Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 68
ИМХО это скорее очень тонкий, дефейс сайта, чем «ошибка»…
Все мы здесь знаем, что так не ошибаются.
Все мы здесь знаем, что так не ошибаются.
Человеческая глупость и не на такое способна… уверен, перекинули заказ «студенту», а никто не проверил потом, работает и хорошо
«сайты за 10 рабочих дней» — такое даже индусам не всегда под силам %)
Бритва Хэнлона: «Никогда не приписывайте злому умыслу то, что вполне можно объяснить глупостью.»
СКР среди своих клиентов компания на сайте не указывает.
В посте ещё нет ссылки на дамп?
Странно как жалобы могли попасть в ленту новостей. Новость и жалоба это слишком разные сущности что бы объединять их в одну таблицу. А «случайно» вывести данные с двух таблиц в каталог это что-то.
Вот вы думаете, что жалоба и новость — разные сущности с разными свойствами. Но когда делаешь сайт за 10 дней, еще и не такое можно «оптимизировать». Может, там CMS какая-нибудь и все данные лежат в таблице cms_page_item_ololo. И разделы хардкодингом заданы в шаблонах. Без проблем, в общем.
>А «случайно» вывести данные с двух таблиц в каталог это что-то.
>Может, там CMS какая-нибудь и все данные лежат в таблице cms_page_item_ololo
Не в бровь, а в глаз. Битрикс же…
dev.1c-bitrix.ru/api_help/iblock/classes/ciblockelement/getbyid.php
Получаем элемент, вне зависимости от инфоблока («виртуальной таблицы»).
Аналогичная функция (почти) используется во всех битриксовых компонентах. Если в компоненте не включить проверку на инфоблок… То будет получать по ID что угодно, только доступ к инфоблоку дай (или забудь отобрать).
>Может, там CMS какая-нибудь и все данные лежат в таблице cms_page_item_ololo
Не в бровь, а в глаз. Битрикс же…
dev.1c-bitrix.ru/api_help/iblock/classes/ciblockelement/getbyid.php
Получаем элемент, вне зависимости от инфоблока («виртуальной таблицы»).
Аналогичная функция (почти) используется во всех битриксовых компонентах. Если в компоненте не включить проверку на инфоблок… То будет получать по ID что угодно, только доступ к инфоблоку дай (или забудь отобрать).
Забыл уточнить. Нумерация ID — сквозная.
Это нельзя отнести к недостаткам CMS или ее уязвимости. Это криворукие программисты. По нормальному такого быть не может, а getbyid в случае списка статей вообще не к месту. Неужели они делали в списке на каждую статью отдельный запрос???
На скриншоте (не поленился посмотреть) — страница с выводом текста одной новости, а не списком новостей, например ;)
И? Сути не меняет.
Стандартный компонент «новости» не позволяет выводить элементы из других инфоблоков. Если программисты сайта пошли иным кривым путем.
Вот пример: horseplanet.ru/news/5/1685/ Это новость. На сайте есть точно элемент с ID 1590
Да и вообще, кто используется для таких целей getbyid? А проверить права доступа, а активен или нет элемент? То, что есть такая функция в API еще ни о чем не говорит.
Стандартный компонент «новости» не позволяет выводить элементы из других инфоблоков. Если программисты сайта пошли иным кривым путем.
Вот пример: horseplanet.ru/news/5/1685/ Это новость. На сайте есть точно элемент с ID 1590
Да и вообще, кто используется для таких целей getbyid? А проверить права доступа, а активен или нет элемент? То, что есть такая функция в API еще ни о чем не говорит.
Вот может у меня память отбило уже, надо проверить. Но в битриксе версий 8-9 была такая подстава: компонент news.detail (а ведь именно его вызывает комлексный компонент news) есть любой ID элемента, если он расположен в той же группе инфоблоков (не обязательно в том же инфоблоке). Безусловно, я могу ошибаться, но желания прямо сейчас заняться экспериментами у меня нет :) В любом случае, это бы до конца не оправдало бы разработчиков, но как минимум, было бы ответов на вопрос «какого?!».
Ну по ссылке как раз старый компонент лежит, пару лет назад туда положенный. Так что, если бы был глюк, вы бы его там могли наблюдать.
Черт, ведь реально придется скачать и проверить, иначе не успокоюсь) Ибо глюк я такой видел точно где-то в битриксе, но за давностью лет подробности мог и перепутать.
Вот вы говорите, что
«На сайте есть точно элемент с ID 1590»
А он лежит в инфоблоке в той же группе? Если в другой, помнится (вроде), всё будет хорошо.
«На сайте есть точно элемент с ID 1590»
А он лежит в инфоблоке в той же группе? Если в другой, помнится (вроде), всё будет хорошо.
Нет. Вот в той же группе: 1849 (но привязано к другому сайту).
