niebezpieczny błąd forum! zmiana na innego usera

[Gość Classified]

Z całym szacunkiem dla wartości merytorycznej, ale z tego forum korzystać się nie da.

Mathu, nie denerwujmy się.

Koń jaki jest, kazdy widzi.

 

Jestem informatykiem i nikt mi nie wmówi że coś takiego "się zdarza".

Ja tez, serwisuję 6 średnich firm od strony workflow, sieci rozległych i LAN oraz końcówek. Fakt jest taki, że aby dobrze operować silnikiem forum, trzeba go doskonale znać. Co prawda obecne fora są tak tworzone że nawet dziecko może nimi zarządzać przez panele www - ale wszelkie modyfikacje i zmiany wymagają dogłębnej wiedzy o danym engine.

Co do tej sytuacji - wiesz, różnie to bywa. Np sytuacja z robakiem co dopisywał się do kodu HTML ciągnęła się za długo. Jak tutaj jest - nie wiem.

Ogólnie to nie irytujmy się

 

pełnym audytem bezpieczeństwa

Wciąż za rzadko sie te audyty robi...ale pomagają sprzątac tzw nieprofesjonalistów i piratów.

Przydają sie też do oceny bezpieczeństwa sieci, w końcu robią je ludzie co zjedli zęby na podważaniu algorytmów szyfrujacych, baz danych i innych takich

[dariusz chlastawa 708]

Jesli jesteś informatykiem i jeśli leży Ci na sercu dobro portalu -pomóż w pracach . Po prostu .

Co do audytu - nie jesteśmy forum komercyjnym , tylko miejscem spotkań pasjonatów i hobbystów , MIEJSCEM SPOTKAŃ !

Oczywiście ,że w miarę rozwoju finansowego , adekwatnie do potrzeb i możliwości bedziemy inwestować w rozwój systemów IT , bezpieczeństwa etc , ale w chwili obecnej ważniejsze wydaje się np spotkanie 2010 ( na którym , od razu zaznaczam ,nie będzie wynajętych ochroniarzy ani BOR , w przeciwieństwie do spotkań G8 czy Davos )

[Gość mathu]

Poprosiłem tylko o prostą informację - z czego wynikał błąd dostępu do sesji innego użytkownika.

 

To nie jest jakiś tam bug który mógł siedzieć w silniku forum, tylko rezultat jakiegoś grzebania w kodzie i popełnienia krytycznego błędu.

[Gość Classified]

Co do audytu - nie jesteśmy forum komercyjnym , tylko miejscem spotkań pasjonatów i hobbystów , MIEJSCEM SPOTKAŃ !

Nikt nie proponuje tutaj audytu.

 

Jesli jesteś informatykiem i jeśli leży Ci na sercu dobro portalu -pomóż w pracach . Po prostu .

Macie już ludzi od tego przecież? Poza tym - mam poprawiac coś co ktoś zrobił? Poza tym to foum miłośników zegarków, wchodzę tu aby móc BEZPIECZNIE i WYGODNIE rozmawiać o zegarkach. Po prostu. Od administracji niestety ja nie jestem, przykro mi.

 

Jako człowiekowi z natury analitycznie myślącemu a na dodatek specjaliście w danej dziedzinie cięzko mi zrozumieć wypowiedź "większośc błędów została usunięta", Mathu ma rację pisząc że administrator powinien przynajmniej symbolicznie napisać co zrobił, taka skromna lista. Użytkownicy mają prawo się niepokoić, nie? W końcu nikt nie lubi jak mu znienacka konto zmienia postac

 

mamy niepoprawną obsługę cookies

LOL zabawne bo to samo słyszałem od supportu Lenovo ostatnio

[dariusz chlastawa 708]

Panowie albo mamy dobrą wolę i intencje , albo po prostu szukamy czego by się tu przyczepić .

O usunięciu większości błedów pisałem ja a nie admin , żeby wyczerpać analityczny umysł miałbym napisać np Uunięto 33 z 33 krytycznych błedów , 857 z 859 mniej istotnych i 1836 z 1745 kosmetycznych ??

