Bezpieczeństwo-kolejna wpadka, tym razem dużo większa.
Kolejny raz bezpieczeństwo Waszych danych osobowych stoi pod wielkim znakiem zapytania. Jak doniósł Adam Kuśmierz (www.kusmierz.be) na stronie nadchodzi4.com znajduje się błąd umożliwiający zalogowanie się na dowolne konto użytkownika z portalu. Z wiadomych względów nie mogę ujawnić szczegółów. Problem został zgłoszony p4. Więcej na screenach niżej:
edit:// Godzina ~20.46 możliwość logowania na stronę została zablokowana, pojawia się błąd 503 informujący o braku dostępu do danej strony.
edit2:// W okolicach godziny 0:49 p4 rozesłało wszystkim zarejestrowanym na portalu nadchodzi4.com maile z treścią:
"Witaj,
ze względu na bezpieczeństwo Twojego konta na www.nadchodzi4.com
w następnym e-mailu otrzymasz nowe hasło. Poprzednie jest już nieaktywne.
Login pozostaje bez zmiany - to Twój adres e-mail.
Pozdrawiamy,
Nadchodzi4"
edit3:// Godzina ~13:28. Użytkownicy otrzymują smsy z numeru 6670 o treści:
"Witaj, nastapila zmiana hasla. Sprawdz e-mail. Pozdrawiamy Nadchodzi4."
edit4:// Godzina 14:09. O problemie pisze portal hack.pl >> link
Hehe filmik pierwsza klasa 🙂
I po co tu marudzic.
Jak nie ma dostepu do strony to wezcie sie za nagrywanie filmikow 😀
Zuza ma racje! albo pobawcie sie w ZLANGO a jak nie to zadzwoncie do babci 🙂
Ja również zgadzam sie z tym , że faza testów to chyba jasno określone pjęcie o którym każdy chyba rozsądnie myślący człowiek wie z czym się wiąże.A umowa była własnie po to,żeby nikt nie oburzał się w takiej sytuacji . Zresztą zgadzam się także ze stwierdzeniem , ze kazdy z nas miał wplyw na bezposrednio umieszczane na naszych portalowych kontach dane i naprawde nie musial sie tam spowiadac ze wszystkiego wlacznie z numerem pesel.Chyba,ze chcial….
A… Zapomniałabym o filmiku ; jest naprawde pomysłowy :))
No i zmobilizował mnie do rozpoczęcia swojej fazy testow telefonu w ktorej na pierwszy ogien pojdzie filmowanie 😛
przeciwnie kolarz, spodziewali się, że portal będzie testowany, każdy uzytkownik jest do tego zaproszony poodbnie jak do korzystania z telefonu. A cały incydent to wypadek przy pracy, i mysle, że ze wzgledu na krótki czas istnienia i mozliwosc darmowych rozmow mozna go jaknajbardziej wybaczyc
z tego, co udało mi się dowiedzieć, dzień przed moim dołączeniem do społeczności został wykryty błąd, pozwalający na edycję notek każdego usera (a była to pierwsza rzecz, która probowałem zrobić 😉
Teraz widzę, że kolejne błędy XSS są odkrywane. Niestety dostęp do portalu mam zablokowany od piątku (próbuję odzyskać hasło). Tutaj jest więcej: http://ludzie.nadchodzi4.com/blog/260/P4+Security+Tracking.html
Jak to w okresie testów, wypadki sie zdarzają, trzeba mieć nadzieję, że będzie lepiej, a swoją drogą prawa Marphiego działają w pełnej rozciągłości 😉
błedy nigdy nie są dobre i na pewno odpowiedzialni za to nie skaczą z radości 🙂 ale kompletnie mnie to nie przejmuję – stronka jest naprawdę zrobiona w świetny sposób a błedy przy testach, które się dopiero zaczeły nie powinny przerażać – jak już wszystko ruszy “na dobre” to na pewno żadnych wpadek nie będzie
pozdrawiam wszystkich P4’o – wiczów :D:D
Nie działa większość pod Operą. Kod XHTML fatalny. Js jeszcze gorszy. Gdzie ona jest świetnie zrobiona? To, że używa 3 efektów na krzyż z aculo’s prototype, nie znaczy, że jest świetnie zrobiona
Nie bardzo rozumiem dlaczego piszesz że kolejny raz bezpieczeństwo danych stoi pod znakiem zapytania. Poza tym te dane dostępne w profilu to raptem email, nick i telefon p4 – dane z których znajomości nikt nie wyciągnie żadnych korzyści. Błędy na portalu mogą się zdarzać i jest to absulotnie zrozumiałe. Przecież to testy, a skoro wyjaśniło się że błąd występuje to z pewnością zostanie usunięty. Myślę że określanie tego mianem wycieku danych osobowych powoduje błędne rozumienie tego przez część ludzi i wydaje mi się że robisz wielką sprawę z drobnego błędu.
