25.4.08

Lectii de vulnerabilitate cu magazinele online romanesti (2)

Gata, domnule Barbu? Te-ai răcorit?

Întrucât eşti în feed-ul meu de bloguri preferate puteam să-ţi răspund de azi dimineaţă, dar am zis să se hăhăie lumea niţel ca să le stea hăhăitu'n gât după aia.

Una din lecţiile de vulnerabilitate ale magazinelor virtuale româneşti vine şi din faptul că securitatea le poate fi apărată de specialişti de top cum e domnul Barbu. Şi, atenţie: când zic că domnul Barbu e specialist de top chiar consider că e specialist de top. Dar mă refer aşa, ca şi cum aş zice că l-ai pune pe Ronaldo să joace în apărare. E superfotbalist, dar asta nu înseamnă că te scuteşte de belele.

15 minute ici, 15 colo şi uite aşa ţi-ai pierdut matale ieri ziua de lucru şi dimineaţa de azi ca sa scoţi ditamai mirabilul hate-post.

Dacă aş fi sarcastic ţi-aş răspunde aşa: "Mulţumesc frumos pentru auditul gratuit. Ţi-aş fi recunoscător dacă ai face unul similar şi pe v2, pentru că asta mă interesează în mod special acum."

Cum sarcasmul nu mă caracterizează, dar ironia da, îţi răspund doar ironic: "Decât să pierzi o zi întreagă de lucru cu MRex-uri, mai bine îţi cheltuiai energia pe magazinul matale, ştii tu care." Unde breşa aia tâmpită încă e deschisă şi dacă n-ai fi atât de orbit de ură ai putea judeca cu creierul limpede care e problema.

Di-un par egzamplu ia să vedem, răspunde la numărul 07xx xxx xxx cineva din Gxxxxxx ;) ?

Ce sa spun, marele guru al securităţii IT face o descoperire senzaţională: un soft de 499 de euro , variantele 0,000x, avea lacune de securitate! Wow! Senzaţional, doamnelor şi domnilor! Mirobolant! Incredibil dar adevărat!

Ok, noi, programatorii ăştia "de duminică", o să facem update-uri de securitate gratuite pentru toţi clienţii noştri şi ne vom instrui distribuitorii să facă la fel (apropo, dacă inteligenţa matale explozivă nu era atât de orbită de ură te-ai fi uitat la ROTLD şi nu-ţi mai băteai capul cu TopVideoMall: acolo nu impresionezi pe nimeni). Dar matale ce faci de 72 de ore încoace (parcă atât a trecut de când i-am zis cunoştinţei noastre comune de problemă...)? Cauţi să prinzi capra vecinului în loc să te preocupi de problema clientului. Wow! Aşa client service mai zic şi eu, să tot merite să dai găletuşa de bani pe el. "Lucrurile de proastă calitate sunt în general ieftine." Dacă n-ar fi tristă afirmaţia asta stupidă, ştiind de la cine vine, m-ar bufni râsul.

Ca să te liniştesc îmi iau angajamentul că de azi încolo nu voi mai accesa informaţiile care nu-mi aparţin şi nici nu voi spune cuiva cum se face.

Din respect pentru şeful tău cu care am discutat ieri şi căruia i-am făcut o promisiune, nici nu voi recurge la seoisme ieftine de genul: să pun în titlul postului soluţia de e-commerce pe care ar trebui să o "aperi" mătăluţă (reciproc, apreciez mârlănia de care dai dovadă, n-am ce zice), nici măcar nu o amintesc, nici măcar nu zic numele firmei al cărei angajat eşti, nici măcar nu zic cum am ajuns să ne intersectăm şi de ce vi s-a pus pata pe mine. E Vinerea Mare şi-mi fac păcat cu cine nu e cazul.

Aşa că, sayonara! Mai ia o lingură de ură şi bagă iar un search, că e al dracu' de simplu.

Tuturor celorlaţi (inclusiv şefului tău) vă urez Paşte Fericit! Ţie îţi urez doar "vacanţă plăcută", fiindcă ştiu că nu crezi în chestiile astea.