 

jesli uwazacie ,że to bank to macie rację w swoich zastrzeżeniach , jesli ,że forum dyskusyjne o zegarkach to do licha zagrożenie wynikające z kilu zalogowań się na innych użytkowników JEST ŻADNE

[Marcin Pietrzak 0]

Proszę o jawną informację co było przyczyną błędu, jak został poprawiony i dlaczego wystąpił.

 

Przesiadaliśmy się na nowy serwer w którym pracuje kilka chrootów.

Z założenia jedynym otwartym na porcie 80 miałbyć nginx, proksujący

do wewnątrz na dość losowe, wysokie porty, do których dostęp jest zamknięty

na poziomie firewalla.

 

Okazało się że nginx nie do końca dobrze forwarduje remote_ip, co skutkowało

przejmowaniem sesji w dość losowy sposób. Choć prawdziwej przyczyny upatrywałbym

raczej w samym silniku forum.

 

Po dołożeniu dodatkowego IP do serwera i umożliwieniu apache'owi dostępu do portu

80 problemy w naturalny sposób ustąpiły.

 

Jeżeli zna Pan jakiś działający "doskonale", bo jak widzę "dobrze" to za mało,

i poświęci czas na konwersję bazy, to nie sądzę, żeby władze stowarzyszenia

miały coś przeciwko.

 

Sumarycznie dlaczego błąd wystąpił to nie wiem, bo nie mam ani czasu, ani

ochoty na analizowanie IP.Board. Jeżeli jest Pan w stanie to sprawdzić,

to bardzo chętnie zapoznałbym się z wynikami.

 

Konfiguracja:

 

1. nginx otwarty na 80 proksujący na port ABC

2. apache nasłuchujący na porcie ABC

3. mysql, standardowe ustawienia, silnik MyISAM

4. memcache - ustawienia standardowe dla IP.Board (zmieniony port)

5. serwer sphinx - indekser, search serwer (zmieniony port)

 

Naprawdę chętnie doweim się przyczyny błędu, a zgłoszenie do producenta

jako poprawka "od klubu" może mogłaby zapewnić jakieś zwolnienie

z opłat licencyjnych, więc...

 

 

To nie jest jakiś tam bug który mógł siedzieć w silniku forum, tylko rezultat jakiegoś grzebania w kodzie i popełnienia krytycznego błędu.

Tego nie wiem, wiem tylko że nikt nie grzebał w kodzie, bo testy własne integralności

forum to pierwsze co wykonałem w momencie pojawienia się problemów.

[roj 211]

że forum dyskusyjne o zegarkach to do licha zagrożenie wynikające z kilu zalogowań się na innych użytkowników JEST ŻADNE

 

skoro tak to po co wogóle są hasła?

mi ktoś napisał komentarz w moim profilu (dzisiaj zobaczyłem - nie usuwam - do wglądu).

być może ktoś przeczytał moje prywatne wiadomości, może powysyłał jakieś a może pisał posty.

 

Gdyby do Pana Dariusza wszedł ktoś obcy do domu, pochodził, pooglądał zdjęcia, poczytał dokumenty, sprawdził gdzie Pan dzwonił, co ostanio robił, może coś przestawił może nie, ale nic fizycznie nie wyniósł to rozumiem że zagrożenie jest ŻADNE i nie ma problemu tak?

 

EDIT: Nie wypowiadam się o samym błędzie bo nie mam wykształcenia w tym kierunku i nie wiem czym błąd był spowodowany;

w dyskusji moim zdaniem trochę racji było po Pana stronie i trochę po stronie użytkowników, którym w tak mało subtelny sposób tłumaczył Pan swój punkt widzenia;

Jednak kiedy widzi się we własnym profilu komentarz napisany z własnego konta to ciężko czytać wypowiedzi żeby nie marudzić bo nic się nie stało i wszystko było i jest super.

[Gość Jash]

Komenta masz faktycznie, więc cóż nic się nie stało Panie i Panowie. Nic a nic

[Gość McIntosh]

Panowie albo mamy dobrą wolę i intencje , albo po prostu szukamy czego by się tu przyczepić .

O usunięciu większości błedów pisałem ja a nie admin , żeby wyczerpać analityczny umysł miałbym napisać np Uunięto 33 z 33 krytycznych błedów , 857 z 859 mniej istotnych i 1836 z 1745 kosmetycznych ??

