» »

Transparentna Slovenija #5: Spletni trgovini s spolnimi pripomočki razkrili svoje kupce

1 2
3
»

DePalmo ::

Saul Goodman je izjavil:

haha. janez, ki je naročil spletno stran je rekel "budget je 300e" in potem izbiral izvajalca. vsi pametni so šli stran, privoščil si je lahko le študenta. ta mu je stran postavil in pokazal kako se ureja, ker Janez ni nor, da bi podpisoval vzdrževalno pogodbo in vsak mesec plačeval nekomu, da mu stran vzdržuje. nekoga v firmi bodo "priučili" dodajanja artiklov in to je to za ta dnar. ponavadi ima naročnik nekje že en zahojen hosting, kamor mu je študent butnil spletno stran, pobasal 300e in predal zadevo v upravljanje. večina spletnih strani pa je danes "živ organizem". non-stop posodobitve, popravki, trubleshooting, seo drkarije, security hardening.

dejstvo je, da varnost STANE. wordpress hardening stane. in naročniki tega _NOČEJO_ plačevati, ker je drago in ker menijo, da je to nepotreben strošek. zato se vzdrževanja lotijo sami in na strani počnejo kar hočejo. takrat se ponavadi začnejo bedarije.

za varnost podatkov odgovarja naročnik. če ugotovijo, da je bil za šalamastiko kriv izvajalec, pa bodo to urejali na relaciji naročnik - izvajalec in pristojno sodišče, ki bo rešilo njun spor.

In si ravnokar omenil naslednji nateg ki ga tako radi prodajajo izvajalci, vzdrževalna pogodba. Če je narejeno kot je treba, kaj rabiš vzdrževat? Stran se postavi, se jo naredi stabilno in varno in je to to (OK, še onsite SEO, offsite pa nikoli ni bil v moji domeni). Kakšna vzdrževalna pogodba? Ker je bil programer len in je uporabil hroščat WP in mora sedaj stranka še to plačevat? Isto velja za Magento (delam tudi z njim ...), tudi tisti rabi "vzdrževalno pogodbo", med delom pa ugotavljam take cvetke da se včasih za glavo držim. Kar se mene tiče, Magento 2 ni pripravljen za produkcijo ampak je še kar lepo v fazi razvoja. Ampak ker svet vrti denar, so vn vrgli hroščato zadevo in zato včasih dobesedno preživljam dneve da ugotavljam kje je napaka in jo nato tudi odpravim (če lahko, ker se mi Magentota ne da učit v detajle).

Ko sem bil še freelancer, nisem nikoli in nikomur prodal vzdrževalne pogodbe in glej ga zlomka, nihče ni prišel nazaj da so podatki strank ušli javnosti ali pa da je stran ranljiva, pa sem sprogramiral iz nule od preprostih spletnih strani, do trgovin in CRMjev. Bolj žalostno je da imajo zdravstveni domovi (sklepam, nisem preverjal) drage vzdrževalne pogodbe, a strani kljub temu niso delale prav.

Se pa strinjam glede cene. Včasih sem delal projekte za tak denar, danes raje ležim.

St235 ::

poweroff je izjavil:

St235 je izjavil:

V bistvu je kršen. Če so vrata odklenjena te težko obtožijo vloma, ni pa zato nič manj kraja, če kaj odneseš.

S temle se popolnoma strinjam. Zato pa vedno poudarjam, da če je dostopno, a) ne spreminjat podatkov/nastavitev, b) ne brisat in c) ne dodajat ničesar novega.


Pozabil si še, ne dostopat do podatkov, ne te podatke kopirat in niti pod razno ne te podatke objavljat ali kako drugače posredovati tretjim osebam.

poweroff je izjavil:



St235 je izjavil:

Da se pa potem še na forumu hvališ s tem... in to po vseh visoko moralnih izpadih na tem forumu...

Glede na to, da si pravnik, bi pričakoval, da boš razumel osnove informacijskega prava. Kot prvo: KDO je kaj ukradel? In kot drugo, katero kaznivo dejanje naj bi bilo domnevno storjeno?

Pa ne se šparat. Lahko poglobljeno pravno utemeljiš svoj odgovor. Nam bo "laikom" Slo-Techov odvetnik razložil na način, da bomo razumeli.



A sem kje rekel, da si karkoli ukradel? Dal sem ti samo primerjavo. Tako, da podrobnejšo obrazložitev odbiš takoj, ko mi boš razložil zakaj mi slaboumno podtikaš besedno zvezo kaznivo dejanje. Če namreč nisi opazil si ti edini, ki o tem govori.

Mogoče imaš pa samo prekratek domet in je zate kar vsaka kršitev zakon kaznivo dejanje?