Чтобы проверить чистоту эксперимента:
horseplanet.ru/haute-ecole/0/929/
И в той же группе, но другой инфоблок: horseplanet.ru/haute-ecole/0/1590/
Чтобы проверить чистоту эксперимента:
horseplanet.ru/haute-ecole/0/929/
И в той же группе, но другой инфоблок: horseplanet.ru/haute-ecole/0/1590/
Почему гниловатыми внутри? Почему сразу быдлокод? Ну, пишут как-то. Заказчика устраивает. Просто одна небольшая студия из, допустим, 10 человек (половина — менеджеры), не в состоянии создать и поддерживать современную CMS. И сайт нормальный за 10 дней сделать нельзя. Но законы рынка заставляют делать продукт быстро и дешево. Вы понимаете, что от заказчика чаще всего вообще не поступает такое требование, как надежность и отказоустойчивость? На это не закладывается время и деньги. Сайты уходят в эфир после очень поверхностного тестирования силами менеджера студии и секретарши заказчика.
Некачественный продукт — это глобальная проблема современного общества. Если уж компьютеры, смартфоны и их операционные системы выходят с ошибками, то что говорить о сайтах? Снаружи сверкает красивый глянцевый экран, а внутри у календаря отсутствует декабрь… И так в любой области.
Некачественный продукт — это глобальная проблема современного общества. Если уж компьютеры, смартфоны и их операционные системы выходят с ошибками, то что говорить о сайтах? Снаружи сверкает красивый глянцевый экран, а внутри у календаря отсутствует декабрь… И так в любой области.
Отлично подмечено!
Увы и ах :(
Увы и ах :(
Мне кажется любая уважающая себя студия может потратить пару часов на разработку скрипта по генерированию тех же тестов для своих продуктов. Это не сложно. Просто надежность стоит у всех сейчас далеко не на первом месте. Надежда на «авось» сидит в русском человеке где-то очень глубоко)
Для крупного сайта это нифига не пара часов, учитывая, СКОЛЬКО всего нужно проверить. Ну и увы, баги случаются при любом тестировании и любых сроках. Причем баги любого масштаба. Вон недавно Гугл хром всем уронил) не могли пару часов потратить на тестирование?)))
Студия не уважающая себя, а по гос. заказам, это разные вещи.:) Не удивлюсь, если изначально создали за пару дней до конкурса, а потом пошло поехали, регулярные гос.заказы, в промежутках с сайтами за 10 дней.
Про декабрь не зря упомянули, такой фейл! Только сегодня по пути домой осознал, что это реально было, и установилось на миллионы устройств. (гэлэкси нексусов ведь точно более миллиона)
Другими словами — с большой аудиторией — большая ответственность. Ты пишешь код с ошибкой, а у кого-то из пользователей ОС эта ошибка может стоить жизни. (мало ли какие ситуации бывают?)
Так что очень надеюсь, что лет через 10, когда сменятся тренды, появится мода на перфекционизм. О времена! :)
Другими словами — с большой аудиторией — большая ответственность. Ты пишешь код с ошибкой, а у кого-то из пользователей ОС эта ошибка может стоить жизни. (мало ли какие ситуации бывают?)
Так что очень надеюсь, что лет через 10, когда сменятся тренды, появится мода на перфекционизм. О времена! :)
Кому-то очень сильно влетит. Персональные данные — это вам не шуточки!
Если бы ещё кому надо влетело. Скорее всего, крайним назначат конечного исполнителя.
В следкоме думаю тоже кого нибудь для показа уволят.
«Главный антивирусный эксперт “Лаборатории Касперского” Александр Гостев считает, что скорее всего речь идет об ошибке системных администраторов» — я бы уволил кое-кого в Лаборатории Касперского.
тоже очень порадовала это мнение.
странно слышать такие слова от эксперта, может эксперт имел ввиду администраторов сайта, а журналист понял как понял
Я бы однозначно сказал, что во всем виноват СКР.
А уж что это будет — «следственный комитет России», или «синдром кривых рук» это уже покажет только тщательное расследование)
А уж что это будет — «следственный комитет России», или «синдром кривых рук» это уже покажет только тщательное расследование)
А аргументация какая-то есть? Я вот не знаю, кто виноват.
С одной стороны, заказчик не обязан разбираться в технических тонкостях. Хранить отдельно, шифровать, не держать на сервере… — это все совершенно неочевидные вещи для посторонних.
С другой стороны, подрядчик вполне мог не разбираться в сути проблемы. То есть, для разработчика это просто форма обратной связи. У меня, как у разработчика, особое отношение к данным включается, если я вижу номер паспорта или кредитки, например. А у СК РФ всего лишь ФИО и адрес (не обязательно заполнять).
Неудобно получилось от того, что в эту форму обратной связи люди постили жалобы на конкретных людей, подразумевая, что эта информация не будет опубликована (хотя, этого никто не утверждает на сайте).