 

Może nie aż tak, ale przydałoby się powrócić do dawnych, dobrych praktyk. Ja w ramach swojej działki, gdy pomagałem w pracach administracyjnych, potrafiłem to zrobić. Zresztą sam możesz zobaczyć jak wyglądała współpraca z Klubowiczami, bo tematy na forum technicznym nadal są dostępne. Ostatnie błędy jakie się tu pojawiają są niebezpieczne, a argumentowanie, że to nie Bank, jest trochę niepoważne. Nikt z nas nie zgodzi się na to, aby niepowołane osoby miały dostęp do forumowych kont w takim zakresie w jakim zostało to wyżej opisane. I nie ma się co denerwować na rzeczywistość.

[Marcin Pietrzak 0]

mi ktoś napisał komentarz w moim profilu (dzisiaj zobaczyłem - nie usuwam - do wglądu).

być może ktoś przeczytał moje prywatne wiadomości, może powysyłał jakieś a może pisał posty.

 

Wpis na Pana profilu jest z godziny 14:48, czyli z czasu kiedy występował błąd.

 

Przepięcie konfiguracji, które eleiminowało błąd nastąpiło o 17:51, o czym pisałem.

 

ok, serwer został prze-konfigurowany tak, żeby konfiguracja była jak najbardziej zbliżona do tej używanej na poprzedniej maszynie. mam nadzieję, że TE problemy, które nękały nas i mnie przez ostatni tydzień pójdą w zapomnienie.

 

przepraszam za takie, a nie inne działanie forum

 

Błąd przejmowania konta występował 4 lutego mniej więcej do godziny 17:30, potem (do dziś) już

nie, bo prawdopodobna przyczyna została wyeliminowana.

[roj 211]

Panie Marcinie,

 

Zgadzam się z Panem, dopiero dziś owy wpis zauważyłem ale data jego powstania to 4 lutego.

 

Nie pisałem, że błędy znowu dręczą forum, jedynie po zobaczeniu tego wpisu u siebie nie potrafiłem nie odnieść się do wypowiedzi Pana Dariusza o studzeniu głów oraz o tym, iż jeśli jest to "forum dyskusyjne o zegarkach to do licha zagrożenie wynikające z kilu zalogowań się na innych użytkowników JEST ŻADNE".

 

Nie uważam siebie za osobę szukającą tu sensacji czy robiącą burzę w szklance wody, nie obrażam nikogo i staram się trzymać pewien poziom dyskusji w każdym temacie, w którym zabieram głos, dlatego nie uważam, że takie traktowanie forumowiczów przez Członka Zarządu Stowarzyszenia jest na miejscu.

[chronofil 153]

Panie Marcinie,

 

Zgadzam się z Panem, dopiero dziś owy wpis zauważyłem ale data jego powstania to 4 lutego.

 

Nie pisałem, że błędy znowu dręczą forum, jedynie po zobaczeniu tego wpisu u siebie nie potrafiłem nie odnieść się do wypowiedzi Pana Dariusza o studzeniu głów oraz o tym, iż jeśli jest to "forum dyskusyjne o zegarkach to do licha zagrożenie wynikające z kilu zalogowań się na innych użytkowników JEST ŻADNE".

 

Nie uważam siebie za osobę szukającą tu sensacji czy robiącą burzę w szklance wody, nie obrażam nikogo i staram się trzymać pewien poziom dyskusji w każdym temacie, w którym zabieram głos, dlatego nie uważam, że takie traktowanie forumowiczów przez Członka Zarządu Stowarzyszenia jest na miejscu.

 

Nie podlizuję sie Prezesowi , ale uwazam, ze ma w duzym stopniu rację.

Wystąpił błąd i to powazny - oczywiscie. Nikt tego nie chciał i nie jest to działanie celowe. Na szczęscie nikt nie poniósł w wyniku owego blędu strat materialnych ani moralnych.

Z tego błędu wnioski powinni wyciągnąć Koledzy odpowiedzialni za techniczna stronę forum - i z tego, co widzę, przedsięwzieli szybkie i skuteczne działania.

Ciągłe wracanie do tego, dociekanie co, gdzie, kiedy i z czyjej winy wydaje mi sie nieuzasadnione. Przeprowadzanie audytu (modne słowo - nawet przed wrzuceniem ciuchów do pralki gospodynie domowe przeprowadzaja obecnie audyt stopnia zabrudzenia) wydaje mi sie działaniem na wyrost.