SeMiNeSanja je izjavil:

St235 je izjavil:


Da se pa potem še na forumu hvališ s tem... in to po vseh visoko moralnih izpadih na tem forumu...

Mislim, da se vas je v tej temi kar nekaj zvrstilo, ki ste glede moraliziranja bistveno večji svetohlinčki.
Sami brezmadežneži.
Res bi vam rad gledal preko rame, ko bi po nekem naklučju naleteli na informacije, katere 'nočete videti'.

Če nekdo opozarja na faile v varnosti, se gre za popolnoma drugo 'moralo', kakor tisto vašo "mi bi takoooooooooooj zaprli brskalnik!".

Malo morgen bi zaprli. Za nobenega od vas nebi dal roke v ogenj, da nebi naredili kup screenshotov, se pasli po dolgem in počez po podatkih, najbolj sočne še malo skopirali kakšnemu kolegu,.....

Res da imam dve roke.... ampak rabim obe - brez opeklin!


Če imaš ti tako slabo samokontrolo, je povsem normalno, da to projiciraš na vse okrog sebe.

Zgodovina sprememb…

  • spremenil: St235 ()

poweroff ::

St235 je izjavil:

Pozabil si še, ne dostopat do podatkov, ne te podatke kopirat in niti pod razno ne te podatke objavljat ali kako drugače posredovati tretjim osebam.

S tem se ne strinjam.

Oziroma, se delno strinjam. Strinjam se, da si ne smeš dol potegnit cele baze. Menim pa, da je upravičeno in sorazmerno, da narediš nekaj zaslonskih posnetkov, s katerimi lahko dokažeš kršitev oziroma tudi obseg kršitve.

Menim, da imaš ne samo pravico, ampak tudi dolžnost te podatke posredovat tretjim osebam - ustreznim organom. Menim, da imaš pravico dokaze o kršitvah objaviti na anonimiziran način.

St235 je izjavil:

Mogoče imaš pa samo prekratek domet in je zate kar vsaka kršitev zakon kaznivo dejanje?

Razumem... se pravi se strinjava, da kaznivega dejanja ni bilo?

Je bil torej prekršek? Kateri pa?
sudo poweroff

St235 ::

Menim, da imaš ne samo pravico, ampak tudi dolžnost te podatke posredovat tretjim osebam - ustreznim organom. Menim, da imaš pravico dokaze o kršitvah objaviti na anonimiziran način.

ustreznim organom ja, anonimizacija je tudi ok. Hvalisanje po forumih o znanih osebah, ki si jih zasledil (tudi brez objave imen) pa je pač pod nivojem nekoga, ki se svetohlinsko v ostalih temah postavlja s svojimi visokimi moralnimi vrednotami.

Razumem... se pravi se strinjava, da kaznivega dejanja ni bilo?


V zgornji situaciji je mogoče govorit tudi o kaznivem dejanju in sicer 2. odstavek 143. člena KZ. Dokler je zadeva omejena na to, da zadevo po naključju zaznaš in obvestiš pristojne inštitucije ni mogoče govorit o kaznivem dejanju. Ampak vsak korak od tukaj naprej je pa druga zgodba. To, da so bila vrata odprta še ne pomeni, da si pooblaščen za dostop.

Dodatno imaš seveda potem še 221. člen.

pa da se razumeva, sploh ne govorim o tem, da si konkretno ti v tej situaciji dejansko kršil zakon. Se pa je treba zavedat, da šarjenje po podatkih, četudi so tako slabo zaščiteni niti pod razno ni nedolžno.
Tudi, če vidiš hišo z odprtimi vrati in stopiš na hodnik, ter začneš klicat lastnika, da ima odprta vrata, te ne bo nihče obravnaval za kaznivo dejanje. Če pa začneš brskat po hiši je pa povsem druga zgodba.

Zgodovina sprememb…

  • spremenil: St235 ()

poweroff ::

St235 je izjavil:

Hvalisanje po forumih o znanih osebah, ki si jih zasledil (tudi brez objave imen) pa je pač pod nivojem nekoga, ki se svetohlinsko v ostalih temah postavlja s svojimi visokimi moralnimi vrednotami.

Ne vem od kje tebi ideja o hvalisanju. Samo pač povem kakšno je bilo dejansko stanje.

Se mogoče bojiš, da se tudi tvoje ime znajde v kakšni bazi? Brez skrbi, tudi če ga bom kje videl, ne bom tega razglašal naokrog.

St235 je izjavil:

V zgornji situaciji je mogoče govorit tudi o kaznivem dejanju in sicer 2. odstavek 143. člena KZ.


