Tomek rozważał zakup oprogramowania, ale im bardziej szukał warunków licencji, tym bardziej tekstu licencji u sprzedawcy nie było. Była za to tylna furtka, której zakupu nie rozważał. Zapraszamy na wycieczkę po pewnym produkcie.
Znacie tę cyklicznie powracającą historyjkę, jak to dawniej było biednie i przaśnie, ale byliśmy młodzi i świeciło słońce? Seria nostalgicznych wspominek w stylu: “Czasami mogliśmy jeździć w bagażniku starego fiata, zwłaszcza gdy byliśmy zbyt umorusani, by siedzieć wewnątrz. Jak się ktoś skaleczył, to ranę polizał i przykładał liść babki. […] W wannie kąpało się całe rodzeństwo naraz, później tata w tej samej wodzie”. Już w połowie lektury przytomny czytelnik dostrzega, że mantra “nikt nie utonął, nikt się nie rozchorował, nikt nie umarł” nie mogła być tak do końca prawdziwa.
Opowieści o pionierskich czasach IT obarczone są często tym samym błędem logicznym. Survivorship bias, błąd przeżywalności. Rozumowanie oparte o niereprezentatywne dane. Owszem, patchowaliśmy w locie na produkcji, niemalże bezbłędne faktury wystawiały dwa skrypty CGI w Perlu, uszkodzoną dyskietkę odczytał nagle dwudziesty wypróbowany napęd, ale co tam! Nikt nie stracił danych, nikt nie stracił reputacji, nikt nie zbankrutował. Jaaaaasne.
Czasy się zmieniły. Wody nie trzeba już przynosić ze studni i grzać na piecu, więc dla wszystkich naturalne jest, że poziom higieny istotnie się podniósł. Powitaliśmy też dobre praktyki w IT dotykające zarówno aspektów technologicznych, jak i prawnych. Tym większe było więc moje zdziwienie, gdy w roku 2019 natknąłem się na prawdziwy skansen złych praktyk informatycznych rodem z połowy lat dziewięćdziesiątych ubiegłego wieku.
A było to tak…
Kilka tygodni temu rozpocząłem przygotowania do odpalenia płatnego kursu online, zacząłem rozglądać się więc za gotowymi rozwiązaniami automatyzującymi obsługę przelewów, fakturowania, dystrybucji treści i tak dalej. Kurs kierowany jest na rynek polski, więc konieczna była np. integracja z lokalnymi operatorami płatności – to eliminuje większość rozwiązań zagranicznych. Jednym z najczęściej wymienianych rozwiązań była pewna polska platforma kursów online oparta na WordPressie, nazwijmy ją roboczo Platformą. Okres próbny za darmo, poprosiłem o udostępnienie wersji instalacyjnej.
Pierwsze zdziwienie. Nie mogę dostać pluginu do samodzielnej instalacji. Odpowiedź dostawcy: “Nie ma możliwości samodzielnej instalacji wersji próbnej. Aby zainstalować demo potrzebne będą dane do logowania na tę stronę + zainstalowany tam WordPress”. Wyraziłem wątpliwości dotyczące bezpieczeństwa takiej opcji, poprosiłem o uzasadnienie techniczne. Dostawca: “Takie mamy procedury instalacji wersji próbnej, chcemy mieć pewność, że wszystko zostanie zainstalowane poprawnie”. Ciekawość zwyciężyła, przekazałem dane logowania do dziewiczej instalacji WordPressa. Następnego dnia otrzymałem informację, że wszystko jest gotowe.
Drugie zdziwienie. Dostawca bez mojej wiedzy i zgody założył sobie w WordPressie użytkownika o uprawnieniach administratora. Nazwa ustandaryzowana, ciekawe, czy chociaż hasło unikalne…
Trzecie zdziwienie. Na liście pluginów oprócz Platformy pojawiła się pozycja “Sucuri Security – Auditing, Malware Scanner and Hardening”, zainstalowana bez mojej wiedzy i zgody. Tak więc mam na swojej maszynie amerykański soft (od GoDaddy Media Temple), którego warunki użycia mają wytłuszczoną frazę “If you do not agree to be bound by this Agreement, you may not access or use the Sites or the Service”. Aha, jasne. Za późno.
