Allegro loguje na losowe konta
Tak, tym razem około godziny 13 Allegro dołączyło do OLX i Gadu Gadu i walczy z problemem z zarządzaniem sesjami użytkowników. Klienci bywają logowani na cudze konta przy każdym odświeżeniu strony. Allegro o problemie wie (na razie zablokowało możliwość korzystania z wielu funkcji oraz sprytnie wyłączyło wyświetlanie nazwy aktywnego użytkownika) i liczymy na to, że wkrótce dowiemy się, co było przyczyną awarii.
Jak na razie z przesyłanych przez Was informacji wynika, że można podglądać cudze dane (co najmniej login + email), lecz nie można dokonywać zmian na koncie. Zabawne jest generowanie za każdym razem innego loginu w przypadku próby zgłoszenia błędu przez formularz kontaktowy.
Aktualizacja 13:45 Allegro wyłączyło w ogóle serwis WWW, wyświetlając komunikat z prac, które miały miejsce dzisiejszej nocy.
Aktualizacja 2016-01-21: Otrzymaliśmy wyjaśnienie od Allegro:
Przyczyna problemu została przez nas natychmiast usunięta, a wadliwe oprogramowanie wycofane z wdrożenia. Uruchomiliśmy dodatkową procedurę kontrolną wdrożeń, aby uniknąć takich sytuacji w przyszłości. Oprócz usunięcia usterki technicznej, wyszukaliśmy konta, które mogły potencjalnie być dotknięte opisanym problemem oraz wciąż pracujemy zarówno systemowo, jak i indywidualnie z klientami nad usunięciem skutków usterki, w tym m.in. ich konta zostały objęte dodatkową procedurą sprawdzającą czy wszystko na ich kontach jest ok.
Co oczywiste wszystkich przeprosiliśmy za wszelkie niedogodności związane z opisana usterką i dokładamy wszelkich starań – m.in. poprzez dodatkowe etapy weryfikacji wdrożeń softu, aby podobne sytuacje nie miały miejsca w przyszłości.
Podobne wpisy
- CSO Grupy Allegro, Michał Wierucki, gościem Rozmowy Kontrolowanej w niedzielę o 21
- Wszystko, co chcieliście wiedzieć o błędach SSRF, ale baliście się zapytać
- Uwaga kupujący na Allegro – pojawił się nowy wariant oszustwa z wyłudzeniem danych karty
- Uwaga na dużą kampanię malware pod hasłem Allegro Kredyty
- Uwaga na nowe ataki pod hasłem aktywacji konta Allegro
„Jak na razie z przesyłanych przez Was informacji wynika, że można podglądać cudze dane (co najmniej login + email), lecz nie można dokonywać zmian na koncie.”
To brzmi identycznie, jak grudniowe problemy Steama (dziwne, że o nich nie wspomnieliście), spowodowane złym skonfigurowaniem serwerów sesji (nie można tego nazwać „logowaniem” na cudze konta).
No i oczywiście palnąłem gafę, miałem na myśli serwery cache’u.
https://zaufanatrzeciastrona.pl/post/problemy-platformy-steam/
Z ty logowaniem to już od dawna jest coś nie tak :) Jesteś zalogowany na belce pisze zaloguj się, klikasz zaloguj, przenosi do konta i jest wyloguj. W ogóle to od roku widzę tendencję spadkową w jakości działania tego popularnego portalu aukcyjnego. I zanim cokolwiek się tam załaduje trwa wieki a jak już myślisz, że wszystko się załadowało i klikasz w aukcje to ku twemu zaskoczeniu jeszcze jakiś wspaniały kawałek kodu ładuje jakiś kolejny gówniany za przeproszeniem paseczek, który przesuwa zawartość strony i klikasz w inną aukcję :) Nie nie używam modemu do połączeń z Allegro :) Wkurzający jest fakt informacji o ciasteczkach, póki się nie zaloguje to domyślam się, że dostane komunikatem w twarz ale już po zalogowaniu dalej maltretować użytkownika ciasteczkowymi newsami jest nudne i może sugerować, że Allegro myśli, że nie potrafisz czytać ze zrozumieniem albo masz słabą pamięć. Raz zaakceptowany komunikat zalogowanego użytkownika to chyba wystarczająca ilość. Używam Allegro sporadycznie i współczuję tym dla których jest to narzędzie pracy. Chociażby taki Aliexpress działa lepiej i ma więcej przydatnych funkcji i opcji niż przestarzałe coraz wolniejsze Allegro.
Zauważyłem to samo. Jestem zalogowany a na belce link ,,zaloguj”.
Allegro coś się sypie, jak nie zabiorą się do roboty to skończy się na wycieku. Skoro nie ogarniają błędów widocznych gołym okiem to co siedzi pod maską?
odpowiedz jest prosta: nie załadowały się wszystkie skrypty javascript. ładowane sa asynchronicznie i akurat tekst przycisku zaloguj na belce jest zmieniany dynamicznie przez javascript, ktory robi jeszcze kilka requestow do serwera po wczytaniu calej strony, a robi to na samym koncu. sek w tym ze czasami ten skrypt nie zostaje striggerowany lub sie sypie (nie mma pojecia) i pozostaje zaloguj. jednak jak klikniesz moje allegro obok, to wejdziesz normalnie w swoje konto. po stronie serwera jestes zalogowany, jedynie po stronie klienta sie to czasami buguje przez tego js.
bez JS nie zalogujesz sie nawet do allegro, o jakiejkolwiek obsludze nie wspominajac.
Formacja z dobrze poinformowanego źródła: problem spowodowany limitem quota na serwerze sesyjnym. Dojście do tego Zajęło im kilka godzin.
pudło.
serwery sesji nie brały w tym udziału.
Przecież GG, Allegro i OLX to jedna banda – Naspers. ;)
of course
http://www.rp.pl/Media-i-internet/310309887-Naspers-sprzedal-Gadu-Gadu.html
@MM
GG nie należy już do Naspers…
http://www.rp.pl/Media-i-internet/310309887-Naspers-sprzedal-Gadu-Gadu.html
Ciekawe czy wczorajsze problemy Allegro powodowały też problemy z certyfikatem. Odezwał się wczoraj do mnie kolega, że jego laptopie z Mac OS zaczęły pokazywać się błędy certyfikatu na allegro jak na poniższych zrzutach ekranu:
http://postimg.org/gallery/29oakh3vq/
niech sobie kolega zaktualizuje certyfikat thawte ;-) Z tego co widzę, to nie wina allegro a starego certyfikatu jaki ma w swoim sklepie.
Podobne problemy miał nie tak dawno też Steam ( http://kotaku.com/steam-goes-nuts-offers-access-to-other-peoples-account-1749718979 )
G*wno prawda, jestem sprzedawcą na allegro a nie otrzymałem żadnych informacji o problemach od wspomnianej firmy.
Oczywiście komentarz dotyczy poinformowania użytkowników przez wspomnianą firmę, nie artykułu z3s.
problem dotknął konkretną listę osób (wiadomo kto i wiadomo na czyje konta zajrzał, a nawet wiadomo kto w które zakładki wszedł na cudzych kontach)
widocznie nie byłeś w żadnej z tych grup
Wow ale wtopa. Tylko czemu kręcą w informacjiniejawnych mediów. Przypadków była cała masa..