Ti to resno?
143. člen: Zloraba osebnih podatkov

(1) Kdor brez podlage v zakonu ali v osebni privolitvi posameznika, na katerega se osebni podatki nanašajo, osebne podatke, ki se obdelujejo na podlagi zakona ali osebne privolitve posameznika, posreduje v javno objavo ali jih javno objavi, se kaznuje z denarno kaznijo ali zaporom do enega leta.

(2) Enako se kaznuje, kdor vdre ali nepooblaščeno vstopi v računalniško vodeno zbirko podatkov z namenom, da bi sebi ali komu drugemu pridobil kakšen osebni podatek.


Še enkrat: kje je bil tukaj vdor ali nepooblaščeni vstop?

St235 je izjavil:

Dokler je zadeva omejena na to, da zadevo po naključju zaznaš in obvestiš pristojne inštitucije ni mogoče govorit o kaznivem dejanju. Ampak vsak korak od tukaj naprej je pa druga zgodba. To, da so bila vrata odprta še ne pomeni, da si pooblaščen za dostop.

Spet - resno?

Kako pa veš, da to ni nek demo oziroma da ni dostop namerno tako omogočen? Poleg tega tukaj spodbujaš kulturo skrivaštva. Skušaš namreč prodati idejo, da je sicer OK, če zadevo naznaniš ustreznim organom, da se pa potem o tem ne sme več javno govoriti. S tem se ne strinjam. Te zadeve je treba razkrivati, seveda z ustrezno anonimizacijo žrtev.

St235 je izjavil:

Dodatno imaš seveda potem še 221. člen.

Seriously?

221. člen: Napad na informacijski sistem

Pa poglejmo:

(1) Kdor neupravičeno vstopi ali vdre v informacijski sistem ali kdor neupravičeno prestreže podatek ob nejavnem prenosu v informacijski sistem ali iz njega, se kaznuje z zaporom do enega leta.

(2) Kdor podatke v informacijskem sistemu neupravičeno uporabi, spremeni, preslika, prenaša, uniči ali v informacijski sistem neupravičeno vnese kakšen podatek, ovira prenos podatkov ali delovanje informacijskega sistema, se kaznuje za zaporom do dveh let.


Kako veš, da je to neupravičeno? Na netu imaš kup demotov (recimo openhab), kjer so razvijalci postavili "živ" sistem po katerem lahko šariš in ga tako preskusiš. Podatki izgledajo realni, pa sicer niso.

Kako ti veš, da je v konkretnem primeru nekaj neupravičeno?

St235 je izjavil:

Se pa je treba zavedat, da šarjenje po podatkih, četudi so tako slabo zaščiteni niti pod razno ni nedolžno.

S tem se pa povsem strinjam.

Res je hoja proti robu, ampak vsekakor ne čez mejo. Če se pa kdo preveč razburja zaradi tega, je pa to njegov problem. Še posebej, če ima kakšen osebni interes zadaj (da je bil na primer on ta malomarni izvajalec).
sudo poweroff

Izak ::

DePalmo je izjavil:


In si ravnokar omenil naslednji nateg ki ga tako radi prodajajo izvajalci, vzdrževalna pogodba. Če je narejeno kot je treba, kaj rabiš vzdrževat? Stran se postavi, se jo naredi stabilno in varno in je to to (OK, še onsite SEO, offsite pa nikoli ni bil v moji domeni). Kakšna vzdrževalna pogodba? Ker je bil programer len in je uporabil hroščat WP in mora sedaj stranka še to plačevat? Isto velja za Magento (delam tudi z njim ...), tudi tisti rabi "vzdrževalno pogodbo", med delom pa ugotavljam take cvetke da se včasih za glavo držim.

Ko sem bil še freelancer, nisem nikoli in nikomur prodal vzdrževalne pogodbe in glej ga zlomka, nihče ni prišel nazaj da so podatki strank ušli javnosti ali pa da je stran ranljiva, pa sem sprogramiral iz nule od preprostih spletnih strani, do trgovin in CRMjev. Bolj žalostno je da imajo zdravstveni domovi (sklepam, nisem preverjal) drage vzdrževalne pogodbe, a strani kljub temu niso delale prav.


Čudno razmišljanja za programerja. Ravno taki bi se morali zavedati, da je spletna stran (če izvzamemo enostavne html/css strani) živa stvar, ki potrebuje redno vzdrževanje. Sploh če gre za neke CMS-je (wordpress, magento, drupal,..), kateri so stalno na udaru in katere boti stalno preverjajo za exploiti. Kot magento programer redno čistim "pohekane" spletne trgovine, ki niso bile vzdrževane, torej se na njih ni nameščalo varnostnih popravkov. Večina jih ima nameščeno kodo za za prestrezanje vpisanih številk kreditnih kartic, da dostopu do admina niti ne govorim. In to so tako večje (nekaj 10.000k dnevnega prometa), kot manjše spletne trgovine.