Czwarte zdziwienie. Odkrywam plugin InfiniteWP Client do masowego zarządzania WordPressami (“Instant backup and restore your entire site, One-click access to all WP admin panels” itp). Odkrywam, bo plugin, zainstalowany bez mojej wiedzy i zgody, sam siebie usunął z listy pluginów, dzięki czemu awansował do kategorii backdoora. Postanawiam dziwić się rzadziej.
Na stronie WWW można przeczytać, że oprogramowanie jest kupowane jednorazowo, na własność, na zawsze. FAQ dodaje, że po roku wygasa licencja, a wraz z nią wsparcie i aktualizacja, jednak Platforma nadal działa. A licencję można odnowić. Każdy, kto sprzedawał jakiś kawałek softu, rozróżnia sprzedaż praw majątkowych od licencjonowania i wie, że intuicyjne rozumienie języka potocznego nie zawsze odpowiada językowi prawniczemu. Poprosiłem dostawcę o wyjaśnienia, oto fragmenty korespondencji (e-maile i chat):
Co dokładnie wchodzi w zakres umowy kupna-sprzedaży?
Platforma, którą zakupuje się na własność. Działa nawet jeśli licencja nie zostanie odnowiona.
Czy mogę prosić o przysłanie wzoru umowy (licencji?) regulującej zasady użycia płatnej wersji Platformy?
Nie mamy wzoru umowy przy płatności jednorazowe gdyż w takim wypadku jej nie podpisujemy. Platformę zakupujesz na własność, licencja ważna jest przez rok i możesz (ale nie musisz) ją odnowić, żeby mieć aktywne aktualizacje dla platformy i wsparcie mailowe.
Na własność czyli mogę robić z kodem źródłowym co zechcę?
Na własną odpowiedzialność można, tylko przy zmianach kodu trzeba się liczyć z tym, że w razie problemów może być ciężko pomóc i zweryfikować problem
W jaki sposób nabywam „platformę” „na własność”, skoro przeniesienie praw majątkowych wymaga umowy pisemnej?
Nie kupujesz praw majątkowych – tylko niewyłączna licencję.
Czyli jednak umowa licencyjna lub inny dokument opisujący warunki użycia. Chciałbym zapoznać się z tym tekstem.
Możesz zajrzeć do regulaminu sprzedaży [link]; żadnego innego dokumentu nie mamy.
Na czacie i w tym wątku dostałem informację, że oprogramowanie kupuję na własność, na czacie dodatkowo potwierdzenie, że mogę je swobodnie modyfikować. Czy użytkownik najtańszej wersji może włączyć sobie funkcje z droższych wersji? Wymagana modyfikacja kodu jest śmiesznie prosta. Jeśli nie, to który punkt umowy/licencji/regulaminu reguluje tę kwestię? (zaznaczam, że nie planuję tego robić, natomiast jestem ciekaw Waszej opinii, w końcu jesteście profesjonalnym uczestnikiem rynku IT)
Modyfikacja kodu, włączenie wyższej wersji – jeśli ktoś to robi, to obciąża własne sumienie, nie nasze.
Osobną kwestią jest licencjonowanie Platformy.
Czy cała platforma jest Waszego autorstwa?
Tak, Platforma jest naszego autorstwa.
A czy w skład platformy Platformy wchodzi może jakieś oprogramowanie osób trzecich? Jeśli tak, to na jakich warunkach jest ono rozpowszechniane i jakie prawa oraz obowiązki nakłada na mnie?
Korzystamy np. z biblioteki OpenPayU SDK i podobnych. Są to licencje otwarte. dodatkowo posiadamy prawa majątkowe do utworów zawartych w platformie a zakupionych od podmiotów trzecich (prace graficzne itp.).
Dwukrotnie w tym wątku (i raz pytając na czacie) uzyskałem informację, że Platforma jest oprogramowaniem Waszego autorstwa. Tymczasem ponad połowa objętości plików PHP pluginu to Easy Digital Downloads, ale o tym nie wspomnieliście. […] Dlaczego ta informacja jest ukrywana? Przecież bazowanie na produktach open-source to ani wstyd ani wykroczenie?
