Comments 11
Последние примерно 7 лет, сайт ChaosConstructions пытаются всячески ломать, видимо предполагая, что он является одной из ступеней ХакКвеста (проходящего на ЦЦ последние лет пять). А убеждения организаторов, что это не так восприниммают, наверно, как шутку.
Да, сайт ставят и настраивают обычные люди, энтузиасты, у которых нет и не будет соотвествующих знаний для обеспечения 100% его безопасности. Все это делается в личное сводобное время, и у них нет ни времени, ни возможности заниматься специальными мерами для повышения его стабильности, т.к. тогда это время не будет потрачено на подготовку самого ЦЦ, конкурсов, призов и т.п.
Если существуют люди, которые готовы взять на себя сопровождение сайта _целиком_ и отвечать за него — их с распростертыми объятиями ждут. Но пока, согласных работать на чистом энтузиазме, таких людей не находилось.
Да, сайт ставят и настраивают обычные люди, энтузиасты, у которых нет и не будет соотвествующих знаний для обеспечения 100% его безопасности. Все это делается в личное сводобное время, и у них нет ни времени, ни возможности заниматься специальными мерами для повышения его стабильности, т.к. тогда это время не будет потрачено на подготовку самого ЦЦ, конкурсов, призов и т.п.
Если существуют люди, которые готовы взять на себя сопровождение сайта _целиком_ и отвечать за него — их с распростертыми объятиями ждут. Но пока, согласных работать на чистом энтузиазме, таких людей не находилось.
> Представители фестиваля были уведомлены о проблеме.
Замечу, что на официальный email никаких уведомлений не приходило. Скажите пожалуйста, кого из «представителей» вы уведомляли и каким образом?
Недостатков у PartyMeister'a масса (и не только в том, что касается уязвимостей), проблема в отсутствии реальной ему альтернативы для целей организации CC.
Замечу, что на официальный email никаких уведомлений не приходило. Скажите пожалуйста, кого из «представителей» вы уведомляли и каким образом?
Недостатков у PartyMeister'a масса (и не только в том, что касается уязвимостей), проблема в отсутствии реальной ему альтернативы для целей организации CC.
Не специалист, но не соглашусь.
Мне кажется модуль приема работ и голосования можно за небольшое время написать для любой уже существующей CMS, а больше от partyMeister ничего и не нужно. Генерацию картинок с номерами работ можно сделать снаружи, показ большинства работ все равно идет мимо него (музыка, демо, видео не в нем, против картинок в нем)…
Мне кажется модуль приема работ и голосования можно за небольшое время написать для любой уже существующей CMS, а больше от partyMeister ничего и не нужно. Генерацию картинок с номерами работ можно сделать снаружи, показ большинства работ все равно идет мимо него (музыка, демо, видео не в нем, против картинок в нем)…
Можно написать всё что угодно. Но пока никто не написал и не сделал, пользуемся тем, что имеется…
Приношу свои извинения за некорректность текста в статье: «Представители фестиваля были уведомлены о проблеме. Но изменений на их сайте пока не произошло. » Это произошло вследствие человеческой оплошности с моей стороны. Вот хронология
1. За пару дней до написания статьи на хабре отправляю письмо на ящик одного из представителей Организаторов (Eugene Barbashin <oldayn@gmail.com>) и в копии на ящик info@cc.org.ru
2. Создаю черновой вариант статьи для хабра, где указаны строчки: «Представители фестиваля были уведомлены о проблеме. Но изменений на их сайте пока не произошло.»
3. Нахожу в своём почтовом ящике уведомнение о невозможности доставить письмо. Отправляю его снова.
4. Вторая попытка передачи неудачна: снова уведомнение о невозможности доставить. Принимаю решение отправить только на ящик Eugene Barbashin. Особо не надеясь, что сообщение снова будет доставлено, и с учётом незначительности описываемой проблемы, публикую статью. Именно по этой причине там содержится некорректная информация насчёт «Представители фестиваля были уведомлены о проблеме. Но изменений на их сайте пока не произошло.» — я её не поменял. Человеческий фактор, просто забыл об этом. Согласен, получилось несколько некрасиво с моей стороны. Но все мы люди и допускаем, порой, оплошности. С другой стороны, я расчитывал, что рано или поздно после публикации на Хабре организаторы об этом узнают.