St235 ::

poweroff je izjavil:

St235 je izjavil:

Hvalisanje po forumih o znanih osebah, ki si jih zasledil (tudi brez objave imen) pa je pač pod nivojem nekoga, ki se svetohlinsko v ostalih temah postavlja s svojimi visokimi moralnimi vrednotami.

Ne vem od kje tebi ideja o hvalisanju. Samo pač povem kakšno je bilo dejansko stanje.

Se mogoče bojiš, da se tudi tvoje ime znajde v kakšni bazi? Brez skrbi, tudi če ga bom kje videl, ne bom tega razglašal naokrog.

St235 je izjavil:

V zgornji situaciji je mogoče govorit tudi o kaznivem dejanju in sicer 2. odstavek 143. člena KZ.


Ti to resno?
143. člen: Zloraba osebnih podatkov

(1) Kdor brez podlage v zakonu ali v osebni privolitvi posameznika, na katerega se osebni podatki nanašajo, osebne podatke, ki se obdelujejo na podlagi zakona ali osebne privolitve posameznika, posreduje v javno objavo ali jih javno objavi, se kaznuje z denarno kaznijo ali zaporom do enega leta.

(2) Enako se kaznuje, kdor vdre ali nepooblaščeno vstopi v računalniško vodeno zbirko podatkov z namenom, da bi sebi ali komu drugemu pridobil kakšen osebni podatek.


Še enkrat: kje je bil tukaj vdor ali nepooblaščeni vstop?

St235 je izjavil:

Dokler je zadeva omejena na to, da zadevo po naključju zaznaš in obvestiš pristojne inštitucije ni mogoče govorit o kaznivem dejanju. Ampak vsak korak od tukaj naprej je pa druga zgodba. To, da so bila vrata odprta še ne pomeni, da si pooblaščen za dostop.

Spet - resno?

Kako pa veš, da to ni nek demo oziroma da ni dostop namerno tako omogočen? Poleg tega tukaj spodbujaš kulturo skrivaštva. Skušaš namreč prodati idejo, da je sicer OK, če zadevo naznaniš ustreznim organom, da se pa potem o tem ne sme več javno govoriti. S tem se ne strinjam. Te zadeve je treba razkrivati, seveda z ustrezno anonimizacijo žrtev.

St235 je izjavil:

Dodatno imaš seveda potem še 221. člen.

Seriously?

221. člen: Napad na informacijski sistem

Pa poglejmo:

(1) Kdor neupravičeno vstopi ali vdre v informacijski sistem ali kdor neupravičeno prestreže podatek ob nejavnem prenosu v informacijski sistem ali iz njega, se kaznuje z zaporom do enega leta.

(2) Kdor podatke v informacijskem sistemu neupravičeno uporabi, spremeni, preslika, prenaša, uniči ali v informacijski sistem neupravičeno vnese kakšen podatek, ovira prenos podatkov ali delovanje informacijskega sistema, se kaznuje za zaporom do dveh let.


Kako veš, da je to neupravičeno? Na netu imaš kup demotov (recimo openhab), kjer so razvijalci postavili "živ" sistem po katerem lahko šariš in ga tako preskusiš. Podatki izgledajo realni, pa sicer niso.

Kako ti veš, da je v konkretnem primeru nekaj neupravičeno?

St235 je izjavil:

Se pa je treba zavedat, da šarjenje po podatkih, četudi so tako slabo zaščiteni niti pod razno ni nedolžno.

S tem se pa povsem strinjam.

Res je hoja proti robu, ampak vsekakor ne čez mejo. Če se pa kdo preveč razburja zaradi tega, je pa to njegov problem. Še posebej, če ima kakšen osebni interes zadaj (da je bil na primer on ta malomarni izvajalec).


Še enkrat: kje je bil tukaj vdor ali nepooblaščeni vstop?

Tisto sekundo, ko si se zavedel, da si v živi bazi in nimaš pooblastila za odstopanje do osebnih podatkov v njej je bil nepooblaščen dostop. Lahko se delaš neumnega do nezavesti, pa to ne bo spremenilo tega dejstva. Zakaj pa bi potem sploh anonimiziral podatke in kogarkoli o čemerkoli obvešča, če si pa ja v testni bazi, kjer upravljavec želi, da šariš po njej?

To je približno tako idiotski argument, ko če cimru bereš emale, ker je pustil google odprt. Je že hotel, da pogledaš, če ni ugasnil računalnika.

O slaboumnem namigovanju, da naj bi bil sedaj že kar razvijalec spletne strani pa je škoda časa. Glede na blodnje uporabnikov tega foruma imam tako že najmanj 20 služb.