Nie ukrywamy bazowania na EDD (coś w rodzaju forka), ale też nie eksponujemy np. na stronie z ofertą tej informacji, bo nie ma ona żadnego praktycznego znaczenia dla osób poszukujących rozwiązania typu Platforma. Platforma jest naszego autorstwa – nie oznacza to że napisaliśmy każdą linijkę kodu. Dla osoby z IT powinno to być raczej oczywiste, że korzysta się z różnych bibliotek, frameworków itp. a autor frameworka nie jest autorem rozwiązania, które powstaje na jego bazie :)
EDD jest dystrybuowany na licencji GNU GPL, jest to „wirusowa” licencja typu copyleft. Integrowanie kodu (rejestracja callbacków, wspólne struktury danych) plugina firmowanego przez Autorów Platformy z kodem GNU GPL sprawia (m.in. wg FAQ GNU GPL), że również sam plugin obejmowany jest licencją GNU GPL. Czy zgadzacie się z tą interpretacją?
Co do licencji wirusowej, to my stosujemy licencję mieszaną – posiadamy pełne prawa majątkowe do elementów kreatywnych jak grafiki, style itp. – nie obejmuje ich wirusowość. Posiadamy również licencje komercyjne niektórych komponentów itp.
I tak to – kupujemy na własność oprogramowanie objęte licencją, która nie została spisana. Być może jest to GNU GPL, lecz skorzystanie z zapisanych w niej wolności obciąży nasze sumienie. A niektóre komponenty są komercyjne. Ale bez przyciśnięcia nie powiemy, które.
Naprawdę niewiele trzeba, by rozbroić powyższe zarzuty. Ot, uzyskać zgodę potencjalnego klienta na zdalny dostęp, monitorowanie i instalację cudzych pluginów, z opcją rezygnacji z tych dodatkowych usług. Zamiast frazy “na własność” użyć czegoś niesugerującego rzeczywistej zmiany właściciela i wyraźniej oddzielić tę jednorazową opłatę od abonamentu na aktualizacje. Jasno przedstawiać warunki korzystania z kodu źródłowego i raczej nie próbować grać na poczuciu winy klientów.
Zdaję sobie sprawę, że grupa odbiorców Platformy to ludzie o ograniczonej wiedzy technicznej i dla nich monitoring oraz zdalna pomoc mogą być wartościową usługą. Co się jednak stanie, gdy użytkownik Platformy odniesie duży sukces sprzedażowy, otrzyma ofertę przejęcia swojego serwisu i przejdzie proces due dilligence? Analiza wykaże totalny bałagan prawny, a wycena poleci na łeb na szyję, co może skutkować słusznymi pretensjami względem dostawcy Platformy. Przez analogię – prawie każdy z nas jest laikiem w zakresie leczenia zębów, zdajemy się na profesjonalizm stomatologa, jednak przed zabiegiem zarówno poznajemy zakres leczenia, jak i wprost wyrażamy na nie zgodę.
Ciekawi mnie, czy którykolwiek z klientów podnosił podobne zastrzeżenia?
Nikt z naszych klientów nie wnosi podobnych „zastrzeżeń”. Szukają oni raczej rozwiązania, a nie problemu :)
Nikt nie narzekał.
—-
PS: twórcy Platformy zapoznali się z powyższym tekstem przed jego publikacją, jednak zrezygnowali z przedstawienia swojego stanowiska.
PS2: nie wymieniam w tym tekście nazwy Platformy. Każdy
zainteresowany zidentyfikuje ją w minutę, więc nie robi to żadnej
różnicy.
Autorem tekstu jest Tomasz Zieliński, który przygotowuje premierę kursu obsługi menedżera haseł dla mało zaawansowanych użytkowników komputera. Jeśli nie wszyscy w twojej rodzinie używają menedżera haseł, odwiedź stronę informatykzakladowy.pl. Jeśli sam(-a) nie używasz menedżera haseł, KONIECZNIE odwiedź stronę informatykzakladowy.pl!
Aktualizacja z dnia 15 września 2019
Dnia 15 września otrzymaliśmy stanowisko firmy, której produkt jest omawiany w tekście. Zamieszczamy je w całości poniżej.