Jak dla mnie to jest to bardzo duzy blad. Twoj adres e-mail czy tez numer telefonu nie sa Twoimi danymi osobowymi ?? Tak samo jak i imie i nazwisko i reszta danych ?? Do tego mozliwosc podszycia sie pod danego uzytkownika i zepsucia mu opini ?? wg. mnie jest to duzy blad i nie zmienie swojego zdania
A jaki błąd uważasz za większy? Widziałeś te śmieszcze czerwone formularze na blogach w sobotę? Zawieszenie przeglądarki to też mało? Do tego blogi same się “zarażały”. Mogłem w ciągu jednego dnia pokasować wszystko im. To też “mały błąd”?
A Ty dalej swoje ddluk. Szanuje Twoje zdanie mów i pisz co chcesz, ale jak widzisz większość tutaj wypowiadających się, nie ma jakiegoś wielkiego żalu z tego powodu! Jak Ci jest bardzo źle i boisz się, że wszyscy wszystko będą wiedzieli o Tobie zamknij się w 4 ścianach i problem z głowy!Zgadzam się z Titlo, że dane podane na portalu nic nie dadzą, komuś kto niby może wyciągnąć z niego korzyści!Za bardzo to przeżywasz, co nie ma sensu.
ja bym z tego nie robil wielkiej afery. w koncu to tylko testy. przypomne tylko ze calkiem niedawno problemy i to o duzo wieksze mialo allegro, mbank czy orange. a sa to firmy dosc dlugo dzialajace na rynku, majace b. duzo uzytkownikow. i co? przeprosili, naprawil bledy i sprawa ucichla a tutaj widzd ze od razu wielka afera powstala. przypomnijmy sobie wszyscy ze mamy do czynienia z portalem w fazie testow, administrowanym prźez firme ktora oficjalnie jeszcze nie wystartowala… takie bledy musialy wystapic i nie jest to nic nadzwyczajnego
troche smieszna opcja. przeciez to jest logiczne ze cos musi sie posypac dlatego sa to TESTY
dziwi mnie opcja ze ludzie z tego powodu rezygnuja z bycia testerami bo p4 nie dba o bezpieczenstwo jakas glupota.
poza tym portal jest w fazie testow !
dobra, a czy podostawaliście już te maile z nowym hasłem??? bo ja, jak narazie NIE :/
mail ani numer telfonu same z siebei nie są danymi osobowymi wg ustawy danymi jest to co pozwoli cię jednoznacznie zidentyfikować a po mailu czy telefonie nie da się tego zrobić…
przykład – 500123456 wiesz kto jest pod tym numerem? czy podałem dane osobowe? A jeśli osoba z tym nr ma tez maila xxxrrrttt@wwweeererr.pl
???
Owszem uważam ten błąd za poważny ale nie ma co panikować – nie pierwszy nie ostatni…
co do stronki nadchodzi p4 mi się podoba ma kilka błędów ale z całym szacunkiem mi nie przeszkadza że nie chodzi pod operą…może warto zmienić przeglądarke? nie tylko ta nie chodzi pod operą…co nie znaczy że opera jest zła…to tak jak z windą – jest niby okropna i wogole a i tak ludzie z niej korzystaja i im odpowiada…
Opinie użytkowników znaczą dla mnie więcej niż opinie specjalistów – tworzenie portalu jest dla użytkowników a nie dla speców od www więc dajcie se na luz…
Jednocześnie chcę podziekować za znalezienie tego błędu teraz póki są to testy bo poźniej to mogłoby być nieprzyjemne…
Reasumując prawda jest pomiędzy dwoma stronami sporu ale to tylko moje zdanie ….
ja też cierpliwie czekam,a w międzyczasie kręcę filmiki z drużyną:
http://www.youtube.com/watch?v=mk-W5tGkunw
🙂
artbee:
wiesz, powiem tak, tylko się nie obraź: nie znasz się. FF jest przereklamowany, nie obsługuje wielu rzeczy i ma skopany silnik renderujący. I ja Ci mogę udowodnić przewagę Presto nad tym dziwnym tworem ff w wielu miejscach. Tylko, że jak się pisze nieumiejętnie strony, to działają tam, gdzie się chce. Innymi słowy: Czy jak strona działa tylko pod IE, tzn. że czas zmienić przeglądarkę na IE?