W końcu jest to forum pasjonatów zegarkowych, a nie Pentagon.

No, chyba, ze powołamy Komisje Śledczą - ale to zdaje się jest domeną pewnej (dobrze opłacanej) instytucji z Wiejskiej...

[roj 211]

Ja naprawdę nie chcę wywoływać burzy i jak dla mnie wystarczającym było zapewnienie, że już jest ok i będzie.

Wróciłem do tematu po tym jak zobaczyłem wpisy w tym temacie i jak odkryłem wystawiony przez kogoś komentarz na moim koncie.

Uważam, że reakcja "stało się, nie przesadzajmy, będzie ok" byłaby lepsza ze strony Prezesa Zarządu Stowarzyszenia, niż choćby "Proponuję wyjść na zewnątrz , na mróz i ochłodzić nieco rozgrzaną głowę" i piszę to tylko dlatego, iż mam duży szacunek dla tej osoby i w tym kontekście właśnie byłem zaskoczony taką a nie inną reakcją.

 

Moim zdaniem nie było to "ŻADNE" zagrożenie bo pomijając dostęp do prywatnych danych, co stałoby się gdyby ktoś np. z mojego konta napisał obraźliwego posta pod adresem innych osób?

 

Po prostu mam swoje zdanie poparte argumentami. Nie sądzę, że powinno to kogoś irytować czy dziwić akurat w takim miejscu jakim jest to forum.

[chronofil 153]

Ja naprawdę nie chcę wywoływać burzy i jak dla mnie wystarczającym było zapewnienie, że już jest ok i będzie.

Wróciłem do tematu po tym jak zobaczyłem wpisy w tym temacie i jak odkryłem wystawiony przez kogoś komentarz na moim koncie.

Uważam, że reakcja "stało się, nie przesadzajmy, będzie ok" byłaby lepsza ze strony Prezesa Zarządu Stowarzyszenia, niż choćby "Proponuję wyjść na zewnątrz , na mróz i ochłodzić nieco rozgrzaną głowę" i piszę to tylko dlatego, iż mam duży szacunek dla tej osoby i w tym kontekście właśnie byłem zaskoczony taką a nie inną reakcją.

 

Moim zdaniem nie było to "ŻADNE" zagrożenie bo pomijając dostęp do prywatnych danych, co stałoby się gdyby ktoś np. z mojego konta napisał obraźliwego posta pod adresem innych osób?

 

Po prostu mam swoje zdanie poparte argumentami. Nie sądzę, że powinno to kogoś irytować czy dziwić akurat w takim miejscu jakim jest to forum.

 

roj - nie odbieraj mojego posta jako oznaki irytacji, czy ataku na Twoja osobę. Błedów nie popełnia tylko ten, kto nic nie robi

Darek napisał o "studzeniu głowy", bo sam był zaskoczony tą sytuacją (tak to odbieram). Zauważ, że w tym klubie nikt nie pobiera pensji i nie jest zobligowany do siedzenia na forum 25/24. Stało się i już. Poniewaz z założenia to forum gromadzi ludzi poważnych - pasjonatów, sympatyków, zegarmistrzów, kolekcjonerów itp, wiec zagrozenie było naprawde znikome. Czy jesli jakims cudem wdarłem sie na konto kolego Klod100 (moderatora i członka zarządu) to powinienem to wykorzystac? Sam byłem zaskoczony tym, co sie dzieje i nie rozumiałem reakcji forum na moje działania. Ale nie mam zwyczaju czytania cudzej korespondencji, ani robienia szkodliwych psikusów, więc sie po prostu wylogowałem. Praktyka dowiodła, ze inni uzytkownicy forum też nie nalezą do gównazerii - dzieki temu wszystko skończyło się szczęśliwie i nie ma o co kruszyc kopii. Uwazam, że Prezes Dariusz zachował sie właściwie - wręcz doskonale. Nie ulegl zadnej panice, tylko rzeczowo rozwiązał problem

. Mysle, ze gdyby wszystkie problemy były załatwiane w ten sposób, to byłaby tu kraina miodu i mleka.

