27.11.2014 | 21:13

Adam Haertle

Kolejna wpadka Nabino, autorów systemu wyborczego

Trzy godziny temu jeden z Wykopowiczów opublikował link do kolejnej testowej strony serwisu tworzonego przez Nabino. Wcześniej odkryliśmy i opisaliśmy testową wersję systemu obsługującego wybory, udostępnioną publicznie. Tym razem Wykopowicz Cronox trafił na testową witrynę Portalu Edukacyjnego Koszalin pod adresem https://koszalin.nabino.pl/pl/. Zasugerował także, że zdobycie uprawnień administratora nie powinno być trudne. Niedługo potem ktoś najwyraźniej poradził sobie z tym zadaniem, ponieważ obecnie adres https://koszalin.nabino.pl przekierowuje na stronę https://fuck.nabino.pl. Pogratulować.

Wpadka Nabino

Wpadka Nabino

Wydawało się nam, że po wpadce z systemem wyborczym wersje testowe innych stron Nabino zostaną zablokowane. Jak widać niektórzy uczą się powoli.

Powrót

Komentarze

  • 2014.11.27 21:34 andraf

    #tylkonocny

    Odpowiedz
    • 2014.11.27 21:44 Mirz

      Są niezalogowani, więc wybiera im automatycznie #dzienny. A to rani moje oczy ;__;

      Odpowiedz
      • 2014.11.27 21:47 Adam

        Niezalogowani? A zakładkę „Mój Wykop” to Maciej ręcznie dopisał?

        Odpowiedz
        • 2014.11.28 20:27 Amas

          Maciej już nie ma nic do gadania ( ͡° ͜ʖ ͡°)

          Odpowiedz
  • 2014.11.27 21:37 devilinside

    Takich błędów to ja nie popełniałem gdy nie wiedziałem jeszcze co to np array >_<
    Ż. E. N. A. D. A

    Odpowiedz
    • 2014.11.28 11:26 JackN

      Popełniałeś tylko o tym nie wiedziałeś/wiesz :)

      Odpowiedz
  • 2014.11.27 22:55 iwan

    Redirect adekwatny to poziomu ogarnięcia:
    maciek@Skiing-Yak:~$ curl -Ik https://koszalin.nabino.pl/pl/
    HTTP/1.1 303 See Other
    Date: Thu, 27 Nov 2014 21:55:16 GMT
    Server: Apache
    X-Powered-By: PHP/5.3.3
    Set-Cookie: CAKEPHP=5hs9ocdm9kijie3fafd5nvbcl4; expires=Thu, 27-Nov-2014 23:55:16 GMT; path=/; domain=.nabino.pl; secure; HttpOnly
    Location: https://fuck.nabino.pl/pl
    Connection: close
    Content-Type: text/html; charset=UTF-8

    Odpowiedz
  • 2014.11.27 23:13 Koziołek

    To ja mam do was takie pytanie. Jako firma robię serwis dla jakiegoś klienta. Klient nie posiada własnych serwerów, ani żadnej infrastruktury poza najprostszą – komputery osobiste pracowników + jakieś drukarki. Jego pojęcie o komputerach ogranicza się do wpisania adresu w przeglądarkę.

    Jak mam mu wystawić do testów aplikację? Co mam mu wystawić prywatną serwerownię, gdzie przyjedzie i będzie sobie testował? Postawić mu VPN-a do mojej sieci (laptopy grupy kolegów, kod trzymamy w prywatnym repo na githubie). Co proponujecie, bo śmiać się to każdy potrafi, ale jakieś rozwiązanie poproszę.

    Odpowiedz
    • 2014.11.27 23:23 Adam

      O htaccess nie słyszałeś? Albo filtrowaniu ruchu po IP?

      Odpowiedz
      • 2014.11.28 10:10 Michał

        Tylko ten httacces, też trzeba zrobić dobrze, a nie tylko POST :)

        Odpowiedz
    • 2014.11.28 01:02 rob006

      Wystarczy najprostsza autoryzacja: https://wiki.apache.org/httpd/PasswordBasicAuth
      Jak wy te serwisy piszecie, skoro nie wiecie o takich rzeczach? :D

      Odpowiedz
      • 2014.11.28 13:33 darek

        Nie autoryzacja, a uwierzytelnienie.

        Odpowiedz
    • 2014.11.28 09:20 Janusz

      #bekazwebdev Koledzy wyżej dobrze napisali, takie zabezpieczenia stykną. Jak Wy ti robicie bez znajomości takich podstaw? Może tak jak.firma, która ostatnio się ze mną kłóciła, że nie mogą spraqdzić responsywności strony.na urządzeniach mobolnych bo musieliby mieć wszystkie xD O wirtualizacji czy nawet generatorach online chyba nie słyszeli. A ja.nawet w tej branży nie siedzę i wiem.

      Oni też dają klientom niezabezpieczone bety stron do testów (m.in. Jednej znanej piosenkarki z Polski).

      Odpowiedz
    • 2014.11.28 09:22 kamilp

      A ja sie zgodze z koziolkiem. Co za roznica jezeli np. jest to aplikacja biznesowa do ktorej i tak trzeba sie zalogowac? Po co dodatkowa warstwa dostepu?
      My wystawiamy zawsze kilka wersji testowych i sa one ogolnie dostepne.

      Odpowiedz
      • 2014.11.28 10:11 Michał

        Po to, że można przełamać zabezpieczenia aplikacji testowej łatwiej niż produkcyjnej (produkcyjna powinna być już po pentestach)

        Odpowiedz
    • 2014.11.28 11:21 rafx

      „Jego pojęcie o komputerach ogranicza się do wpisania adresu w przeglądarkę.” Polecam upewnić się, że ta osoba, przy swoim braku pojęcia nt technologii w której chce pracować, nie ma jakichś kosmicznych wyobrażeń nt tego co dostanie, bo w takim przypadku ciężko się dogadać. Lepiej się pracuje z wyedukowanymi klientami.

      Odpowiedz
    • 2014.11.29 23:30 yzq

      Użyj certyfikatów _klienckich_ SSL do ograniczenia dostępu do wersji testowej serwisu (a jeśli produkcji ma używać wąska grupa docelowa to do niej też). Jak umie wpisać adres w przeglądarkę to dwukliknąć na certyfikat przysłany przez ciebie mailem też będzie umiał, żeby zainstalował mu się w przeglądarce. Owszem, oznacza to, że musisz mieć https na serwisie, ale w 2014 roku każdy sajt, szczególnie mający jakiekolwiek formularze logowania, powinien. Nie musisz stawiać VPNów ani whitelistować IP. Szkoda, że tak mało ludzi tego używa.

      Odpowiedz
  • 2014.11.28 10:23 Grigor

    Widzieliście co tam teraz na koszalin.nabino stoi? Znajome protokoly, co? ;)

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Kolejna wpadka Nabino, autorów systemu wyborczego

Komentarze