Na akkor reagálok néhány dologra, amit Krisztián írt, nyilván sokan ismeritek a levél tartalmát, ahogy látom itt a hozzászólásokból.
Krisztiánnak szinte mindenben igaza van. Nem azért töröltük, amit beírt, mert nem lenne igaz, hanem mert anno véglegesen kitiltottuk, amit nem azért tettünk, hogy "csak akkor írjon ismét, amikor kedve van".
Fox kolléga már leírta egy részét:
"Fox: Dióhéjban: Lovrek Krisztián alvó ügynöke a korábban nyilvánosságra került jelszólista segítségével belépett Barna nevében, és aktiválta Krisztián profilját, illetve a birtokába jutott személyes adatokat is elküldte neki. Krisztián pedig írt ide egy hozzászólást, amiben személyes adatokat is közölt, köztük egyik fórumtársunk nevét és címét, illetve Barna jelszavát."
Amit Harry-ről írt, arra nem tudok mit mondani: "töröltem is a virtuális életemből, amiért inkább neked hitt, és nem a szemének, úgyhogy ezúton is üzenem, hogy ne akarjon felvenni folyton MSN-en, mert blokkoltam"
"Az igazán tanulságos az lett volna, ha vki szépen kitörli az egész fórumot és társoldalait, az adminod profiljával kezdve" - ebben nem vagyok biztos, hogy jó lett volna, de ki tudja...
"eddig se vásárolt nálad a kutya se" - ezen maximum mosolyogni tudnék, de már nincs jó kedvem
"Tudod, egy darabig azt gondoltam a kis balhénk után, hogy te egy rosszindulatú ember vagy, és azért cselekszel úgy, ahogy, de most rájöttem, hogy valószínűleg szimplán csak iszonyat lúzer vagy, aki semmit sem tud irányítani.." - ez lehet, hogy így van. Nem lehet mindenki olyan ügyes. Lúzernek is kell lennie valakinek. :)
"Egy talpraesett ember kisebb birodalmat tudott volna építeni abból, amit te tavaly bevallottan majdnem kétszer csődbe vittél..Sebaj, ami késik, nem múlik.. " - na azért nem eszik olyan forrón a kását
"Én akit tudtam értesítetettem, hogy cseréljen jelszót, remélem mindenkihez eljutott az infó időben.." - Ezt köszönöm!
"Folyamatos kiabálás helyett néha talán hallgass másokra" - Nos, azért ha megkérdezném az összes ismerősömet, nem nagyon lenne szertintem 2 sem, aki engem hallott valaha kiabálni. Vagy egy sem... ..basszus. Most kiírom a facebook-ra.... ..kiírtam :) kiváncsi leszek. Nem is emlékszem, mikor kiabáltam Tihany-on kívül, ahol az a visszhang van... :P - majd megírom, mi lett a facebook kiírás eredménye. Vagy nézzétek meg :)
"További jó szerencsétlenkedést mindenkinek, aki szereti! " - Köszönjük.
Hát mondjuk érdekes volt a dolog...én nem követtem nyomon itt ezt a jelszópara dolgot, meg hogy kikerültek bizonyos adatok, szóval nem tudom mi lett a konklúzió, de ilyet, hogy a jelszavakat nem kódolva tárolják, meg hogy kikerül...eléggé nagy baki.
Persze aki linkelgette itt az is hasonló böszmeséget követett el, még ha jószándékkal tette is mindezt.
Dióhéjban: Lovrek Krisztián alvó ügynöke a korábban nyilvánosságra került jelszólista segítségével belépett Barna nevében, és aktiválta Krisztián profilját, illetve a birtokába jutott személyes adatokat is elküldte neki. Krisztián pedig írt ide egy hozzászólást, amiben személyes adatokat is közölt, köztük egyik fórumtársunk nevét és címét, illetve Barna jelszavát.
Három oldalt néztem meg, szerintem elég lite a bannoláshoz. Jeti viszont tetlegességgel fenyegetőzött, egy összevont szemöldökkel való nézés járna neki, ha csak nem visszaeső, amiért is komolyabb retorzió járna szerintem. Persze nincs beleszólásom, csak véleményem.
Ismerem a PhpBB fórumokat, de utálom őket. Remélem, rá tudnak cáfolni érveimre a többiek.
Csütörtökön tartunk egy céges értekezletet erről. A sokadikat :) Utána elmondom, mi lett belőle..... köszönök mindent!
Ismerem a PhpBB fórumokat, de utálom őket. Remélem, rá tudnak cáfolni érveimre a többiek.
Csütörtökön tartunk egy céges értekezletet erről. A sokadikat :) Utána elmondom, mi lett belőle..... köszönök mindent!