Błedy, usterki, awarie zdarzały się, zdarzają i zdarzac będą. Taka jest natura rzeczy, o czym mówie z pełną odpowiedzialnoscia po pełnym kursie teorii niezawodności. Moim zdaniem konstruktywna krytyka jest jak najbardziej OK, ale bicie piany nie ma sensu

[dariusz chlastawa 708]

Prosiłbym tez o nie mieszanie dwóch istotnych , a całkowicie różnych tematów

 

a) logowanie się na innego usera

 

dodawanie komentarzu w profilu

 

to są dwie zupełnie różne sprawy , a w profilu mozna sobie ustawić kwestię zezwalania na komentarze

 

Moja dewiza jest prosta - wymagania adekwatne do wynagrodzenia , jesli mamy okresloną umowę suportu technicznego i kwoty ( naprawdę niewielkie) to nie mogę stawiać administratorowi wymagań , jakbym miał podpisaną umowę i skalę zabezpieczeń jak w banku .

Nie podpisywaliśmy innej ze względu na

a) skromne na początku środki finansowe

znacznie mniejsze zapotrzebowanie na bezpieczeństwo niż wspomniane banki

 

Dlatego pisząc o "ostudzeniu rozgrzanej głowy" miałem na mysli skalę niebezpieczeństwa w stosunku do reakcji .

Po prostu starajmy sie na wszystko popatrzeć nie z jednej tylko strony . Zdrowy rozsadek i dobra wola .

[roj 211]

no i ton odpowiedzi "studzący" więc nie trzeba już literalnie o studzeniu pisać i o to chodziło od początku

 

niemniej problem komenatrza w profilu polega na tym, iż

 

komentarz W MOIM profilu został zamieszczony przez innego użytkownika używającego MOJEGO KONTA jako taki żart świadczący o tym, że ktoś był. Ja się z tym czuję odrobinę niefajnie.

 

EDIT: dlatego też uważam, że pewne straty poniosłem bo jeśli ten komentarz został wpisany u mnie w profilu w moim imieniu równie dobrze może się okazać, że w profilach innych użytkowników zostały wpisane komentarze sygnowane przeze mnie choć nie z pod mojej ręki. Nie jest to miłe. Bynajmniej nie oczekuję z tego powodu zadośćuczenień ale nie zgadzam się z wypowiedzią o tym że nic nikomu się nie stało i zagrożenie było żadne.

[boldy 4]

komentarz W MOIM profilu został zamieszczony przez innego użytkownika używającego MOJEGO KONTA jako taki żart świadczący o tym, że ktoś był. Ja się z tym czuję odrobinę niefajnie.

Dobrze, że w ramach żartu nie zaczął wklejać na forum pornografii dziecięcej, bo miałbyś przechlapane... zanim byś wytłumaczył, że to nie Ty...

[roj 211]

Jeśli to miało być ironiczne, to przyjmijmy sytuację, że napiszę coś bardzo wulgarnego o Tobie używając IP, z którego nigdy się nie logowałem, po czym gładko się odetnę, że to musiał być błąd i ktoś używał mojego konta więc nie masz prawa mieć pretensji.

 

Ja naprawdę nie twierdzę, że stało się nie wiadomo co, po prostu nie uważam, że nie stało się nic. Jeśli ktoś nie rozumie dalej zapraszam do pisania ironicznych postów.

[boldy 4]

Jeśli to miało być ironiczne, to przyjmijmy sytuację, że napiszę coś bardzo wulgarnego o Tobie używając IP, z którego nigdy się nie logowałem, po czym gładko się odetnę, że to musiał być błąd i ktoś używał mojego konta więc nie masz prawa mieć pretensji.

 

Ja naprawdę nie twierdzę, że stało się nie wiadomo co, po prostu nie uważam, że nie stało się nic. Jeśli ktoś nie rozumie dalej zapraszam do pisania ironicznych postów.

roj - nieporozumienie... To NIE była ironia. Wbrew temu co napisał Darek -sytuacja była POTENCJALNIE niebezpieczna, a mój drastyczny przykład miał to podkreślić...

[roj 211]

aaj to przepraszam, był zdecydowanie zbyt drastyczny dlatego też tak go odebrałem.

nieporozumienie