29.4.08

China skylines

Nu e vorba nici de New York, nici de Chicago, nici de Seattle sau LA. Oraşele din pozele de mai jos se numesc Shanghai, Shenzen şi Chongqing şi fac parte din China. China continentală, aia comunistă.

Sau ce-o mai fi rămas din comunism.



27.4.08

Africa vs. Romania

5 țări din Africa au un PIB pe cap de locuitor mai mare decât România (11.387 $) cf. datelor FMI pentru 2007:
  • Insulele Seychelles: 16.642 $
  • Botswana, unde se plătește cu Pula: 16.450 $
  • Gabon: 14.083 $
  • Guineea Ecuatorială: 12.895 $
  • Libia: 12.277 $

Din America de Sud ne întrec la acest indicator:

  • Chile: 13.936 $
  • Argentina: 13.308 $
  • Venezuela: 12.166 $
  • Uruguay: 11.621 $

Comment?... Ori... no comment.

25.4.08

Lectii de vulnerabilitate cu magazinele online romanesti (2)

Gata, domnule Barbu? Te-ai răcorit?

Întrucât eşti în feed-ul meu de bloguri preferate puteam să-ţi răspund de azi dimineaţă, dar am zis să se hăhăie lumea niţel ca să le stea hăhăitu'n gât după aia.

Una din lecţiile de vulnerabilitate ale magazinelor virtuale româneşti vine şi din faptul că securitatea le poate fi apărată de specialişti de top cum e domnul Barbu. Şi, atenţie: când zic că domnul Barbu e specialist de top chiar consider că e specialist de top. Dar mă refer aşa, ca şi cum aş zice că l-ai pune pe Ronaldo să joace în apărare. E superfotbalist, dar asta nu înseamnă că te scuteşte de belele.

15 minute ici, 15 colo şi uite aşa ţi-ai pierdut matale ieri ziua de lucru şi dimineaţa de azi ca sa scoţi ditamai mirabilul hate-post.

Dacă aş fi sarcastic ţi-aş răspunde aşa: "Mulţumesc frumos pentru auditul gratuit. Ţi-aş fi recunoscător dacă ai face unul similar şi pe v2, pentru că asta mă interesează în mod special acum."

Cum sarcasmul nu mă caracterizează, dar ironia da, îţi răspund doar ironic: "Decât să pierzi o zi întreagă de lucru cu MRex-uri, mai bine îţi cheltuiai energia pe magazinul matale, ştii tu care." Unde breşa aia tâmpită încă e deschisă şi dacă n-ai fi atât de orbit de ură ai putea judeca cu creierul limpede care e problema.

Di-un par egzamplu ia să vedem, răspunde la numărul 07xx xxx xxx cineva din Gxxxxxx ;) ?

Ce sa spun, marele guru al securităţii IT face o descoperire senzaţională: un soft de 499 de euro , variantele 0,000x, avea lacune de securitate! Wow! Senzaţional, doamnelor şi domnilor! Mirobolant! Incredibil dar adevărat!

Ok, noi, programatorii ăştia "de duminică", o să facem update-uri de securitate gratuite pentru toţi clienţii noştri şi ne vom instrui distribuitorii să facă la fel (apropo, dacă inteligenţa matale explozivă nu era atât de orbită de ură te-ai fi uitat la ROTLD şi nu-ţi mai băteai capul cu TopVideoMall: acolo nu impresionezi pe nimeni). Dar matale ce faci de 72 de ore încoace (parcă atât a trecut de când i-am zis cunoştinţei noastre comune de problemă...)? Cauţi să prinzi capra vecinului în loc să te preocupi de problema clientului. Wow! Aşa client service mai zic şi eu, să tot merite să dai găletuşa de bani pe el. "Lucrurile de proastă calitate sunt în general ieftine." Dacă n-ar fi tristă afirmaţia asta stupidă, ştiind de la cine vine, m-ar bufni râsul.

Ca să te liniştesc îmi iau angajamentul că de azi încolo nu voi mai accesa informaţiile care nu-mi aparţin şi nici nu voi spune cuiva cum se face.