И кто в итоге виноват? Мне кажется, это должен быть некий руководитель проекта (скорее всего, со стороны подрядчика), который обязан был разобраться во всех тонкостях работы сайта. Еще на этапе проектирования нужно было понять, зачем именно нужна эта «обратная связь» и реализовать ее соответствующим образом. Как его наказать? По закону. Штраф там от 300 до 500 руб.
С одной стороны, заказчик не обязан разбираться в технических тонкостях. Хранить отдельно, шифровать, не держать на сервере… — это все совершенно неочевидные вещи для посторонних.
С другой стороны, подрядчик вполне мог не разбираться в сути проблемы. То есть, для разработчика это просто форма обратной связи. У меня, как у разработчика, особое отношение к данным включается, если я вижу номер паспорта или кредитки, например. А у СК РФ всего лишь ФИО и адрес (не обязательно заполнять).
Неудобно получилось от того, что в эту форму обратной связи люди постили жалобы на конкретных людей, подразумевая, что эта информация не будет опубликована (хотя, этого никто не утверждает на сайте).
И кто в итоге виноват? Мне кажется, это должен быть некий руководитель проекта (скорее всего, со стороны подрядчика), который обязан был разобраться во всех тонкостях работы сайта. Еще на этапе проектирования нужно было понять, зачем именно нужна эта «обратная связь» и реализовать ее соответствующим образом. Как его наказать? По закону. Штраф там от 300 до 500 руб.
Аргументация чего, простите?
Созвучности аббревиатуры с известной аббревиатурой «синдром кривых рук»?
Ну так по определению...)
Или вам нужна аргументация того, почему я сказал «это уже покажет только тщательное расследование»?
Я вообще считаю, что без расследования инцидента как по форме так и по сути делать какие-то «экспертные оценки» это шарлатанство. Вот как скажите можно делать выводы не держав в руках ни проектной документации, ни даже объяснительной от админа сайта?
И ладно бы, если бы «эксперты» озвучивали бы что-то вроде «очень похоже, что за сайт взято N миллионов, а сделал один сисадмин за неделю, так что ни о каком предпроектном обследовании, проработке структуры и прочем и речи не шло, хотя для того чтобы однозначно это утверждать информации недостаточно». Так нет же… куча воды, и не по теме.
Созвучности аббревиатуры с известной аббревиатурой «синдром кривых рук»?
Ну так по определению...)
Или вам нужна аргументация того, почему я сказал «это уже покажет только тщательное расследование»?
Я вообще считаю, что без расследования инцидента как по форме так и по сути делать какие-то «экспертные оценки» это шарлатанство. Вот как скажите можно делать выводы не держав в руках ни проектной документации, ни даже объяснительной от админа сайта?
И ладно бы, если бы «эксперты» озвучивали бы что-то вроде «очень похоже, что за сайт взято N миллионов, а сделал один сисадмин за неделю, так что ни о каком предпроектном обследовании, проработке структуры и прочем и речи не шло, хотя для того чтобы однозначно это утверждать информации недостаточно». Так нет же… куча воды, и не по теме.
ничего в СКР не будет
Либо компания, выигравшая тендер, либо конкретный исполнитель, может оба. Но если вина их, то всё справедливо…
Мне, как законопослушному гражданину РФ, предоставляющему персональные данные госоргану под честное джентельменское, совсем не легче от того, что за их утечку накажут победителя тендера или выполнившего работу студента. Ответственность должен нести непосредственно госорган и его руководители.
Интересно, граждане подадут в суд? И, если да, то как дело повернется?
Козлы они! ©
Зачем в новости о сайте пол поста о компании, которая его делала, но в итоге не её оказалась данная версия сайта, зачем тогда вообще столько о ней написано, какой-то скрытый пиар.
Если уж копипастите новость с других ресурсов (а у вас почти слово в слово с «Ведомостей» всё слизано, как-то на Хабре копипаста не приветствуется), так хотя бы проверяйте информацию и цифры. Вот написано «Летом 2001 г. екатеринбургское ООО…», а если ткнуться по ссылке в оригинальной статье, видно, что на самом деле речь о сентябре 2011-го года. Вас вообще число 2001 не насторожило в контексте всех остальных дат? Или вы даже не читали, что копипастите?
Какая какая там ответственность по закону о персональных данных? Там вроде весьма суровые штрафы, как минимум.
Статьей 13.11 КоАП установлена ответственность за нарушение порядка сбора, хранения, использования или распространения информации о персональных данных. Санкцией статьи предусмотрено предупреждение или наложение административного штрафа на граждан в размере от 300 до 500 руб., на должностных лиц — от 500 до 1000 руб., на юридических лиц — от 5000 до 10 000 руб.
я не был бы против размещения моей жалобы на сайте СКР в открытом виде, мне нечего скрывать :)
Меня сегодня еще одна новость поразила. Тоже на тему «неадекватное государство».
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Следственный комитет РФ хранил жалобы пользователей в открытом виде