Info o ciastkach

Eeee...
Żeby strona działała fajnie to trzeba zaakceptować obsługę pewnych plików. Jeśli jesteś nienormalny, nosisz czapkę z amelinium i siedzisz w schronie zbudowanym z poduszek to możesz je sobie wyłączyć. Autor strony nie czerpie żadnych korzyści z cookies (twierdzi nawet, że ten komunikat jest głupi), ale, cóż - Unia wymaga. Korzystając z witryny zgadzasz się z polityką cookies.

Wszystko w budowie...

Webmaster od siedmiu boleści

logo html

Pierwszą rzeczą którą robię wchodząc na stronę internetową to sprawdzam jej kod źródłowy. Pierwsze co mnie ciekawi to czy zrobiona jest w CMS czy nie. Jeżeli jest, to w której wersji. Jeśli nie, to sprawdzam co autor mógł popełnić nie tak. Do tej pory wykryłem kilka podatności w sklepie internetowym, niewłaściwą konfigurację .htaccess dającą dostęp do wszystkich folderów na serwerze, teoretyczną (nie sprawdzałem do końca podatności - w końcu sezon matur (tak - wpis trochę poleżakował)) lukę w stronie szkoły korzystającej ze staruteńkiej Joomli 1.5 (podatności można sobie wygooglować).

Po co to wszystko, zapytacie. A no po po to, że jestem ciekaw. Po drugie widzę w jaki sposób ktoś korzysta z CMS-ów. To nic złego. Złe natomiast jest to, że ktoś nazywa się webmasterem bo potrafi włączyć Joomlę, Wordpressa na serwerze czy użyć QuickCMS wykorzystując gotowe rozwiązania i zmieniając jedynie domyślny szablon. Owszem strona ładnie wygląda ale to nie jest wynik jego pracy.

A na co się to przekłada? A no choćby na to, że w wyniku wykrycia podatności 0-day w takim CMS-ie wielki admin nic nie może zrobić. Musi czekać aż ktoś załata lukę i wyda poprawkę. Powiedzmy - ktoś wykreował 50 stron na tym samym CMS-ie w tej samej wersji. Znaleziono lukę która wstrzykuje XSS-em ramkę iframe ze złośliwym JS'em. JS jest automatycznie wykonywany przez przeglądarkę a po dwóch godzinach mamy dysk zaszyfrowany. I to zaszyfrowany nie na 50 komputerach ale na komputerach odwiedzających te 50 witryn. Ba, błąd przy parsowaniu zapytań do bazy danych może skutkować tym, że tą bazę stracimy, skasujemy lub wycieknie. A jak wycieknie to stanie się łakomym kąskiem dla spamerów.

Problemy z łataniem oprogramowania są. Społecznościowe projekty zazwyczaj łatane są szybciej. Te, prowadzone przez firmy trochę wolniej (choć ostatni krytyczny bug w Windows Defenderze załatano błyskawicznie), głównie w związku z tym, że działalnośc firmy opiera się na planowaniu i z góry założonej strategii. Wyjątki nieco komplikują sytuację i wymuszają reorganizcję która sama zabiera trochę czasu.

Przeglądając sieć można natknąć się na przykłady stron które zostały zhackowane. Główna przyczyna to podatność w CMS lub wtyczkach. Często dodatkową zawartość na stronie umieszcza się jako iframe np widget pogodowy. Klient lubi mieć bajery. A samemu ciężko taki bajer pogodowy napisać więc zapożyczenie wygląda kusząco. A autor takiego bajeru zrobił go dla bajeru i za prawidłowe funkcjonowanie nie odpowiada. Tak samo jak z Firefoxem - przeglądarka nie zwalnia przez to, że jest źle napisana a przez to, że ludzie instalują rozszerzenia które zostały napisane przez pana Józka od kurczaków. A że pan Józek nie zna się na programowaniu to nie rozumie co to są wycieki pamięci i deklaruje wszystko dynamicznie.

A morał z tej historii jest taki, że zawsze warto wiedzieć od samego początku do samego końca co się robi. Zapyta ktoś po co to wszystko piszę. No, dlatego, że ostatnio dostałem od klienta projekt strony od pewnej firmy. OK, strona główna prezentuje się w porządku. Po chwili googlowania okazało się, że takiej firmy nie ma, gość jest a "firma" mieści się gdzieś na blokowisku na bliżej nieokreślonej klatce schodowej. OK, pora zerknąć w kod - mamy tutaj darmowy szablon w którym zastąpione zostało "lorem ipsum" i dane przykładowe. Nie zostały usunięte nawet komentarze twórców szablonu.

A teraz jeszcze kwestia znajomości terminologii. Dwa lata temu pisałem pewną witrynkę a zleceniodawca chciał, żeby linki ze starej witryny działały i przenosiły użytkownika do odświeżonej strony. Zastanawiałem się nad napisaniem własnego redirecta (albo alias do obecnego linka) ale ostatecznie wykorzystałem .htaccess - przekierowań nie było dużo. Klient już dopytywał się znajomych informatyków jak to zrobić - każdy mówił, że się nie da, że stare linki nie będą działać. Sorry - to są podstawy. Ostatnio widziałem stronę pewnego naciągacza na rejestrację domen (opis procederu tutaj) na której to widnieje diagram z listą umiejętności ich programistów - Wordpress 90%, HTML 85%. Żeby otwarcie przyznawać się, że się czegoś nie potrafi w portfolio to trzeba mieć jaja - mimo to lepsze to niż webmaster od siedmiu boleści.

Komentarze (0)

Nikt jeszcze nie dodał komentarza. Możesz być pierwszy.

Napisz komentarz lub zgłoś błąd

Dodane w dniu 28 lipca 2017 przez Michał Misztal
Kopiowanie powyższych wypocin dozwolone pod warunkiem podania źródła, znaczy tandemu autor + link do strony