„Szanowny czytelniku,
Zależy nam na tym, by wspierać osoby, które nie mają odpowiedniej wiedzy lub nie chcą poświęcać czasu, by samodzielnie zająć się sprawami technicznymi. Stawiamy na to, aby sprawnie udzielać im wsparcia i zwiększać bezpieczeństwo ich systemów. Dlatego korzystamy z narzędzi wspierających te procesy, takich jak wtyczki zwiększające bezpieczeństwo (monitorujące próby włamań, infekcje przez malware itp.) oraz takie, które ułatwiają szybkie zalogowanie się na platformie, by udzielić pomocy i wsparcia technicznego. Dzięki temu nasz support jest w stanie sprawnie reagować na zgłoszenia klientów zgodnie z regulaminem stosownej usługi.
Narzędzie do szybkiego logowania można w każdym momencie zablokować, usuwając nasze dedykowane konto administracyjne lub zmieniając jego uprawnienia, gdyż sama wtyczka InfiniteWP nie pozwala na inny – w tym nieautoryzowany – dostęp. Podczas tworzenia jakichkolwiek kont przywiązujemy szczególną uwagę do tego, by hasła do nich były odpowiednio silne i unikalne. Dodatkowo zawsze prosimy o instalację naszego oprogramowania na czystej, odizolowanej subdomenie lub w odizolowanym folderze. Dzięki temu nigdy nie mieszamy dostępu do platformy z innymi systemami klienta. Analogicznie odbyło się to w przypadku Pana Tomasza, autora powyższego artykułu.
Ponieważ zależy nam na tym, by nieustannie podnosić jakość naszych produktów, zawsze bierzemy pod uwagę wszelkie sugestie zgłaszane przez naszych klientów. Miało to miejsce również w kwestiach poruszonych przez autora artykułu. Dla ścisłości należy tutaj dodać, że korzystał on jedynie z wersji testowej platformy, która posiada nieco inne procedury, niż produkt opłacony.
Dzięki analizie wszystkich sugestii uprościliśmy i usprawniliśmy proces testowania platformy, a kwestie licencyjne zamknęliśmy w jednym przejrzystym dokumencie. Warto podkreślić, że sam dokument nie wprowadza niczego nowego, a jedynie porządkuje znane już informacje. Sprawdziliśmy także wszelkie treści informacyjne i marketingowe, by uniknąć w nich czegoś, co mogłoby być niejasne dla naszych klientów w kwestiach zasad użytkowania oprogramowania. Mamy nadzieję, że dzięki temu nasza platforma będzie jeszcze bardziej przejrzysta i lepsza w użytkowaniu.
Podsumowując – najważniejsze dla nas jest to, by pomagać klientom realizować ich cele, dostarczając rozwiązania i wsparcie, dzięki któremu będą oni mogli skoncentrować się na tym, co dla nich ważne i nie tracić czasu na sprawy techniczne. Cieszymy się, że oferowane przez nas rozwiązania stają się coraz lepsze nie tylko dzięki stale rosnącej liczbie oferowanych funkcji, ale równie dzięki wszelkim elementom towarzyszącym temu procesowi.
Pozdrawiam
Michał z upSell”
Komentarze
No i dzieciaki się bawią a ci się nie podoba to nie kupuj, jezu.
Kto chce będzie dostarczał usług a kto chce będzie się bawił zabobonami jak licencja, konstelacja gwiazd i certyfikat koszerności.
To ironia jest, mam nadzieję?
Raczej wygląda to na modlitwę
Sucuri to akurat całkiem dobry wybór dla WP, które standardowo nie ma żadnego mechanizmu ochrony a wpadek tam nie brakuje. Dobrze, że nie używają Wordfence, który tylko udaje że coś robi… A co do dodatkowych pluginów, to zamów stronę na WP z agencji – oni ładują co się da, ja miałem nawet konto admina chyba jakiegoś freelancera w oddanej stronie. Także ten przypadek to niebo w porównaniu z tym co się dzieje w projektach na WP :)
Już drugi raz słyszę że WordFence nie jest najlepszą opcją, a został mi kiedyś polecony przez co instalowałem go na kilkudziesięciu stronach klientów, przychodzą do mnie raporty o zablokowanych atakach, żadnego złośliwego kodu od tego czasu (a zanim zacząłem używać było sporo) więc myślałem że się sprawdza – mógłbyś napisać coś więcej dlaczego „tylko udaje”? I dlaczego sucuri w darmowej wersji będzie lepsze?