SeMiNeSanja ::

Kam smo prišli.... da Lakotnik drugim soli pamet o morali....

Pri tem pa meša moraliziranje z opozarjanjem na nedopustne tehnične napake.

Če bi na cesti opazil tehnično neizpravno vozilo, ki bi ogrožalo druge udeležence v prometu in o tem obvestil policijo, nebi govoril o 'moraliziranju'.
V primeru informacijske neizpravnosti pa govori o 'moraliziranju'?

Mislim, da bi moral Lakotnik sam malo razmisliti o lastnem moraliziranju in svojem pristopu do etike. Marsikatera njegova izjava namreč nikakor ne gre skozi moj 'detektor etike in morale'. Potem bo pa drugim očital...?

St235 ::

To je predvsem tvoj problem, kakor tudi splošna nepismenost, glede na to kakšne zaključke si potegnil. Če se nekdo ima za "moralnega hackerja" potem naj se pač ne hvali s tem kaj je videl, več kot je potrebno za zagotovitev rešitve problema. Torej prijava pristojnim organom in "public shaming" podjetja z anonimizacijo osebnih podatkov, kot je to v novici. Jeba je ko sam sebi postaviš višje moralne standarde, kot si jih sposoben doseči.

Predvsem pa ni pametno zavajat, da taka ravnanja niso na robu zakonsko sprejemljivega, ker se lahko kdo pošteno nasadi.

Zgodovina sprememb…

  • spremenil: St235 ()

Pika na i ::

Božemili. A se nisi mogel vzdržati in zamolčati, da znana oseba naročuje seks pripomočke? Nisi, kot se večina (ma vsi, kaj večina!) sodelujočih tule, tudi ne bi.
Vsi (z mano vred), bi pa tudi radi vedeli, katera je ta znana oseba. To je človeško, firbčni smo, vsi!
V neki temi (oja, se jo spomnite) ste vsi po luftu letali, ko je nekdo bral, kaj piše v opravljivih mejlih od sodelavcev. (jaja, to zihr ni isto)


Ja, le pejmo se - kaj je bolj moralno. Vsi po vrsti popadamo - vsak od nas, že nekje.

Jaz vseeno mislim, da opravljate odlično delo.

poweroff ::

St235 je izjavil:

Če se nekdo ima za "moralnega hackerja"

Sicer imajo ljudje o meni različna mnenja, ampak da sem moralni hacker nisem nikoli trdil. Niti za hekerja se nimam.

Sem bil pa že vse od ekstremnega levičarja, do janšista, desničarja, sovražnika žensk, feminista... samo to več pove o tistih ki take oznake lepijo, kot o meni.

Pač, sem mnenja, da je te zadeve treba razkrivati, sicer na odgovoren način, ampak to ne pomeni, da se zadeve pometa pod preprogo.

Je pa dejstvo, da gre tako razkrivanje v nos dvem kategorijam oseb:
- neposredno "prizadetim" podjetjem in izvajalcem, ki so v bistvu zgolj malomarni
- državnim varuhom zasebnosti in varnosti, ker kaže, da slabo opravljajo svoje delo, da v Sloveniji problemi obstajajo in da ni res, da je pri nas vse pod kontrolo.

Skrivanje za tajnostjo (pri državi in specifično v obveščevalnem sektorju) je praviloma skrivanje slabega dela ali celo nedela.

Verjamem, da marsikoga zmoti povečano število prijav, ki kvari naše lepe statistike. Samo to ni moj problem.
sudo poweroff

St235 ::

normalno, tvoje moraliziranje o obravnavi osebnih podatkov, ki ga na tem forumu mrgoli je zgolj in le plot zarote.

Ko boš pa našel en post, kjer se mi zdi opozarjanje in razkrivanje na odgovoren način (to hihitajoče najstniške izjave o tem, da je bil na seznamu tudi znani slovenec niso), sporno pa bo tvoj post imel kak smisel.

Še vedno pa to ne spremeni dejstva, da je takšno ravnanje na robu zakonitega in da je skrajno neodgovorno to zanikat in arbitrarno trditi, da zakon ni (in pri tem jasno namigovati, da niti ni mogel biti) kršen. Pa ne zaradi tebe, ampak zaradi vseh ki berejo te teme in nimajo ustreznega razumevanja in znanja kje je meja sprejemljivega.