7 comentarii:

Alexandru spunea...

Avand in vedere ca voalat bati apropouri la o aplicatie care ar avea ceva vulnerabilitati, din gradina noastra (nu este nimic de ascuns in faptul ca Tudor activeaza in cadrul Zitec, ba dimpotriva), te-as ruga sa o comunici. Fie in particular, fie public - alegerea e a ta :)

Nu avem nimic de ascuns si daca exista probleme de securitate pe care nu le stim, prefer chiar o postare publica (un fel de contra-kems, daca simti nevoia) decat lipsa de informare. Pentru ca astfel o sa putem sa o rezolvam, si sa oferim un produs mai bun.

Evident, asta daca am inteles corect, si bati apropouri relativ la o aplicatie de-a noastra (Zitec). Rugamintea ramane valabila si daca este vorba de produsul altora, concurenti sau nu cu voi sau cu noi.

Salutari (nici eu nu le am cu sarbatorile astea sinucigase),

Lucian Sarbu spunea...

Salut Alex,

Îţi promit aici, public, că îţi voi spune despre ce e vorba, dar vreau să-mi petrec Sărbătorile liniştit şi să-l las pe expertul vostru să fiarbă un pic în suc propriu, pentru că merită. Şi să-i tai de la salariu ziua de ieri!

Nu voi spune însă în public care e problema. Ea face parte din cele 25 de repere pe care noi le-am avut în vedere în v2. Asta e, alţii or avea în cap 1000 de repere :) dar uite că tocmai pe unul din cele 25 nu îl au. O să-ţi spun numai în privat.

Dacă, presupunând prin absurdul absurdului absurdităţilor că ditamai Ronaldo al securităţii IT tot va putea lua gol printre picioare şi săptămâna viitoare, atunci un bax de bere şi o discuţie în privat, plus o mică demonstraţie va rezolva problema.

De asemenea, ţin să te asigur că NU mai ştie nimeni altcineva în afară de noi (adică ăştia, programatorii de duminică) de problema asta şi NU am spus nimănui nimic, nici NU avem de gând să spunem. E un angajament ferm. Până află Tudor care e treaba , stai liniştit, că n-are ce să se întâmple pe magazinul ăla. Are puţini vizitatori şi 0 virgula ceva comenzi pe zi.

Sarbatori fericite! Si fii calm! :)

Alexandru spunea...

In primul rand iti multumesc pentru ca m-ai informat despre vulnerabilitate, am rezolvat-o deja (nu e nici o urma de sarcasm sau ironie aici, chiar ne-ai ajutat doar spunandu-ne ca ea exista).

In al doilea rand sa stii ca nu-s nervos sau altceva, nu stiu ce te-a facut sa crezi asta. Sunt chiar bucuros ca am rezolvat o gaura de securitate din produsul nostru.

Speram singura :)

Lucian Sarbu spunea...

Ei!!! Era "dudă" sau nu?! (apropo, că Tudor mă trage de urechi inclusiv că mă iau de dude... :)

Alexandru spunea...

Da, era o scapare aiurea din partea celui care a programat sectiunea respectiva. Omul e supus greselii :)

Insa nu vad ce treaba are Tudor (in care vrei sa dai aici cu spor) cu o alta aplicatie, la care el nu a lucrat, si mai ales avand in vedere ca el este de cateva zile la noi.

Ce sa faca omul, sa purice tot ce am facut noi in 5 ani de activitate? Si am facut ceva :)

Prin urmare, faptul ca ai vrut sa dai in Tudor atacand o aplicatie cu care el nu are legatura ne-a ajutat sa reparam o problema (destul de repede daca te uiti la orele de postare :) S-ar fi putut si mai repede dar am fost la masa :) ).

Ar fi fain daca si tu ai putea spune acelasi lucru despre problemele voastre de securitate :)

Lucian Sarbu spunea...

Ne străduim cu toate puterile noastre de programatori de duminică. :)

Cristian spunea...

Nu cred c-a fost SEOism ieftin faptul ca a pus MRex in titlu. Ce ai fi vrut sa puna in titlu? Mie unul mi se pare un titlu pertinent.