Zerknij tu:
http://wpmagus.pl/pliki/prezentacje/mity-nie-bezpieczenstwa/#/
Wszystko ładnie, tylko jedyny „wąt” dotyczący WordFence dotyczy podatności z 2014 roku (która jest pewnie dawno załatana). Jakieś konkrety/świeże podatności?
Pewnie chodzi o platformę „wppomysł”.
Ciekawe co z RODO ;p
Swoja droga artykul o InfiniteWP lub podobnych bylby ciekawy – wszak WordPress to najpopularniejszy i najczesciej atakowany CMS ;)
Heh… trochę to bicie piany. Wiadomo, że autor ma swoje racje w tym wszystkim, bo np. mnie by się nie podobało instalowanie pluginów odpowiadających za bezpieczeństwo, bo akurat nie lubię Sucuri i tyle. Ale kurde no… powiem tak – pracuję w pewnej agencji XYZ od wielu lat. Dodam, że to jest topowa agencja. Idąc tą drogą to można by się przyczepić wszystkiego… Z tego, co widzę to trochę szukanie taniej sensacji jak w Pudelku (przepraszam za niefortunne porównanie). Ten artykuł to raczej instrukcja albo lista wytycznych do usprawnień dla tej firmy, niż wielkie ostrzeżenie dla Kowalskich i zdemaskowanie afery z Cambridge Analytica (tak to się chyba piszę).
Ciekawy temat dla zapoznania. :)
Widzę w Polsce stabilnie. I zamiast wspierać rodzinne biznesy to jeden próbuje dokopać drugiemu. Odpowiedz firmy prawidłowa. Jest to szukanie problemów na sile. A autor niech się zorientowuje jak duże firmy jak amazon i Microsoft łamią postanowienia licencyjne produktów open source które zobowiązują te firmy do publikacji kodów źródłowych swoich usług komercyjnych. Wtedy może otworzą mu się oczy jak działa w świecie rzeczywistym „biznes”.
Hej, tu autor tekstu. Pracowałem w Microsofcie w czasie, gdy to jeszcze był ten „zły” Microsoft, nastawiony przeciwko otwieraniu źródeł i wolnemu oprogramowaniu (z GPL na czele). I przy tym wszystkim bardzo duży nacisk był kładziony na to, żeby być w zgodzie z wszystkimi licencjami wszystkiego, co było włączane do kodu produktu. Skłonny jestem sądzić, że teraz jest z tym jeszcze lepiej. Tak więc – jakiś konkretny przykład?
Nie uważam też, by polskość firmy dawała jakąś taryfę ulgową.
wielki sukces – due diligence – platformy postawionej na WordPresie – czy autor „Gościnny” zna taki choć 1 przypadek – sam proces – due diligence – kosztuje co najmniej „naście” tysięcy (jak dojdą międzynarodowy prawnicy to kilkadziesiąt) a załatanie tych „wad” platformy nie przekroczy kilkuset pln
a co finalnie wybrał autor, jaką platformę?
Oczywiście fusekryptora :)
Tu autor. Z powodu braku gotowca pasującego do potrzeb, planuję samodzielne wystruganie kilku skryptów. Istniejące platformy fakturujące integrują się z platformami płatniczymi, więc po mojej stronie zostanie zainicjowanie procesu a potem obsłużenie płatności zakończonej sukcesem. Wciąż więcej roboty, niż chciałbym na to poświęcić, ale w zamian będę miał rozwiązanie pasujące do potrzeb a nie dopasowane do możliwości.
Ciekawe. Jakieś szanse na opublikowanie tego jako open-source? Nie tylko by to pomogło w samym procesie deweloperki (co by ciebie odciążyło) ale też łatwiej byłoby znaleźć i załatać wszelkie podatności.
Czytam z3s prawie od samego początku i bardzo nie lubię się wypowiadać publicznie, ale ten artykuł sprawił, że stanę się debiutantem w tej roli. Jeśli nikt nie narzekał na tamtą firmę to ja ponarzekam trochę na autora.
