Hlavní navigace

Vlákno názorů k článku Nový POST.CZ umožňoval přístup k cizím schránkám od Jakub Ditrich - V diskusi se objevilo nekolik nazoru typu "Chyba...

  • Článek je starý, nové názory již nelze přidávat.
  • 4. 12. 2000 19:14

    Jakub Ditrich (neregistrovaný)
    V diskusi se objevilo nekolik nazoru typu "Chyba stale trva". Bud jejich autori nepochopili o co se jednalo, nebo nepisi pravdu. Chyba se skutecne objevovala pouze pri deaktivovanych cookies v prohlizeci (pro MSIE, Tools --> Internet Options --> Security --> Custol Level --> Cookies Disable) a byla opravena reinstalaci PHP frontendu na vsech serverech POSTu v pondeli okolo 18. hodiny. Bezpecnostni riziko bylo vzhledem k poctu uzivatelu s vypnutymi cookies
    v prohlizeci(trouam si tvrdit, ze je jich mezi nami pouze nekolik promile) a vzhledem k tomu, ze 95% schranek jeste nemelo prevedeny zpravy zanedbatelne.

    Pokud nedojde k platnemu odhlaseni ze schranky uzivatele, je jasne, ze lze pak v historii se proklikat zpet na do jeho schranky (po 15 minutach naktivity uzivatele dochazi k deaktivaci). To ale neni "chyba" systemu, ale uzivatele, ktery nepochopil funkci tlacitka "Odhlasit se".
  • 4. 12. 2000 20:45

    Michal Illich (neregistrovaný)
    (1) Mozna jste chtel napsat "patek okolo 18", aspon tak nejak by mi to vyplyvalo z clanku.

    (2) Zanedbatelne bezpecnosti rizko? Pokud muze kdokoliv, kdo si vypne cookies (trivialni ukol, vy ho popisujete na jednom radku) zjistit logovaci udaje vsech tehdy prihlasenych uzivatelu (po dobu nekolika hodin), je to zatracene velka chyba. Bagatelizace neni na miste.

    (3) Nekde (snad zde) jsem cetl, ze to bude behat na Solarisu, ale ted je na frontendech Debian Linux. Jak je to na ostatnich strojich a jake jsou vase zkusenosti?

    (4) Uz v patek jsem kliknul na "prevod zprav", porad tam jeste nejsou, navic mi to totez tlacitko nabizi znovu a znovu...
  • 4. 12. 2000 20:51

    Petr (neregistrovaný)
    ad (4). Zpravy tam mam, ovsem jsou dostupne jen pres WWW. Pri pokusu o stazeni pomoci POP3 se nestahne nic (ani nevznikne chyba). Pred par dny to jeste fungovalo.
  • 4. 12. 2000 21:48

    Jakub Ditrich (neregistrovaný)
    >2) Zanedbatelne bezpecnosti rizko? Pokud muze kdokoliv, >do si vypne cookies (trivialni ukol, vy ho popisujete na >ednom radku) Bagatelizace neni na miste.

    Ale ano, to vite ze je.. nikdo nikomu tuto operaci nevysvetloval a proto se tento problem vyskytl jenom nekolika lidem, kteri s internetem pracuji a proto maji nestandardne nastaveny prohlizec.

    >jistit logovaci udaje vsech tehdy prihlasenych uzivatelu >po dobu nekolika hodin), je to zatracene velka chyba.

    Ale to take neni pravda. Kdyz uz jste mel tolik stesti, ze se vam chyba vyskytla, videl jste pouze schranku - prazdnou v 90% pripadu - zadne logovaci udaje uzivatele.

    Je chvalyhodne, ze p. Chvalovsky na problem upozornil, ale
    podobna "zkomaravelbloudomanie" je vazne mimo..
  • 4. 12. 2000 23:08

    Plastr (neregistrovaný)
    Pendrek !!!
    Ja jsem v několika takovych schrankach byl!
    Mohl jsem si opsat cokoli, třeba odpověď na otázku, kdybych chtěl. Stačilo nic tam nedělat, jen klikat na menu!
    A to v pondelí 4.12.2000 po obědě.
    Plastr
  • 5. 12. 2000 8:47

    PaJaSoft (neregistrovaný)
    ...jenom nekolika lidem, kteri s internetem pracuji a proto maji nestandardne nastaveny prohlizec.

    Nastesti podobny problem resit nemusim, sluzby firmy Globe mne nezajimaji a mohu se v zakulisi smat, co mne vsak zarazi u cim dal vetsiho poctu lidi je fakt, ze jista firma, puvodne na zaklade obecneho standardu (HTML, HTTP), vytvori program, ktery jej vyuziva, prida dalsi moznosti (standardizovane) a nyni se to povazuje za standard. To je jako mame standard na vektorove obrazky, budete za standardni browser povazovat ten, ktery ma tyto moznosti?