SeMiNeSanja ::

Lakotnik gre iz ene paragrafarske skrajnosti v drugo.
Enkrat trdi, da nisi 'grešil', če v zakonu eksplicitno ne piše, da si 'grešil'.
Ko pa njegovi moralni visokosti ustreza, pa kar sam vzame žezlo v roke in razsodi, da čeprav ne piše v zakonu, da si grešil, da si vendarle 'na robu'..... čak mal... a niste ravno pravniki tisti, za katere je kao vse binarno, črno-belo, kjer ni nekega 'roba'? Zdaj bi pa pridigal o 'robu' in kako so vsi razen tebe že koj kriminalci (na robu), če so le malenkost firbčni....

Ob tem, se gospodu odvetniku o informacijski varnosti sanja ene toliko, kot meni o rimskem pravu.... ampak ja, ima pa veliko za povedat.... sploh, ko se gre za moralnost.

Zakaj se meni to zdi nemoralno?
Ali zgolj neetično?
Oboje?

St235 ::

Od kje ti v svoji sveti nepismenosti vlečeš takšne zaključke? Daj kak citat, da vidimo ali si samo nepismen in ne razumeš, ali si gladko izmišljaš?

Tudi te blodnje o binarnosti, so očitno spet samo plod tvoje domišljije in projiciranja lastne omejenosti.

windigo ::

St235 je izjavil:

Od kje ti v svoji sveti nepismenosti vlečeš takšne zaključke? Daj kak citat, da vidimo ali si samo nepismen in ne razumeš, ali si gladko izmišljaš?

Po mojem izvirajo od nekje tam, od koder ti potegneš (krive?) obdolžitve Matthaia, da je prestopal etične meje pri hekanju in različne zakonske meje še dopustnega, čeprav sam mislim da celo večkrat eksplicitno pove, da je dobil informacije iz drugega vira.

Saul Goodman ::

DePalmo je izjavil:

Saul Goodman je izjavil:

haha. janez, ki je naročil spletno stran je rekel "budget je 300e" in potem izbiral izvajalca. vsi pametni so šli stran, privoščil si je lahko le študenta. ta mu je stran postavil in pokazal kako se ureja, ker Janez ni nor, da bi podpisoval vzdrževalno pogodbo in vsak mesec plačeval nekomu, da mu stran vzdržuje. nekoga v firmi bodo "priučili" dodajanja artiklov in to je to za ta dnar. ponavadi ima naročnik nekje že en zahojen hosting, kamor mu je študent butnil spletno stran, pobasal 300e in predal zadevo v upravljanje. večina spletnih strani pa je danes "živ organizem". non-stop posodobitve, popravki, trubleshooting, seo drkarije, security hardening.

dejstvo je, da varnost STANE. wordpress hardening stane. in naročniki tega _NOČEJO_ plačevati, ker je drago in ker menijo, da je to nepotreben strošek. zato se vzdrževanja lotijo sami in na strani počnejo kar hočejo. takrat se ponavadi začnejo bedarije.

za varnost podatkov odgovarja naročnik. če ugotovijo, da je bil za šalamastiko kriv izvajalec, pa bodo to urejali na relaciji naročnik - izvajalec in pristojno sodišče, ki bo rešilo njun spor.

In si ravnokar omenil naslednji nateg ki ga tako radi prodajajo izvajalci, vzdrževalna pogodba. Če je narejeno kot je treba, kaj rabiš vzdrževat? Stran se postavi, se jo naredi stabilno in varno in je to to (OK, še onsite SEO, offsite pa nikoli ni bil v moji domeni). Kakšna vzdrževalna pogodba? Ker je bil programer len in je uporabil hroščat WP in mora sedaj stranka še to plačevat? Isto velja za Magento (delam tudi z njim ...), tudi tisti rabi "vzdrževalno pogodbo", med delom pa ugotavljam take cvetke da se včasih za glavo držim. Kar se mene tiče, Magento 2 ni pripravljen za produkcijo ampak je še kar lepo v fazi razvoja. Ampak ker svet vrti denar, so vn vrgli hroščato zadevo in zato včasih dobesedno preživljam dneve da ugotavljam kje je napaka in jo nato tudi odpravim (če lahko, ker se mi Magentota ne da učit v detajle).

Ko sem bil še freelancer, nisem nikoli in nikomur prodal vzdrževalne pogodbe in glej ga zlomka, nihče ni prišel nazaj da so podatki strank ušli javnosti ali pa da je stran ranljiva, pa sem sprogramiral iz nule od preprostih spletnih strani, do trgovin in CRMjev. Bolj žalostno je da imajo zdravstveni domovi (sklepam, nisem preverjal) drage vzdrževalne pogodbe, a strani kljub temu niso delale prav.

Se pa strinjam glede cene. Včasih sem delal projekte za tak denar, danes raje ležim.


wordpress spletna stran, ki je bila pred 3 leti varna, danes ni več. ti nimaš vzdrževalne pogodbe, zato je na naročniku, da se ubada s spremembami in morebitno zjebano stranjo po naslednjem updejtu. kaj naročnik naredi? nič, ker ne popravlja nečesa, "kar ni pokvarjeno".