Sorry, ale nosi mnie, jak słyszę takie opinie. Wkurwia mnie, gdy ludzie, którzy notabene swoją opinię tworzą na podstawie kampanii reklamowej, próbują pokazać przewagę ff nad innymi Przeglądarkami. ‘Safari rulez’.
fak i fakt, strona nie działa prawidłowo pod opere i jest to problem,
ale faktem jest też, że 90% ludności ma IE i nie robi to im wielkiego problemu uruchomienie strony w IE jeśli w innej nie działa.
jest to irytujące ale nie tylko nadchodzi4 ma taki problem.
trzeba czasu żeby ludzie zrozumieli, że nie tylko IE jest na świecie, a na razie trzeba sobie radzić http://www.youtube.com/watch?v=yr2XVTxNgzQ
pzdr from Magic
ja juz sie nie wbede wypowiadal na ten temat, bo cokolwiek powiem to wszyscy mnie krytykuja. Zaglada tu kilka osob z p4 i ja dobrze o tym wiem, i bedziecie bronic wizerunku swojej firmy. Jednak chcialbym zauwazyc, iz tamte firmy przeprosily za to co sie stalo, a ja nie widze jak dotad oficjalne stanowiska p4 w sprawie tych bledow. Naprawili to swoje ale przeprosic tez by sie przydalo.
Ale za co przepraszac??? To tylko test. Zreszta poinformowali ze byly bledy i sa naprawione juz.
korzystam z mozilli. Opera jest przeglądarką niszową(ma znacznie poniżej 10% udziałów w rynku) – fakt nie znam się – wcale tego nie ukrywałem… chodziło mi o to że moim zdaniem dopóki ludziom się podoba to jest ok. Co do tego co jest dobre to decyzja nie należy do speców… ale do tej ciemnej masy użytkowników – jeśli ktoś uzna coś za dobre to jest dobre na tym polega ocena która zawsze jest subiektywna…nawet profesjonalistów więc sorry…
Czy taki kod:
if(s == 1) s = 1;
uważasz za dobry?! To jeden z licznych kwiatków.
Co się ma podobać? Wygląd? To robił grafik. Te wszystkie efekty js? To też nie ich jest. Wszystko z gotowców robili prawie. A to, co pisali sami, spieprzyli.
FF też jest przeglądarka niszową. I co z tego?! To mam korzystać z IE, bo z niej większość korzysta? Głupoty gadasz.
FF ma udział w pl koło 15-30% w zależności od badań więc tak niszowa juz nie jest. Co do tego co pisałem – nie miało na celu podważenie twojej wiedzy – bo moja się nie umywa. Ja nie oceniam kodu(Ty tak) tylko stronkę…ma sporo błędów ale sukcesywnie je uzupełniają. Jak dużo osób napisało to wersja Beta – więc trzeba liczyć się z błędami. A co do tego czy jezeli większośc używa IE to czy my też powinniśmy? I tak i nie… To z czego korzysta większość jest standardem. Tak jak ITIL, SLA, TCO, wiesz co to(związane z informatyką wykorzystywaną w biznesie a nie u Staszka w garażu, co nie oznacza że osoba – która nie wie co to dokładnie jest nie może być najlepszym web developerem na świecie…)? Jeśli tak to super czapka z głowy… ja się przyznaję że nie wiem czy ten kawałek kodu jest ok marny, czy to nawet w ogóle kod…
Ja zajmuję(a raczej zajmuję do końca lutego) się oceną finalną informatyki(zawodowo)właśnie od strony biznesowej…
Wiem to zupełnie inna broszka i jeśli będziesz kiedyś pracował w dużej firmie jako informatyk to będziesz nienawidził takich ludzi…(są w niej 2 grupy jedna zajmuje się od strony technicznej)a druga w tym ja przygotowuje wymagania, ocenia z wykonania tych wymagań itd(tu działam ja)mam nadzieję że jakoś dojdziesz o co w tym wywodzie chodziło – niestety dość długo nie spałem i literki i myśli mi się plączą(PS za ten błąd który znalazłeś powinny i może poleciały głowy z działu IT firmy która przygotowywała tą stronę…
Pozdr i wyrazy uszanowania(mało kto z użytkowników P4 ma na tyle dużą wiedzę aby wyłapać takie błędy) 🙂
[…] W piątek w notce “Bezpieczeństwo-kolejna wpadka, tym razem dużo większa.” pisałem o błędach w portalu nadchodzi4.com. W dniu dzisiejszym dostałem oficjalne stanowisko firmy p4 w tej sprawie. Oto i one: […]
Halo Halo:)
Panowie i Panie, był błąd ? Był. Naprawili?naprawili? Przeproszą? Nie wiem,ale mam super telefon i gadam ile chce wiec moge im to wybaczyć:) Podam Wam linka do filmiku zrobionego przez mojego znajomego, pewnie zaraz ddluk napisze że dajemy darmową reklamę, ale nawet nie wiesz stray ile radchoy daje nakręcenie takiegi filmiku:)
Pozdrawiam P4wiczów
LinK:
http://www.youtube.com/watch?v=tDQyizgelLk
a mi nie przeszkadza jakas tam reklama 😛 to jest tylko link do filmiku i nic wiecej 🙂 a zreszta juz kiedys byl w jakims komentarzu 😉