Pull to refresh

Comments 68

ИМХО это скорее очень тонкий, дефейс сайта, чем «ошибка»…
Все мы здесь знаем, что так не ошибаются.
Человеческая глупость и не на такое способна… уверен, перекинули заказ «студенту», а никто не проверил потом, работает и хорошо
«сайты за 10 рабочих дней» — такое даже индусам не всегда под силам %)
Вы как маленький…

Берется какой-нить вордпресс с полу-готовым шаблоном, меняется цвет где нужно и отдается клиенту.
10 дней — это типо маркетинга, вроде вот мы трудимся в поле лица /целых/ 10 дней, а вот мы вроде на столько классные, что нам требуется /всего-лишь/ 10 дней на создание сайта.

UFO just landed and posted this here
СКР среди своих клиентов компания на сайте не указывает.


image
Некоторые крупные заказчики любят требовать от исполнителя не указывать свои копирайты и не размещать сайт в портфолио. Ну как требовать… не нравятся условия — и вы уже не исполнитель. Может и тут так же.
Она просто об этом не знает ;)
Странно как жалобы могли попасть в ленту новостей. Новость и жалоба это слишком разные сущности что бы объединять их в одну таблицу. А «случайно» вывести данные с двух таблиц в каталог это что-то.
Вот вы думаете, что жалоба и новость — разные сущности с разными свойствами. Но когда делаешь сайт за 10 дней, еще и не такое можно «оптимизировать». Может, там CMS какая-нибудь и все данные лежат в таблице cms_page_item_ololo. И разделы хардкодингом заданы в шаблонах. Без проблем, в общем.
>А «случайно» вывести данные с двух таблиц в каталог это что-то.
>Может, там CMS какая-нибудь и все данные лежат в таблице cms_page_item_ololo

Не в бровь, а в глаз. Битрикс же…

dev.1c-bitrix.ru/api_help/iblock/classes/ciblockelement/getbyid.php

Получаем элемент, вне зависимости от инфоблока («виртуальной таблицы»).

Аналогичная функция (почти) используется во всех битриксовых компонентах. Если в компоненте не включить проверку на инфоблок… То будет получать по ID что угодно, только доступ к инфоблоку дай (или забудь отобрать).
Забыл уточнить. Нумерация ID — сквозная.
Это нельзя отнести к недостаткам CMS или ее уязвимости. Это криворукие программисты. По нормальному такого быть не может, а getbyid в случае списка статей вообще не к месту. Неужели они делали в списке на каждую статью отдельный запрос???
На скриншоте (не поленился посмотреть) — страница с выводом текста одной новости, а не списком новостей, например ;)
И? Сути не меняет.
Стандартный компонент «новости» не позволяет выводить элементы из других инфоблоков. Если программисты сайта пошли иным кривым путем.
Вот пример: horseplanet.ru/news/5/1685/ Это новость. На сайте есть точно элемент с ID 1590
Да и вообще, кто используется для таких целей getbyid? А проверить права доступа, а активен или нет элемент? То, что есть такая функция в API еще ни о чем не говорит.
Вот может у меня память отбило уже, надо проверить. Но в битриксе версий 8-9 была такая подстава: компонент news.detail (а ведь именно его вызывает комлексный компонент news) есть любой ID элемента, если он расположен в той же группе инфоблоков (не обязательно в том же инфоблоке). Безусловно, я могу ошибаться, но желания прямо сейчас заняться экспериментами у меня нет :) В любом случае, это бы до конца не оправдало бы разработчиков, но как минимум, было бы ответов на вопрос «какого?!».
Ну по ссылке как раз старый компонент лежит, пару лет назад туда положенный. Так что, если бы был глюк, вы бы его там могли наблюдать.
Черт, ведь реально придется скачать и проверить, иначе не успокоюсь) Ибо глюк я такой видел точно где-то в битриксе, но за давностью лет подробности мог и перепутать.
Вот вы говорите, что
«На сайте есть точно элемент с ID 1590»