Din respect pentru şeful tău cu care am discutat ieri şi căruia i-am făcut o promisiune, nici nu voi recurge la seoisme ieftine de genul: să pun în titlul postului soluţia de e-commerce pe care ar trebui să o "aperi" mătăluţă (reciproc, apreciez mârlănia de care dai dovadă, n-am ce zice), nici măcar nu o amintesc, nici măcar nu zic numele firmei al cărei angajat eşti, nici măcar nu zic cum am ajuns să ne intersectăm şi de ce vi s-a pus pata pe mine. E Vinerea Mare şi-mi fac păcat cu cine nu e cazul.

Aşa că, sayonara! Mai ia o lingură de ură şi bagă iar un search, că e al dracu' de simplu.

Tuturor celorlaţi (inclusiv şefului tău) vă urez Paşte Fericit! Ţie îţi urez doar "vacanţă plăcută", fiindcă ştiu că nu crezi în chestiile astea.

24.4.08

Lectii de vulnerabilitate cu magazinele online romanesti (1)

Notă din 9.01.2009: Postul de mai jos e din 24.04.2008. Între timp MRex a ajuns la varianta 2.5, a mai adunat peste 100 de clienţi şi am scos şi varianta MRex System. Îmi pare sincer rău dacă succesul nostru îi supără pe atâţia confraţi. Dar tocmai pentru că nu avem nimic de ascuns şi consider că publicul trebuie să ştie toată istoria acestui script, bună şi rea, nici măcar nu încerc să le răspund tuturor celor care ne denigrează aiurea. Fiecare acţionează şi îşi tratează clienţii şi concurenţii după cum îi dictează caracterul.

--

Am zis că în ediţia actuală de MRex, adică v.2.0,  am urmărit să închidem unele breşe de securitate pe care, din fericire, nu le descoperise încă nimeni, mai puţin stimabilul domn Barbu, care s-a şi apucat, în nici un caz din prietenie, să ne facă praf... în public, pe blogul propriu.

Recunosc cinstit că la vremea creării v1 nu am dat nici o atenţie (şi când zic nici o atenţie zic ZERO, NIMIC!) problemelor de securitate, pentru că eram ferm convins că scriptul va fi cumpărat numai de mam & dad care vor avea 100 de vizitatori pe săptămână.  

Având în spate experienţa a peste 100 de magazine online, pot să spun că am inventariat până acum aproximativ 25 de puncte direct vulnerabile ale unei platforme de comerţ virtual.

Atunci când ai în vedere securitatea unui magazin online trebuie să ai în vedere că dacă un hacker bun vrea să ţi-l spargă, ţi-l va sparge. Dar poţi măcar să închizi breşele simple, pe care le-ar putea accesa orice fraier, inclusiv concurenţii. Cele 25.

În ordinea vulnerabilităţii platformele ar sta cam aşa:
  1. platformele open-source: sunt cele mai vulnerabile deoarece codul-sursă e la liber, procedurile de lucru sunt la vedere, informaţia despre breşe circulă rapid pe internet; cu toate acestea o platformă open-source bine securizată are acele 25 de puncte acoperite cu grijă. Magento, de exemplu, e o platformă securizată ireproşabil. Ceva mă face să cred totuşi că dacă se apucă cineva să ia la puricat codul din spate va descoperi breşele.
  2. platformele custom: sunt dezavantajate de lipsa de experienţă a oamenilor din spatele lor. Totuşi, dacă firma din spatele lor are oameni cu experienţă, atunci platformele sunt ok. UltraShop-ul, de exemplu, creat de AvantajNet, are, alături de Emag, una dintre cele mai bine securizate platforme. De aceea morala ar fi: dacă vreţi un magazin virtual custom, măcar făceţi-l cu cineva care are experienţă. În episoadele următoare vom vedea exemple de magazine româneşti care lasă "la liber" lista de clienţi, comenzile etc.
  3. platformele proprietare la cheie (cum e şi MRex): sunt cele mai sigure deoarece a) beneficiază de o experienţă care se îmbogăţeşte continuu şi b) codul lor nu e la liber pe internet. Responsabilitatea e foarte mare, însă, deoarece aceste platforme prezintă de obicei demo-uri publice care pot fi studiate de oricine. Chiar dacă nu se vede codul din spate un ochi versat ştie ce să caute...
În general o platformă de comerţ virtual trebuie să prevină următoarele situaţii:
  • intruziunile directe în aria de administrare;
  • furtul conturilor de client;
  • furtul listei de comenzi;
  • compromiterea procesului de preluare a comenzilor.
Chestiile astea se pot fura fie prin intruziune directă în admin, fie prin simulări (phishing) (nu are rost să vorbim de atacuri brutale de tip flood, care nu ţin de platformă ci de server). Dar chiar şi phishingul poate fi favorizat de micile breşe de securitate. În MRex 2.0, de exemplu, am putut imagina în decursul testării un scenariu care ar fi putut duce la următoarele acţiuni:
  1. obţinerea de către atacator a parolelor de administrare, urmată de
  2. intrarea în admin a atacatorului, urmată de
  3. descărcarea listei de clienţi, urmată de
  4. phishing pentru descoperirea parolelor de cont, urmată de
  5. comenzi false, nu multe, dar măcar 6-7 laptopuri a 4000 de RON bucata, urmată de
  6. falimentarea magazinului, datorită unei pagube de 25000-30000 de RON, suficientă să pună pe butuci chiar şi un magazin pe care în trafic.ro îl vezi pe la 20-25.000 de vizitatori unici.
Tocmai de aceea am căutat să închidem orice posibilă breşă. Şi da, există situaţii în care nici protejarea adminului cu .htaccess nu v-ar ajuta. Mai multe în episodul viitor. Nu vă aşteptaţi însă la exemple concrete (adică să zic cum se face).