    Vazeny pane kolego, standard je, ze kdyz zaslu HTTP pozadavek, vrati se mi v tom samem protokolu odpoved, ktera je v protokolove hierarchii nize nez HTML.

    Cookies tak jak byli navrzeny maji pomoci klientum, nikoli serverum => pokud klient podporuje Cookies, muze je server vyuzit, pokud klient nema o susenky zajem, musi server pouzit jine moznosti (a ze existuji...) a ne opacne - pokud klient ma standardni browser, ale o Vase susenky nema zajem, pak se Vas system polozi - v praxi tuto chybu oznacuji jako systematickou chybu, ktera vznikla jiz pri navrhu takoveho systemu... a proto je system jako cele spatny, protoze pozaduje neco, na co nema standardne pravo.

  • 5. 12. 2000 16:18

    Michal (neregistrovaný)
    Tak jak mi potom vysvětlíte, že když jsem se chtěl včera večer podívat do své schránky, dostal jsem se do schránky svého souseda s kterým jsem společně připojen na internet. Cookies mám samozřejmě zapnuty !!!!!!!!
    Pokud tomuhle neříkáte chyba tak je to fakt smutný.
    Zprávy sice číst nešlo, ale mohl jsem se klidně procházet v cizím nastavení apod.

    emailovou schránku na postu jsem si založil když jste začínali a využívám ji opravdu jen v krajním případě po včerejší zkušenosti používání ještě omezím.

    Mimochodem je to fakt děsně pomalý a navíc vůbec nefunguje POP3 !!!!!!!!!!!!!
  • 5. 12. 2000 16:26

    Petr (neregistrovaný)
    Ano, POP3 mi taky nejde a pri pristupu pres web to hlasi:

    Fatal error: Call to undefined function: fm_img_server() in /fs/1/post_fe/www_front/defs.php on line 56
  • 6. 12. 2000 9:27

    Michal Kubeček (neregistrovaný)
    Inu, pokud máte na věc takový názor, nedá se nic dělat. Pro mne (a věřím, že i pro další) to znamená jen, že se službám vaší společnosti v budoucnosti na hony vyhnu. Parafrázoval bych Štěpána Šafránka: "Bezpečnost? Mám takovej pocit, že tady se ještě neví, co to je."
  • 6. 12. 2000 14:22

    x (neregistrovaný)
    [PHP]

    ;...

    display_errors = On
    ; Print out errors (as a part of the output)
    ; For production web sites, you're strongly encouraged
    ; to turn this feature off, and use error logging instead (see below).
    ; Keeping display_errors enabled on a production web site may reveal
    ; security information to end users, such as file paths on your Web server,
    ; your database schema or other information.
  • 7. 12. 2000 18:59

    Dan Lukes (neregistrovaný)
    Nebyl bych TAK prisny ...

    Uzna-li navrhar systemu, ze nejakou takovou "nadstandardni" funkcnost browseru potrebuje, je to politicke rozhodnuti na jake ma pravo (podobne jako kdyz se rozhodne udelat stranky, ktere jsou videt pouze v MSIE, ale ne v Netscape, stranky, ktere vyzaduji zapnuty JavaScript nebo, nedejboze, Javu, stranky vyzadujici nejaky plugin ...) - proste se rozhodne, ze urcitych uzivatelu je tak maly pocet, ze o nema zajem kvuli nim prodrazit vyvoj prislusne sluzby - musi si ale uvedomovat, ze vyzaduje neco navic, musi si uvedomovat, ze to "neco" muze (z jakehokoliv duvodu) nedostupne a musi na tuto eventualitu pamatovat tak, ze system musi korektne reagovat na chybejici funkcionalitu - byt hlasenim "Nemas XXX, mas smulu ...".

    System tedy neni spatny, protoze pozaduje neco, co neni v prohlizecich obsazeno (nebo zapnuto) povinne. System je spatny proto, ze na tuto eventualitu nezareagoval spravne a je to chyba programatora-analytika, ktereho tato eventualita mohla a mela napadnout. Jina vec je, ze misto toho, aby reakce prislusnych mist znela "ano, doslo k vazne chybe v designu sluzby s dopadem na bezpecnost a privatnost dat uzivatelu, za kterou se velice omlouvame, bohuzel kazdy je omylny" je tu jista snaha vysvetlit, ze se vlastne az tak moc nestalo, protoze jen par uzivatelu atakdale ... - a to je mozna daleko vetsi zavada a nebezpeci nez samotna puvodni chyba.