Tényleg nem értem, miért nem üzemeltek be valami bevált (kész, tesztelt, elterjedt, mások által továbbfejelsztett, javított, dokumentált, technikai segítséggel támogatott) fórummotort. Magyarország "Ennyi " fórumához az lenne ildomos, hogy korrekten működjön.
Rengeteg mindent tud. Nem tudom mennyi idő alatt üzemeltethető be, de gondolom alapértelmezett beállításokkal néhány óra alatt el lehet vele készülni, majd lefuttatni a migrációs szkripteket. Ha szeretnétek, és itt senkinek nincs tapasztalata még vele, szívesen kipróbálom (bár a PHP nem az én világom).
Itt van olyan funkció, amelyik évek óta nem működik, vannak bosszantó issue-k, amik szintén nem kerülnek elhárításra.
Barna! Kérhetnék olyan apróságot (bár megcsinálni nem biztos, hogy egyszerű), hogy a keresés funkciónál a legördülő, kiválasztandó topicokat tudnátok úgy rendezni, hogy az Adok-Veszek legyen legfelül? Szerintem ebben keresnek a legtöbben. Apró javaslat, hogy automatikusan lehetne rendezni a látogatottság szerint...
ne haragudj Barna, hogy belekotyogok, de nem ártana elküldeni egy körüzenetet "felkérés jelszócserére" hívószóval, mert a kendőzetlenül megtekintett egyszerű jelszavakból kiindulva a fórum 95%-nak (pl. Neked? ) még mindig u.az van. ide meg azért sokan ritkán néznek be szvsz.
már írtam, hogy érdemes lenne úgy kezelni a hivatkozásokat, ahogy a myspace vagy facebook teszi..., így túl könnyen láthatóak kívülről az IP címek szerintem.
nem teljesen, mert nem tört be sehova, és txt-be sem volt kimentve. egyszerúen beírt egy linket, ami úgy kezdődött, hogy http://www.hangmester.hu/....... szinte semmi védelem, egy sütivel a legtöbb böngészőt átengedte. szóval BÁRKI (te is) megnézhette évekig. user/email/pass és lakcím, ahol volt. nekem is ugyanaz maradt a jelszóm, bár azt sehol máshol nem használom, hála az egészséges paranoid-ságomnak.
ártalmatlan vicc volt, de látom el kell magyaráznom neked..
te lovagolsz azon több éve, hogy bárki megnézheti a userek adatait/jelszavait. és lám visszamenőleg igazad lett! (bár akkor nem tudtad bebizonyítani ezt.) de most, mikor már mindenkinek világos az ábra, ahelyett hogy vernéd a melled, hogy "JÁÁÁJDENEKEMIGÁZÁMVÓÓÓTNEMFIGYEETEK", ahelyett... be vagy sértődve egy ilyenen. GRAT
jólérteh. hogy "etikusan" körülnézett az adatbázisban, majd a usr/pass list-et textként megintcsak "etikusan" bepakolta a topikokba?
...az ilyen cselekedet a segítő szándék miatt csak tarkőlövést ér, enyhítő körülmény nélkül "öt év szigorított kötél"...
a helyes eljárás a "felfedezőtől" sztem: Barna felhív, mélben mellékelve a lista, csak hogy végre komolyan vegye, hogy ez nem játék,
Barnáéktól: köremil, b***t nagy tacepao az oldalra (mint Tibusz reggel felhívott), mindkét helyen laposkúszásban sűrű elnézés kéregetés a felhasználóktól "elkúúúrtuk!" címszóval, hogy...
Belépéskor automatice goto profiloldal és addig nem lehet továbbmenni beljebb, amíg nincs jelszó változtatva...
a régi fórum összes user-ének adatai jelszóval együtt fent volt védetlenül a szerveren. megtalálta valaki és "segítő jelleggel" belinkelte x+1 topikba. dióhéjban
hát csak annyi, hogy a picsahuszárhoz hasonló jelszavad volt. ha még mindig az, akkor érdemes lesz minél hamarabb lecserélni, mert jön Gabor... és meghekkel.
A Yami billentősöknél kérem töröljétek a #82928, és a #82929 Hsz.-mat! Mikor láttam mit linkeltem be, már nem tudtam kitörölni. Milyen lehetőség van erre?????
Lejjebb olvasható volt valakitől,hogy olyan regek is szerepeltek az adatok között,amik csak az új fórumra jellemző regek,adatok,stb.
Szóval ezt nem tudom hová tenni.
De az mindenképpen hatalmas hiba,hogy az új fórum kezdésekor az -állításotok szerint- régi adatbázist nem semmisítettétek meg,vagy legalábbis nem tettétek valami biztonságos helyre,ahol elérhetetlen.
Alapvető elvárás egy fórum üzemeltetőivel szemben,hogy a tagok az adataikat (még ha azok régi adatok is) biztonságban tudhassák. Pláne ha ezért a fórumért jópáran még fizetni is hajlandóak.
Lemaradtam egy pár nappal... Ha esetleg elküldenétek azt a linket amiről szó van, vagy legalábbis egy hozzáértő kitörölne, akkor megköszönném. Egy kicsit féltem az adataimat a nemkívánatos emberek elől....
Remélem, nem kértem valami hatalmas baromságot, bár csak részletekben vágom a témát. Pacsi
JOBB HELYEKEN...
...mi is így csináljuk! Az oldalol, mégegyszer mondom, a régi fórum user oldala volt Pont ez ilyenekért csináltuk a nagy változtatásokat és az új fórumban az indulástól így tárolódnak a jelszavak. SENKINEK nem tudjuk a jelszavát. Csak újat tudunk generálni. De ez benne is van a szabályzatban.
A munkahelyemen tegnapig erről a linkről fórumoztam:
"HANGMESTER.HU - Ennyi :) - Magyarország legnagyobb zenész fóruma!
Akinek sürgős, minél hamarabb jelezze a hangmester@hangmester.hu címen, ...
www.hangmester.hu/newforum/ - Tárolt változat - Hasonló"
Amikor kiderült az "adat-balhé" - nem sokkal utána elérhetetlenné vált ezen az úton a Fórum. Az otthoni gépemen ugyanez csak ma este következett be.
Azért írom be, mert hátha van valami jelentősége. Nem lehet, hogy mégiscsak "dolgozgat" valami mókus a gépeinken?
Nincs valami teendőm?
A mondanivalóddal egyetértek,ám a megfogalmazás stílusával,már nem:Ami megtörtént azon már nem lehet változtatni,viszont,biztos vagyok benne,hogy megoldják a problémát,az a számítógéphez teljesen analfabéta agyamban nekem is megfordult,miért "kutat" valaki az adataink után?Amennyiben a rendszer sebezhetőségét tesztelte,akkor jó,hogy kutakodott,viszont,ha nem.......
Még egy kis utólagos okoskodás: Jobb helyeken a userek jelszavát egyirányúan kódolják, így a jelszót az adminok sem láthatják, nekik legfeljebb új jelszó megadásához van joguk. Ez így korrekt, mert én spec. nem akarnám, hogy akár az adminok ismerjék a jelszavamat, amit akár máshol is használhatok. Kicsit azért ledöbbentett, hogy itt ti simán látjátok a többezer user jelszavát. Most oké, lehet hogy ti rendes csávók vagytok és nem akartok senki jelszavával visszaélni, de itt nem is erről van szó, ez elvi kérdés.
De azért eleve nem kellett volna,hogy bárki(!) hozzáférhessen,akinek nincs hozzá joga,így azért a ti felelősségetek sem hanyagolható el!
Elég egyszerűen elérhető webcím alatt voltak az adatok,nem tettetek túl nagy hangsúlyt a titkosításra.
Ma délelőtt kb 10:00 órától bő egy órán keresztül. Engem is bosszant nagyon, de már nincs mit tenni. Mondjuk kicsi az esély rá., hogy a linkelő kollégán kívül más így véletlenül rátalált volna... ..ha ő nem linkeli be "segítő szándékkal" több topic-ba is, hogy mindenki hozzáférjen........!
Na átnéztem a regjeimet és ahol ez volt a jelszavam,már meg is változtattam.Nekem nem jött be a lista,de így is bosszant,hogy kikerült a netre nyilvánosan a jelszavam,mélcímem...És a kérdés,hogy valyon mióta volt elérhető a lista?
A félreértések elkerülése végett. Csupán segítő szándékkal írtam a fórum több topic-jába. Semmi rossz szándék nem volt ebben. Mivel ahogy én rátaláltam a neten úgy akár más is rátalálhatott. Amúgy ment e-mail is a hangmesternek is.
Azt szerintem én okoztam azzal a beírásommal, amikor be akartam másolni a users.php tartalmát. Töröljétek a mindjártmondom hanyas hsz-emet, akkor sztem jó lesz.
már nem lehet elérni a taglistát, viszont ennél a topiknál tovább dob az unauthorized access-re, ha nem nyom az ember időben egy letöltés megszakítását.
"Egyébként ezek régi adatrok voltak, a régi fórumra vonatkozón, címek, egyebek nélkül, tehát a mostani adatokat senki nem láthatja, hét lakat alatt őrizzük."
Nagyon tévedsz!! Úgy húzzák ki alólatok az adatbázist ahogy nem szégyellik, benne természetesen az aktuális adatokkal. Javaslom hogy nézessétek át a portált.