SeMiNeSanja ::

St235 je izjavil:

Od kje ti v svoji sveti nepismenosti vlečeš takšne zaključke? Daj kak citat, da vidimo ali si samo nepismen in ne razumeš, ali si gladko izmišljaš?

Tudi te blodnje o binarnosti, so očitno spet samo plod tvoje domišljije in projiciranja lastne omejenosti.

Kupi si Bilobil ali kakšen drug preparat za spodbujanje spomina in nehaj ljudem okoli sebe težiti s citati.

Jaz imam preklemansko slab spomin, pa ne težim vsevprek, da naj mi citirajo.
Saj niso drugi krivi, če imam jaz slab spomin.

St235 ::

z drugimi besedami, ker si ugotovil, da zavajaš in si izmišljaš, boš raje bluzil dalje?

Zgodovina sprememb…

  • spremenil: St235 ()

SeMiNeSanja ::

Saul Goodman je izjavil:

wordpress spletna stran, ki je bila pred 3 leti varna, danes ni več. ti nimaš vzdrževalne pogodbe, zato je na naročniku, da se ubada s spremembami in morebitno zjebano stranjo po naslednjem updejtu. kaj naročnik naredi? nič, ker ne popravlja nečesa, "kar ni pokvarjeno".

Problematika je veliko širša, kot si predstavljamo.

Zelo lepo se pokaže na primeru stranke, ki si kupi fancy požarno pregrado, da bo kvazi 'varna'.
Zajebe stvar že v štartu, ker kupi zgolj najcenejši minimalistični paket. Glavno, da je 'firma', ostalo bo že....

Drugi zajeb pride pri konfiguraciji.
Prodajalec ponudi 'brezplačno namestitev' - in govori o "do 1 ura dela" v drobnem tisku.
Dodatno ponudi "napredna konfiguracija"....recimo za 1000€.

Jasno, 1000€ dela, če za škatlo da 1000€ ni sprejemljivo... in obstane na 'brezplačni namestitvi'.
"Vzdrževanje" pa prodajalec sploh ni ponudil, ker je bila ta postavlka že vključena s strani proizvajalca, pa ni bilo posluha s strani kupca, da bi 'vzdrževanje podvajal'....

Potem pride do varnostnega incidenta.
No, kaj misliš, kaj bo kupec rekel?
Res dvomim, da bo rekel "Sam sem kriv, ker sem bil tako škrt".

Enako je pri spletiščih in katerikoli drugi tehnološki rešitvi. Ko je treba plačat, je vse predrago, ko pa so težave, so pa vedno krivi vsi drugi, samo investitor ne.

spegli ::

Blo je pa pocen :) Všeč mi je tale ideja. Pravzaprav bi si model, ki je to odkril, zaslužil spodobno plačilo.

Zgodovina sprememb…

  • spremenilo: spegli ()

Mehmed ::

poweroff je izjavil:


Je pa dejstvo, da gre tako razkrivanje v nos dvem kategorijam oseb:
- neposredno "prizadetim" podjetjem in izvajalcem, ki so v bistvu zgolj malomarni
- državnim varuhom zasebnosti in varnosti, ker kaže, da slabo opravljajo svoje delo, da v Sloveniji problemi obstajajo in da ni res, da je pri nas vse pod kontrolo.


Ne samo tem. Vsakomur, ki si predstavlja kdaj biti odgovoren za podatke je v interesu te ozigosat za hekerja.
Zato ker ima ta beseda negativen prizvok pa se je lazje skrivati za njo. Nismo mi zasrali, zlobni zlobni hekerji so krivi.
Ko prevalijo krivdo ti pa se obesijo neka pravila eticnega hekanja, ki polovico casa sploh nimajo veze.

Idealen razplet te sage bi bil, da se dvigne ozavescenost pa ljudje zacnejo ravnati prav.
Cisto realen razplet je pa tudi, da po se parih zgodbah ljudem neha biti zanimivo, nekdo rece sej v bistvu ni tako hudo, to je samo en problematicen heker kriv za ves ta hrup, kar poglejte, sej so skoz isti ljudje zadaj. Taka poenostavljena razlaga bo sla marsikateremu laiku lazje po grlu od resnice, zato ti priporocam da malo bolj idiotproofas clanke, ce se mislis iti to na dolgi rok.
Ce hekanja ni vmes potem zatri to v kali pa se izogni preusmerjanju pozornosti. Ce je stran taka, da ti lahko macka prekmalu stopi na enter, vmes ko pretipkavas url, pa te to odpelje na zascitene vsebine potem povej tako. In ce nekdo rece ne vidimo problema, ker nihce ni dostopal do datotek ga popravi nihce razen megakorporacije, ostali pa itak niso rabili, ker so jih lahko dobili od nje. Ker drugace me skrbi, da te bodo enostavno preglasili z neumnimi izgovori pa od vsega ne bo nic na koncu.