А он лежит в инфоблоке в той же группе? Если в другой, помнится (вроде), всё будет хорошо.
UFO just landed and posted this here
UFO just landed and posted this here
Почему гниловатыми внутри? Почему сразу быдлокод? Ну, пишут как-то. Заказчика устраивает. Просто одна небольшая студия из, допустим, 10 человек (половина — менеджеры), не в состоянии создать и поддерживать современную CMS. И сайт нормальный за 10 дней сделать нельзя. Но законы рынка заставляют делать продукт быстро и дешево. Вы понимаете, что от заказчика чаще всего вообще не поступает такое требование, как надежность и отказоустойчивость? На это не закладывается время и деньги. Сайты уходят в эфир после очень поверхностного тестирования силами менеджера студии и секретарши заказчика.

Некачественный продукт — это глобальная проблема современного общества. Если уж компьютеры, смартфоны и их операционные системы выходят с ошибками, то что говорить о сайтах? Снаружи сверкает красивый глянцевый экран, а внутри у календаря отсутствует декабрь… И так в любой области.
Мне кажется любая уважающая себя студия может потратить пару часов на разработку скрипта по генерированию тех же тестов для своих продуктов. Это не сложно. Просто надежность стоит у всех сейчас далеко не на первом месте. Надежда на «авось» сидит в русском человеке где-то очень глубоко)
Для крупного сайта это нифига не пара часов, учитывая, СКОЛЬКО всего нужно проверить. Ну и увы, баги случаются при любом тестировании и любых сроках. Причем баги любого масштаба. Вон недавно Гугл хром всем уронил) не могли пару часов потратить на тестирование?)))
Студия не уважающая себя, а по гос. заказам, это разные вещи.:) Не удивлюсь, если изначально создали за пару дней до конкурса, а потом пошло поехали, регулярные гос.заказы, в промежутках с сайтами за 10 дней.
Про декабрь не зря упомянули, такой фейл! Только сегодня по пути домой осознал, что это реально было, и установилось на миллионы устройств. (гэлэкси нексусов ведь точно более миллиона)

Другими словами — с большой аудиторией — большая ответственность. Ты пишешь код с ошибкой, а у кого-то из пользователей ОС эта ошибка может стоить жизни. (мало ли какие ситуации бывают?)

Так что очень надеюсь, что лет через 10, когда сменятся тренды, появится мода на перфекционизм. О времена! :)
Кому-то очень сильно влетит. Персональные данные — это вам не шуточки!
Если бы ещё кому надо влетело. Скорее всего, крайним назначат конечного исполнителя.
«Главный антивирусный эксперт “Лаборатории Касперского” Александр Гостев считает, что скорее всего речь идет об ошибке системных администраторов» — я бы уволил кое-кого в Лаборатории Касперского.
тоже очень порадовала это мнение.
странно слышать такие слова от эксперта, может эксперт имел ввиду администраторов сайта, а журналист понял как понял
Я бы однозначно сказал, что во всем виноват СКР.
А уж что это будет — «следственный комитет России», или «синдром кривых рук» это уже покажет только тщательное расследование)
А аргументация какая-то есть? Я вот не знаю, кто виноват.

С одной стороны, заказчик не обязан разбираться в технических тонкостях. Хранить отдельно, шифровать, не держать на сервере… — это все совершенно неочевидные вещи для посторонних.

С другой стороны, подрядчик вполне мог не разбираться в сути проблемы. То есть, для разработчика это просто форма обратной связи. У меня, как у разработчика, особое отношение к данным включается, если я вижу номер паспорта или кредитки, например. А у СК РФ всего лишь ФИО и адрес (не обязательно заполнять).

Неудобно получилось от того, что в эту форму обратной связи люди постили жалобы на конкретных людей, подразумевая, что эта информация не будет опубликована (хотя, этого никто не утверждает на сайте).

