Marek Kotoński Opublikowano 7 Czerwca 2016 Udostępnij Opublikowano 7 Czerwca 2016 Panowie, zwłaszcza informatycy - mam pytanie. Na naszym forum dostał uprawnienia administratora (czyli cała wiedza) gość, który zaprojektował aplikację o wpłacaniu pieniędzy - i ją spierdolił swoją drogą, bo jak pamiętacie osoba wpłacająca kasę, dostawała uprawnienia admina. Dobrze że The Saint to zauważył i dał od razu chłopakom znać. Przeżyłem chwile grozy.... Czy to jest normalna procedura? Tak szczerze. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
Mosze Red Opublikowano 7 Czerwca 2016 Udostępnij Opublikowano 7 Czerwca 2016 Gdyby to był bank lub poważna firma to taki admin wyleciał by z pracy i pewnie skończył w pierdlu. Za danie osobom trzecim dostępu do informacji poufnych, naruszenie tajemnicy handlowej są odpowiednie paragrafy w kodeksie karnym. Przecież on dał dostęp obcej osobie do wszystkiego na forum. Pewnie się tłumaczył, że pan od skryptu nie zna naszego języka, zgadłem? Chuj nie tłumaczenie. 2 Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
Mordimer Opublikowano 7 Czerwca 2016 Udostępnij Opublikowano 7 Czerwca 2016 (edytowane) RTFM - read the fucking manual zasada stara - nie wiesz nie ruszaj Edytowane 7 Czerwca 2016 przez Mordimer Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
Krogulec Opublikowano 7 Czerwca 2016 Udostępnij Opublikowano 7 Czerwca 2016 Aplikacje trzeba zaimplementować, czyli albo przekazać ją adminowi, który będzie sam sprawdzał czy aplikacja działa poprawnie i wykrywał błędy, albo na własne ryzyko daje sie dostęp z prawami admina temu który aplikację pisał. Od strony prawnej nie mam pojęcia jak to wygląda, czy to umyślne nieumyślne, czy trzeba było spisać umowę i jakoś się zabezpieczyć. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
The Saint Opublikowano 7 Czerwca 2016 Udostępnij Opublikowano 7 Czerwca 2016 Może to tylko moje srebrniki miały tak magiczną moc . Przed następną wpłatą poinformuje o zamiarach, by Boss i Elita mieli ręce na pulsie Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
Ancalagon Opublikowano 7 Czerwca 2016 Udostępnij Opublikowano 7 Czerwca 2016 Póki tego nikt nie wykorzysta w jakiś sposób, raczej nic mu nie grozi. Ja odpowiednie klauzule w umowie mam. I dostęp do tysięcy numerów PESEL też Profesjonalnie powinno wyglądać to tak, że gość ma wystawioną stronę na bazie testowej, na której sobie robi, co mu się żywnie podoba. Jeśli wszystko przejdzie testy - zmiany przenosi się na wersję "produkcyjną". Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
Brzytwa Opublikowano 7 Czerwca 2016 Udostępnij Opublikowano 7 Czerwca 2016 Chłopski rozum i zwykła ludzka uczciwość wskazuje, żeby w takich przypadkach po pierwsze powiadomić inwestora o zamiarze, a nie że dowiaduje się on o tym po fakcie. PO, TO MOŻNA POPIĆ WODĄ. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
Marek Kotoński Opublikowano 8 Czerwca 2016 Autor Udostępnij Opublikowano 8 Czerwca 2016 Dziękuję wszystkim. Ja się na tym nie znam, ale jestem coraz bardziej zdziwiony tym wszystkim. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
Nomorepanic Opublikowano 8 Czerwca 2016 Udostępnij Opublikowano 8 Czerwca 2016 (edytowane) Normalna porcedura to tak jak pisał @Ancalagon, testowanie nowej funkcji na testowej wersji programu, bez dostępu do danych produkcyjnych. Robi się to w ten sposób, że zazwyczaj kopiuje się bazę danych i stawia drugą wersję aplikacji korzystającą tylko ze skopiowanych danych. Dopiero po przejściu testów kod jest wrzucany na "produkcję". Po testach wersja testowa jest usuwana. Dodatkowo podobne sytuacje mogłyby zostać wykryte przez testy funkcjonalne. Pracując nad projektem programiści powinni pisać testy, które automatycznie