalistów - ja Ciebie nie obrażałem, kimkolwiek jesteś, więc zejdż ze mnie i nie obrażaj mnie. Róznice poglądów można wyrażać o wiele kulturalniej niż to, co prezentuje styl Twojego pisania. No ale masz prawo tego nie wiedzieć :)
  Pozdrawiam.
  P.S. Coś słaba tu moderacja

Napisz komentarz:

Opcja komentowania dla tego artykułu została wyłączona.

• Ceneo.pl - serwis porównujący ceny tego samego produktu w wielu sklepach internetowych
• Sprzęt foto-video i TV: e-cyfrowe
• Hewlett-Packard - Największy wybór sprzętu komputerowego
• Uczelnie.org - wyszukiwarka uczelni
• Świat Książki

Partnerzy: