Komentarze do: Zrób sobie promocję w Merlinie, czyli panel administracyjny dostępny dla każdego (uaktualnienie)

Autor: sulucilus

sulucilus — Tue, 29 Jul 2008 11:19:25 +0000

@Bartek Raciborski to nie jest chwalenie sie(moze zle to napisalem dlatego tak zrozumiales, jesli tak to przepraszam..) bo nei ma czym :) (bym wolal cos wlasnego stworzyc i Tym sie chwalic :) ) poprostu chcialem pokazac, ze tego Typu bledy sa czeste.. i nie ma nic w tym dziwnego.. bo programisci ida na latwizne :) btw taka mala ciekawostka.. sprawdz logi bledu 404 na swoich serwisach.. jak bedziesz mial “szczescie” to zobaczysz w nich slad po robotach skanujacych tego typu sciezki (admin/, phpmyadmin/ etc) sam kiedys nawet napisalem takiego z dosc duza baza takich folderow i plikow :)

Autor: sulucilus

sulucilus — Tue, 29 Jul 2008 11:12:29 +0000

@Bartek Raciborski oj nie wiesz to nie pisz :) zobaczylem tylko 3-4 maile aby wiedziec czy to stare pliki czy nie i im ten blad zglosilem :) napewno nie skopiowalem calej listy maili i sobie przegladalem bez przesady (chcialem poprostu zobaczyc co to za pliki, czy napewno maile), nie mam czasu na czytanie i odpowiadanie na wszystkie swoje maile, a co dopiero innych :) poza tym.. blad dostepnego dla wszystkich panelu admina (dostepu do bazy np. za pomoca phpmyadmina lub tez innych plikow ktore sa publicznie dostepne bez zadnego zabezpieczenia np. ostatni wyciek CV) zdarza sie bardzo czesto.. kilka lat temu nawet onet mial ten blad :)

Autor: Bartek Raciborski

Bartek Raciborski — Tue, 29 Jul 2008 09:29:27 +0000

@sulucilus: Nie wiem jak działał panel Merlina, bo nie próbowałem używać żadnej funkcjonalności ani klikać nigdzie dalej, żeby im nie mieszać. Po prostu dałem im znać.

Ty, z tego co piszesz, nie mogłeś się powstrzymać od przetestowania panelu i od przeglądania poczty pracowników Helionu (nawet jeśli tylko listy maili a nie treści). I jeszcze się tym chwalisz wszem i wobec. Bez komentarza.

Autor: sulucilus

sulucilus — Tue, 29 Jul 2008 08:48:14 +0000

@Bartek Raciborski, po tym jak helion nie wyslal nawet podziekowania za to ze powiedzialem im.. ze ich wszystkie maile byly dostepne pod adresem http://helion.pl/webmail/ (btw ciekawe jest to ze w helionie pare osob uzywa maila firmowego jako prywatnego – sporo zaproszen z n-k bylo ;p) jakos odechcialo mi sie informowac innych, poza tym to tylko ustawianie promocji nic wiecej tam nie bylo(i to chyba nie dzialalo tak jak powinno albo poprostu ja nie widzialem efektow jak sprawdzalem jakies tam ID).. przynajmniej jak ja tam bylem jakis czas temu.. poza tym ten panel wygladal tak jakby to byl bardzo stary panel admina juz nie uzywany ;)

Autor: piczu

piczu — Mon, 28 Jul 2008 18:11:34 +0000

It’s not a Bug! It’s an undocumented feature

Autor: Maciek Swoboda

Maciek Swoboda — Mon, 28 Jul 2008 17:16:22 +0000

Wg mnie to troche niepowaznie podeszli do tego problemu. Moze i panel nie pozwalal na zadne niepozadane dzialania, ale skoro taki problem sie pojawil to moze to swiadczyc o tym, ze admini nie przykladaja odpowiedniej uwago do tego co robia… I kiedys zrobic podobny blad, ktory juz bedzie mial powazne skutki.

Autor: Bartek Raciborski

Bartek Raciborski — Mon, 28 Jul 2008 15:27:56 +0000

@tn: Od tego jest przecież “cynk”. Poza tym nie wydaje mi się, żebym to info dostał od Ciebie – dobrze wiem od kogo je dostałem (nie anonimowo).

Webstop to nie pudelek, za to kwestie bezpieczeństwa w jednym z największych serwisów ecommerce w Polsce (który przechowuje m.in. również moje dane) zawsze będą dla mnie ważne i uważam, że warto głośno o nich mówić.

Autor: tn

tn — Mon, 28 Jul 2008 15:22:38 +0000

lansiaz…dostal cynk i wykorzystal na blogu do swojego celu, czyli…
nastepnym razem “cynkowi” nic nie powiem.

nie wiedzialem,ze ten blog o taki “pudelek IT” :P

Autor: webjay

webjay — Mon, 28 Jul 2008 12:30:42 +0000

@Barek: a moim zdaniem zdumiewajace jest to, ze ludzie nie potrafia docenic tego, ze podsylasz im emaila z dziura…

na ladnych kilkadziesiat przypadkow – prawie wszystkie skonczyly sie na moim emailu (0 odpowiedzi). w dwoch przypadkow natychmiast wylaczono serwer, a odpowiedz w stylu dzieki dostalem bodaj trzy razy. jedynie raz w prezencie otrzymalem pakiet hostingowy na 2 lata za free (wartosc ok. 6000PLN wtedy).

IMHO bierze sie to stad, ze ktos, kto odpowiada za aplikacje / administracje serwerem nie chce, zeby informacja o lukach dotarla gdzies wyzej w szczeblach firmowej struktury (prestiz, premia, ew. konsekwencje) – a przeciez miec luke i o niej wiedziec, to jeszcze nie jest koniec swiata. gorzej, gdy luka jest – a my o niej nic nie wiemy…

Autor: Bartek Raciborski

Bartek Raciborski — Mon, 28 Jul 2008 11:55:08 +0000

@sulucilus: Zastanawiające, że nikt z owych wielu osób nie pofatygował się wysłać Merlinowi maila z info.

Autor: sulucilus

sulucilus — Mon, 28 Jul 2008 11:43:33 +0000

eee troszke stara ta informacja :p wiele osob wiedzialo o tym jakis miesiac temu :)

Autor: ktośtam

ktośtam — Mon, 28 Jul 2008 11:23:16 +0000

No to się postarali chłopaki. Jakbyś zapytał o nagrodę, to by Cię pewnie oskarżyli o szantaż albo coś podobnego.

Autor: Bartek Raciborski

Bartek Raciborski — Mon, 28 Jul 2008 08:53:22 +0000

Nie pytałem o żadne nagrody, po prostu wysłałem im info. Dostałem dziś rano jednolinijkowego maila z podziękowaniem.

Autor: mGz

mGz — Mon, 28 Jul 2008 08:39:53 +0000

ach wy hakierzy :) ostatnio za błąd znaleziony na helionie miałem 3 dni zniżki 50 % :)

Autor: Polinik

Polinik — Mon, 28 Jul 2008 08:36:34 +0000

A merlin.pl jakoś Ci podziękował? Zniżki? Jakaś nagroda? Czy zero wdzięczności?

Autor: grzegor

grzegor — Sun, 27 Jul 2008 15:28:31 +0000

No niepowiem, żeby ta zakryta część linku była jakoś szczególnie trudna do zgadnięcia.