BigWhale ::

Saul Goodman je izjavil:

wordpress spletna stran, ki je bila pred 3 leti varna, danes ni več.


WordPress spletna stran, ki je bila prejsnji mesec varna, danes ni vec. :>

poweroff je izjavil:


Je pa dejstvo, da gre tako razkrivanje v nos dvem kategorijam oseb:
- neposredno "prizadetim" podjetjem in izvajalcem, ki so v bistvu zgolj malomarni
- državnim varuhom zasebnosti in varnosti, ker kaže, da slabo opravljajo svoje delo, da v Sloveniji problemi obstajajo in da ni res, da je pri nas vse pod kontrolo.


Jaz tvoje stalisce okrog razkrivanja zadev sicer razumem in se do neke mere z njim strinjam. Sam tole zgoraj, kar si zapisal, je pa en kup bikovega dreka.

Posplosevanje je mati vseh zajebov.

Ne delat tega, res.

Zgodovina sprememb…

  • spremenil: BigWhale ()

DePalmo ::

Izak je izjavil:

Čudno razmišljanja za programerja. Ravno taki bi se morali zavedati, da je spletna stran (če izvzamemo enostavne html/css strani) živa stvar, ki potrebuje redno vzdrževanje. Sploh če gre za neke CMS-je (wordpress, magento, drupal,..), kateri so stalno na udaru in katere boti stalno preverjajo za exploiti. Kot magento programer redno čistim "pohekane" spletne trgovine, ki niso bile vzdrževane, torej se na njih ni nameščalo varnostnih popravkov. Večina jih ima nameščeno kodo za za prestrezanje vpisanih številk kreditnih kartic, da dostopu do admina niti ne govorim. In to so tako večje (nekaj 10.000k dnevnega prometa), kot manjše spletne trgovine.

Ja, tako kot si rekel, če je stran postavljena na frameworku potem rabi zdrževanje ker so notri napake. In ko nekdo najde ranljivost v WPju na eni strani, je ravnokar našel ranljivost še na tisoč drugih straneh. Če pa zadaj ni frameworka je stran lahko bolj varna in če jo kdo poheka, ima dostop samo do ene strani. Slaba stran pa je nadgradljivost oz. ni pluginov.

bbf ::

Zaenkrat se vzdrževalci in lastniki spletnih trgovin lahko samo zahvalijo "hekerjem" za zastonjsko analizo. Ker ko bo šlo enkrat zares, ko bo en fajn najebal, bo prepozno klicat "Dejte me pohekat!".


.
.
.
"Gospa knjižničarka, tamle na polici so med knjigami kartoteke vaših zaposlenih.."
"KVA PI*DA SE MAŠ ZA VTIKAT KJE!! MARŠ, DA TE NAM S PALCO!!"
"ok.."
..
.

Matwic ::

Hahaha, tole si pa me nasmejal... evo končno dejansko dobra primerjava iz fizičnega sveta :)

Saul Goodman ::

no ja, tele strani so sicer dobile zastonj in legalno storitev zbiranja prosto dostopnih informacij aka google-fu, "nelegalnih" penetracijskih testov pa ni bilo. pitaj boga, kaj bi na istih domenah odkril še "wpscan". ampak za penetracijski test potrebuješ dovoljenje lastnika, sicer si prestopil mejo legalnosti, pri OSINT-u pa je lastnike teh strani lahko le sram, da za dostop do kritičnih podatkov ni bilo potrebno niti "hekati".
1 2
3
»


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Sodišče EU: Če imate Facebookove vtičnike na svoji spletni strani, ste soodgovorni za (strani: 1 2 )

Oddelek: Novice / NWO
7321620 (14025) hfvby65
»

Transparentna Slovenija #7: Tudi spletna stran ZD Nova Gorica si zasluži nekaj ljubez

Oddelek: Novice / Zasebnost
3410767 (6944) aerie
»

Transparentna Slovenija #6: Zdravstveni dom Kamnik podatke svojih pacientov deli tudi

Oddelek: Novice / NWO
318129 (5172) slitkx
»

Piškotki kot dimna zavesa spletne varnosti in zasebnosti

Oddelek: Novice / Zasebnost
3014107 (11677) ExtraBacon
»

ZEKom-1 po dveh tednih (strani: 1 2 )

Oddelek: Novice / Zasebnost
9319779 (14716) jype

Več podobnih tem