sprawdzają czy czegoś nie zepsuli dodając dalsze funkcje do systemu. Niestety takie podejście wymaga pewnego nakładu pracy i czasu, czyli kasy i "biznes" nie zawsze to rozumie, zwłaszcza przy mniejszych projektach. W Twoim przypadku na pewno powinieneś mieć podpisaną jakąś specyfikację, gdzie masz szczegółowo wypisane zmiany, które powinny zostać wprowadzone jako efekt pracy + punkt który mówi o tym, że dotychczasowa funkcjonalność forum musi pozostać niezmieniona za wyjątkiem zmian opisanych w tej specyfikacji. Mając specyfikację umawiasz się na konkretną pracę, masz prawo jej nie przyjąć, jeżeli nie jest ona zgodna ze specyfikacją, masz prawo reklamować błędy. Dodatkowo pamiętaj aby okresowo wykonywać kopię zapasową bazy danych oraz aplikacji forum i koniecznie składować ją w innym miejscu niż serwery produkcyjne. Edytowane 8 Czerwca 2016 przez Nomorepanic Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
Marek Kotoński Opublikowano 8 Czerwca 2016 Autor Udostępnij Opublikowano 8 Czerwca 2016 Dzięki, chodzi o to że wczoraj Brzytwa zauważył, że jakiś koleżka ma uprawnienia admina - pytam Artura i mówi że to koleś który stworzył tę aplikację od hajsu. No a admin może WSZYSTKO, np. może skopiować nasze dane i gdzieś je sprzedać, bo ponoć nie zna języka polskiego. Tymczasem aplikacja daje dupy, np. nie każdy ma przy nicku adnotację że dał hajs, albo inne problemy, że nie wspomnę o horrorze z The Saintem - a Artur nie miał komórki i kompa przy sobie, był niedostępny do następnego dnia. Dobrze że to zauważyłem, bo byłoby po forum. Na szczęście znalazłem te opcje i wyłączyłem po godzinie szarpaniny. Ale powoli mam dość. Na fejsie mam kilkadziesiąt wiadomości nieprzeczytanych, meil pęka w szwach, ludzie chcą audycji, na forum jak nie jestem to znaczy że się nie integruję, w realu masa zajęć a hajsu nie ma bo przehulałem na skuter. Jeśli jeszcze będę musiał siedzieć nad forum i bać się że pierdolnie, to jest to za wiele jak dla mnie. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
SennaRot Opublikowano 8 Czerwca 2016 Udostępnij Opublikowano 8 Czerwca 2016 3 minuty temu, Farbowana Kita niehabilito napisał: Na fejsie mam kilkadziesiąt wiadomości nieprzeczytanych, meil pęka w szwach, ludzie chcą audycji, na forum jak nie jestem to znaczy że się nie integruję, w realu masa zajęć a hajsu nie ma bo przehulałem na skuter. Czyli wszystko idzie w dobrym kierunku tylko hajs do końca się nie zgadza ale na niego też przyjdzie czas. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
Marek Kotoński Opublikowano 8 Czerwca 2016 Autor Udostępnij Opublikowano 8 Czerwca 2016 Przed chwilą, SennaRot napisał: Czyli wszystko idzie w dobrym kierunku tylko hajs do końca się nie zgadza ale na niego też przyjdzie czas. Nie chodzi hajs w sumie, tylko o to że ja nie zajmę się serwerami itd., ponieważ na tym się nie znam i nie ma sensu żebym się tego uczył. Mam inne talenty - ale jeśli rano mam badania krwi, chcę spać i godzinę w nerwach szarpię się żeby wyłączyć aplikację po angielsku, żeby mi ktoś nie rozpieprzył forum, to jestem tym przybity jak cholera jasna. 10 godzin temu, The Saint napisał: Może to tylko moje srebrniki miały tak magiczną moc . Przed następną wpłatą poinformuje o zamiarach, by Boss i Elita mieli ręce na pulsie Za info dzięki, ale mała uwaga - ogłosiłeś to na czacie, a zawsze mamy dużo gości. Nie wiemy ilu z nich to hakerzy, ludzie nas autentycznie NIENAWIDZĄCY. Z tej informacji ktoś mógłby skorzystać. Więc taka prośba do Ciebie i do innych. Jak zobaczycie że coś jest mocno nie tak, dajcie info do mnie i do chłopaków z moderacji - żeby nasi wrogowie tego nie widzieli. Jak nie wie, to nie wykorzysta. Chyba żaden haker by nie wpadł na to, że aplikacja jak ktoś da hajs, daje prawa admina. Przecież to kurwa totalne szaleństwo i niedoróbka, która mogła mnie kosztować tyle lat pracy. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