И кто в итоге виноват? Мне кажется, это должен быть некий руководитель проекта (скорее всего, со стороны подрядчика), который обязан был разобраться во всех тонкостях работы сайта. Еще на этапе проектирования нужно было понять, зачем именно нужна эта «обратная связь» и реализовать ее соответствующим образом. Как его наказать? По закону. Штраф там от 300 до 500 руб.
Аргументация чего, простите?
Созвучности аббревиатуры с известной аббревиатурой «синдром кривых рук»?
Ну так по определению...)

Или вам нужна аргументация того, почему я сказал «это уже покажет только тщательное расследование»?
Я вообще считаю, что без расследования инцидента как по форме так и по сути делать какие-то «экспертные оценки» это шарлатанство. Вот как скажите можно делать выводы не держав в руках ни проектной документации, ни даже объяснительной от админа сайта?

И ладно бы, если бы «эксперты» озвучивали бы что-то вроде «очень похоже, что за сайт взято N миллионов, а сделал один сисадмин за неделю, так что ни о каком предпроектном обследовании, проработке структуры и прочем и речи не шло, хотя для того чтобы однозначно это утверждать информации недостаточно». Так нет же… куча воды, и не по теме.
Либо компания, выигравшая тендер, либо конкретный исполнитель, может оба. Но если вина их, то всё справедливо…
Мне, как законопослушному гражданину РФ, предоставляющему персональные данные госоргану под честное джентельменское, совсем не легче от того, что за их утечку накажут победителя тендера или выполнившего работу студента. Ответственность должен нести непосредственно госорган и его руководители.
Если их вина присутствует, то безусловно должны.
Но и от того что они понесут её, вам тоже легче не сильно станет.
Конечно, присутствует — данные ведь утекли.

Если мне продают просроченный товар в магазине, меня мало волнует, какой грузчик перепутал коробки. Виноват магазин.
Но это по идее не должно отменять вины исполнителя — другое дело чтобы на них всё не скидывали, причём показательно завышая наказание.
Интересно, граждане подадут в суд? И, если да, то как дело повернется?
хм… почему-то хабракат не работает
<spoiler title="Заголовок">Содержимое</spoiler>
UFO just landed and posted this here
Можно подумать битрикс не позволяет полученные данные сразу во внешнюю систему их учетную (если она вообще есть) загрузить, чтобы они там надежно хранились?
Зачем в новости о сайте пол поста о компании, которая его делала, но в итоге не её оказалась данная версия сайта, зачем тогда вообще столько о ней написано, какой-то скрытый пиар.
Если уж копипастите новость с других ресурсов (а у вас почти слово в слово с «Ведомостей» всё слизано, как-то на Хабре копипаста не приветствуется), так хотя бы проверяйте информацию и цифры. Вот написано «Летом 2001 г. екатеринбургское ООО…», а если ткнуться по ссылке в оригинальной статье, видно, что на самом деле речь о сентябре 2011-го года. Вас вообще число 2001 не насторожило в контексте всех остальных дат? Или вы даже не читали, что копипастите?
Какая какая там ответственность по закону о персональных данных? Там вроде весьма суровые штрафы, как минимум.
Статьей 13.11 КоАП установлена ответственность за нарушение порядка сбора, хранения, использования или распространения информации о персональных данных. Санкцией статьи предусмотрено предупреждение или наложение административного штрафа на граждан в размере от 300 до 500 руб., на должностных лиц — от 500 до 1000 руб., на юридических лиц — от 5000 до 10 000 руб.
Это вам не в храме танцевать! Никто же не оскорбился. Подумаешь, данные утекли…
я не был бы против размещения моей жалобы на сайте СКР в открытом виде, мне нечего скрывать :)
то есть деньги на разработку официальных сайтов у них есть :) Значит выложили информацию о кляузниках преднамеренно :)
Sign up to leave a comment.

Articles