23.4.08

Magazinosaurus Rex 2.0 - demo online

Am pus online noul demo. Spre deosebire de varianta precendetă, demo-ul va fi la liber, adică oricine va putea să-şi bage nasul şi să dea cu parul. Momentan e doar un demo fără drepturi de modificare, dar vom pune şi un demo al adminului pe care să-l frece toată lumea.

Site-ul de prezentare e gata de mai multă vreme dar pe ăla nu îl publicăm decât după Paşti. Printre chestiile importante aduse de noua platforma avem:
  • managementul total al taxelor şi adaosurilor: gata!... dau cretinii din guvern taxa albastra, taxa maro sau taxa portocalie?... Ei, matale, comerciantul, nu trebuie decât să bagi în preţ chestia asta şi îţi apare pe site. Nu mai trebuie să te rogi de firma de web să-ţi mai calculeze şi asta.
  • securitatea: am XSS-izat şi injectat şi simulat atacuri de tot felul, din toate părţile. Deşi nici în varianta precedentă nu am neglijat asta, am descoperit nişte găuri de securitate unde nici cu gândul nu te-ai fi gândit.
  • integrarea completă cu Google Analytics (e-commerce edition), ceea ce va permite vizualizarea completă de rapoarte privind comenzile pe categorii, produse etc.
  • am adus un concept nou de vitrină (dar şi cel vechi e posibil), asemănător cu NewEgg sau Sigmanet;
  • contoarul de căutări: poţi vedea ce s-a căutat pe site, de câte ori, cum;
  • poţi defini operatori de vânzări care să preia automat comenzile, numele / emailul operatorului fiind menţionat în confirmarea comenzii;
  • comenzile au ataşată o mesagerie;
  • avem parteneriat cu ePayment: clienţii noştri vor beneficia de comisioane mai mici cu 0.5% la cardurile Visa / MasterCard. Persoana de contact este dl. Mihai Manoliu căruia trebuie să-i spuneţi că aveţi o licenţă MRex.
  • etc.
Deja sunt pe listă to-do-urile pentru varianta 3:
  • modul de comandă prin telefon; nu l-am făcut în această variantă pentru că nu sunt mulţumit de nici o variantă de lucru. Adevărul e că asta - comanda telefonică - e o tâmpenie tipic românească şi numai cu e-commerce-ul n-are legătură. Până atunci, dacă utilizatorul are cont pe site atunci operatorul poate intra pe contul lui şi poate da comanda de acolo; dacă nu, îi poate deschide el un cont.
  • bundles/pachete: de fapt aşa ceva funcţionează pe Talksmart.ro, dar am considerat lipsit de fair-play să iau modulul gata făcut pe banii lor şi să-l bag în varianta actuală.
  • sistem de vouchere;
  • subproduse cu preţuri diferite de ale produsului-mamă (momentan nu avem decât posibilitatea de "opţiuni", de ex. Asus EEpc cu opţiunea: roz - vernil - alb); sistemul funcţionează însă pe noul site UtilSPC.ro
Demo: www.Magazinosaurus-Rex.ro /www.Magazinosaurus-Rex.ro/admin (user: clarvazator, parola: mrex)