Ancalagon Opublikowano 8 Czerwca 2016 Udostępnij Opublikowano 8 Czerwca 2016 1 godzinę temu, Nomorepanic napisał: Normalna porcedura to tak jak pisał @Ancalagon, testowanie nowej funkcji na testowej wersji programu, bez dostępu do danych produkcyjnych. Robi się to w ten sposób, że zazwyczaj kopiuje się bazę danych i stawia drugą wersję aplikacji korzystającą tylko ze skopiowanych danych. Akurat w przypadku pełnej kopii bazy programista również miałby dostęp do wszystkich danych. Tutaj należałoby utworzyć bazę o tej samej strukturze i jedynie kilku testowych kontach. Reszta nie byłaby mu do niczego potrzebna. Jeśli chodzi o wykradzenie danych użytkowników - na szczęście poza adresami e-mail wiele ciekawego do wykorzystania być nie powinno. Dużo poważniejszy jest przypadek z nadaniem praw admina przypadkowej osobie. Mógłby taki delikwent wykasować duże ilości treści będąc początkowo niezauważonym. Jednorazowy drop byłby do odzyskania z kopii. Stopniowe kasowanie przez edycję dałoby w efekcie totalny zonk po jakimś czasie. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
bart Opublikowano 8 Czerwca 2016 Udostępnij Opublikowano 8 Czerwca 2016 (edytowane) wg takie pluginy do forum są podrzędnej jakości z tego powodu, że klienci takich pluginów również nie sa zbyt ważni. W porównaniu oczywiście do instytucji finansowych, banków, sklepów. Ja bym czemuś takiemu nie zaufał. Mysle, że bezpieczniej byloby uzyc PayPala, albo PayU i zrobic jakąś integrację na zasadzie: System Płatniczy -> Dane w API -> Forum. A z tymi uprawnieniami to totalna porażka, dyskwalifikacja. Czy to w ogole bylo testowane? Edytowane 8 Czerwca 2016 przez bart Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
Nomorepanic Opublikowano 8 Czerwca 2016 Udostępnij Opublikowano 8 Czerwca 2016 To zalaży od poziomu poufności (np. czy DB zawiera dane wrażliwe), jaki musi zostać zachowany przy realizacji projektu. Jeżeli developer nie ma prawa poznać danych zawartych w bazach danych to masz rację. Jeżeli baza produkcyjna ma klikadziesiąt, kilkaset GB danych to też nikt nie będzie jej kopiował w całości, bo to zbyt dużo zachodu. Ale dla mniejszych aplikacji może się okazać, że szkoda zachodu z selekcją danych, tworzeniem przykładowych wpisów itp. Wtedy można sobie pozwolić na pełną kopię DB aby nie mieszać w danych produkcyjnych podczas samego developmentu jak i testowania. Mam nadzieję, że się ze mną zgodzisz I tak prawie zawsze devowie podpisują papierek zobowiązcujący do zachowania poufności, a w razie złamania tej zasady może skończyć w sądzie. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
Ancalagon Opublikowano 8 Czerwca 2016 Udostępnij Opublikowano 8 Czerwca 2016 Oczywiście, że się z Tobą zgadzam. Ja tylko zwróciłem uwagę, jak powinno być w tym przypadku, gdzie rozchodziło się właśnie o dane użytkowników Jeśli w bazie nie ma nic ciekawego, możesz udostępnić pełne dane. Ja klauzulę poufności oczywiście mam i raczej niespieszno mi do dzielenia się danymi 1 Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
ThePowerOfNow Opublikowano 8 Czerwca 2016 Udostępnij Opublikowano 8 Czerwca 2016 15 godzin temu, Farbowana Kita niehabilito napisał: Czy to jest normalna procedura? Tak szczerze. Jeżeli w planie było dodawanie do specjalnej grupy żeby wyróżnić użytkowników, to na 99% to po prostu pomyłka programisty. Trzeba by dokumentacje przeczytać. W bazie danych grupa admin ma ID 1 , a inne mają 2,3,4 itd. I po prostu zapomniał tego zmienić. Odnośnik do komentarza Udostępnij na innych stronach Więcej opcji udostępniania...
Rekomendowane odpowiedzi