Если не брать в расчёт этого небольшого недоразумения — не понимаю чем и кому эта статья так не понравилась. Можно сказать, это был небольшой бесплатный пентест. Статья довольно консервативна, никаких громких слов и заявлений нет.
P.S. Т.к. теперь представители Организаторов в курсе ситуации, а изменений нет, считаю уместной эти злополучные строчки оставить.
1. За пару дней до написания статьи на хабре отправляю письмо на ящик одного из представителей Организаторов (Eugene Barbashin <oldayn@gmail.com>) и в копии на ящик info@cc.org.ru
2. Создаю черновой вариант статьи для хабра, где указаны строчки: «Представители фестиваля были уведомлены о проблеме. Но изменений на их сайте пока не произошло.»
3. Нахожу в своём почтовом ящике уведомнение о невозможности доставить письмо. Отправляю его снова.
4. Вторая попытка передачи неудачна: снова уведомнение о невозможности доставить. Принимаю решение отправить только на ящик Eugene Barbashin. Особо не надеясь, что сообщение снова будет доставлено, и с учётом незначительности описываемой проблемы, публикую статью. Именно по этой причине там содержится некорректная информация насчёт «Представители фестиваля были уведомлены о проблеме. Но изменений на их сайте пока не произошло.» — я её не поменял. Человеческий фактор, просто забыл об этом. Согласен, получилось несколько некрасиво с моей стороны. Но все мы люди и допускаем, порой, оплошности. С другой стороны, я расчитывал, что рано или поздно после публикации на Хабре организаторы об этом узнают.
Если не брать в расчёт этого небольшого недоразумения — не понимаю чем и кому эта статья так не понравилась. Можно сказать, это был небольшой бесплатный пентест. Статья довольно консервативна, никаких громких слов и заявлений нет.
P.S. Т.к. теперь представители Организаторов в курсе ситуации, а изменений нет, считаю уместной эти злополучные строчки оставить.
> теперь представители Организаторов в курсе ситуации, а изменений нет, считаю уместной эти злополучные строчки оставить.
К чему было описывать ваши (многочисленные) попытки безуспешно отправить почту, если в итоге отправить ее так и не удалось? Можно было честно сказать — я попробовал, но не получилось. этого достаточно, что бы понять, что в статье написана неправда.
Теперь это когда? Статье два с половиной дня. Фестиваль прошел две с половиной недели назад. Сейчас сайт посещает полторы калеки в стуки. Очевидно, что сейчас не время делать экстренные обновления безопасности, они просто уже не нужны. Если сейчас что-то и будет делаться, то это будет развертывание новой версии сайта для следующего года. И то еще немного рановато.
К чему было описывать ваши (многочисленные) попытки безуспешно отправить почту, если в итоге отправить ее так и не удалось? Можно было честно сказать — я попробовал, но не получилось. этого достаточно, что бы понять, что в статье написана неправда.
Теперь это когда? Статье два с половиной дня. Фестиваль прошел две с половиной недели назад. Сейчас сайт посещает полторы калеки в стуки. Очевидно, что сейчас не время делать экстренные обновления безопасности, они просто уже не нужны. Если сейчас что-то и будет делаться, то это будет развертывание новой версии сайта для следующего года. И то еще немного рановато.
Отредактируйте статью.
>этого достаточно, что бы понять, что в статье написана неправда.
Неправда? Ну, это уже софистика. Скорее были некорректные данные в статье. Которые теперь стали корректными. Вследствие чего не нуждаются в корректировании
>Очевидно, что сейчас не время делать экстренные обновления безопасности, они просто уже не нужны
А разве Вы где-то видите призыв всё бросать и обновляться? Я привёл лишь факты. А что делать (или не делать) — пусть это решают другие люди
Неправда? Ну, это уже софистика. Скорее были некорректные данные в статье. Которые теперь стали корректными. Вследствие чего не нуждаются в корректировании
>Очевидно, что сейчас не время делать экстренные обновления безопасности, они просто уже не нужны
А разве Вы где-то видите призыв всё бросать и обновляться? Я привёл лишь факты. А что делать (или не делать) — пусть это решают другие люди
+ там было много XSS и, вроде, SQLi. Это судя по твитам господина @ontrif…
// это так, общая информация, раз уж тема такая… 8)
// это так, общая информация, раз уж тема такая… 8)
Sign up to leave a comment.
Раскрытие чувствительной информации на сайте Chaos Constructions 2011