17.4.08

Magazinosaurus Rex 2.0

E destul de gata, ca să zic aşa. Dar mai sunt de lucrat anumite chestii, bibilituri. N-are rost să zic aici ce va fi nou. Tot ce pot să spun e că noul manual are vreo 45 de pagini (cca. 100.000 de caractere) şi... nu ştiu dacă acoperă chiar tot! Vor fi foarte multe lucruri noi iar unele chestii se vor găsi exclusiv într-o platformă de e-commerce care se adresează pieţei româneşti. Rămân în continuare alte chestii care nu au fost încă incluse în platformă, dar nici nu-mi bat capul acum cu ele. Vor fi în variantele viitoare.

Ca şi până acum, platforma va fi comercializată ca atare, fără nici un fel de customizare din partea noastră. Customizările se vor face de către comunitatea de designeri şi programatori. Sperăm ca odată cu v2 aceştia să devină şi mai mulţi. Noi ne vom concentra strict pe perfecţionarea nucleului aplicaţiei. Se numeşte focus.

A venit momentul să renunţăm şi la crocodil, dinozaur sau ce o fi fost el. Momentan rămâne doar pe post de mascotă dar l-am pensionat din logo fiindcă şi-a făcut treaba cu vârf şi îndesat.

11.4.08

Oameni buni, facturile NU au nevoie de stampila!

Suntem de 1 an jumate în UE şi încă primesc cereri de la clienţi provenind nu din Urlaţii de Jos sau Cotârlagele Mari, ci din oraşe mari, cum ar fi Cluj, Timişoara, Iaşi şi chiar Bucureşti, să le dau "facturile în original". Asta pentru că eu dau facturile prin email. Click şi vâjjjjj, poftim factura dumneavoastră, o scoateţi la imprimantă & that's it!

Oameni buni, nu mai există ideea aia comunistă cu "factura în original". Dacă vreau vă facturez pe un colţ de şerveţel parfumat. Singura treabă e ca şerveţelul să conţină anumite date de identificare pe el şi să fie înregistrat atât în contabilitatea mea cât şi în contabilitatea voastră. Luaţi de citiţi: despre stampile si facturi. Şi daţi mai departe!

9.4.08

Falimentele pe web

Citiţi acest studiu Coface, că e foarte interesant: Studiul falimentelor în România: 2007. Iată ce scrie la pag. 6: "Cele mai sigure domenii, cu o rata scazuta a insolventei raman in continuare industria energetica, extractiva, telecomunicatiile, IT-ul [- asta e de bine, n.m.] si intermedierile financiare. [...] In domeniul IT-ului este vorba de insolventa unor firme de talie mica care aveau ca obiect de activitate consultanta, realizarea de soft-uri si programare web [ - asta nu mai e de bine] sau intretinerea echipamentelor IT."

5.4.08

Chiloti, bonibon, flori, casete, faina...

Mai ţineţi minte buticurile din anii 90?

M-a cuprins un uşor sentiment de nostalgie când am intrat pe e7.ro şi am văzut în vitrina magazinului apartamente (da!), aparate de aer condiţionat, vopsea de ouă, chiuvete de inox...

3.4.08

Samitul lui peşte prăjit

După cât tămbălău au făcut ăştia cu samitul lor mă aşteptam să dureze câteva zile. Când colo se pare că toată vrăjeala s-a şi încheiat azi, după câteva ore de palavre în Casa Poporului.

Pana mea, să baţi atâta drum, să consumi atâta kerosen, să dai peste cap un oraş de 2 milioane de ciumeci, plus haitele de maidanezi aferente... pentru o chestie de câteva ore, mi se pare o tâmpenie. Oamenii ăştia n-au auzit de Skype?!