Artykuł jest bardzo stronniczy, przepełniony złośliwościami i zapewne miał być clickbaitowy. Po co to wszystko drogi autorze? Demaskuj prawdziwe afery, a nie czepiaj się najwyraźniej malutkich, ledwo zipiących firemek, które nie są zbiurokratyzowane tak jakby sobie szanowny autor tego życzył. Jeśli byś chciał to mógłbyś pomóc tej firmie i zgłosić im sugestie odnośnie tego, co warto usprawnić, bez tworzenia artykułów stylizowanych na aferę na miarę drugiego Watergate.
Ja tak robię przynajmniej kilka razy w miesiącu i uważam, że to miłe i wspiera dany podmiot, jak i jego obecnych oraz przyszłych klientów.
Po co te uszczypliwości, porównania, epitety? Czy naprawdę w dzisiejszych czasach człowiek musi być człowiekowi wilkiem? Może jestem już starej daty, ale nie tak mnie wychowano, żeby na każdym kroku deptać innych w imię własnych korzyści, bo jak dla mnie intencją artykułu była kryptoreklama własnego kursu i zaspokojenie własnej próżności. Komu tak naprawdę miało to pomóc?
I to śmieszne podejście, że niby autor nie podaje nazwy platformy, ale daje tyle szczegółów, że można ją bez problemu zidentyfikować. Czemu to miało służyć?
Tak – złoszczą mnie tacy ludzie i takie podejście, bo nie mówię, że mamy się od razu wszyscy kochać, ale szanujmy się i nie udawajmy, że jesteśmy tacy szlachetni, bo inteligentni ludzie – których tutaj nie brakuje – i tak wyciągną własne wnioski zwracając uwagę na przekrój tego artykułu i jego nadmuchaną argumentację. Mam nadzieję, że autor potrafi wziąć to sobie do serca, bo ja to piszę w dobrej wierze.
Do redaktorów z3s – proszę dbajcie o poziom artykułów gościnnych, bo ja was bardzo szanuję.
Przepraszam, jeśli kogoś urazilem swoją wypowiedzią. Udanego weekendu!
No tak, typowa Polskość, rzeczy zrobione byle jak, na odwal się, i zamiast to naprawić to lament „atakują Bolzgę”, „chcą zniszczyć małe firmy”, „po co jasna i klarowna licencja, i tak tego nikt nie czyta”, „zachodnie firmy robią gorzej”. Ech, aż ręce opadają jak widzę ile osób popiera tu bylejakość.
Może wypada zacząć pracować profesjonalnie? Wierz mi kolego, najtrudniejszy jest pierwszy raz, w kolejnych projektach idzie już z automatu.
Po co komu takie pierdoły jak licencja i transparentność działania Platformy. Ovietnica sprzedawcy, amulet kupiony u wróżbity i zaklęcie spisane na brzozowej korze powinny wystarczyć każdemu poważnemu przedsiębiorcy w tej części świata. To Wy bijecie pianę, nie mam pojęcia o który produkt chodzi, ale artykuł jest moim zdaniem wyważony, bez ataków personalnych i taniej zjadliwości. Jeśli tak wygląda rynek e-commerce w Polsce na początku XXI wieku, że takie praktyki są uważane za normalne a rzeczową próbę uświadamiania niedociągnięć traktuje się jako atak na przedsiębiorcę, to chyba przestanę kupować w polskim internecie.
Tu autor tekstu. Moja korespondencja z twórcami Platformy trwała miesiąc, dostali tekst do wglądu, czas na reakcję i możliwość publikacji swojego komentarza. Byłoby super, gdyby ze swojej strony dodali coś w rodzaju „było średnio lub wręcz słabo, ale wdrożyliśmy zmiany A, B i C i teraz już jest lepiej”. Ale tak się nie stało, więc ostrzeżenie tym bardziej pozostaje aktualne.
nie wiem dlaczego nie lubisz się wypowiadać, ale moja propozycja
trzymaj sie tego
Czegoś tu nie rozumiem albo głębia wywodu przektacza moje skromne umiejętnosci pojmowania tematu:
1. Z jakich przesłanek wynika brak mozliwosci konwersji z demo do commercial ware?
2. Z jakiego powodu nabywca pakietu ma być zmuszany do korzystania z platformy, z której niekoniecznie chciałby korzystać, takiej jak WordPress?
3. Na jakiej podstawie, bez wiedzy i zgody licencjobiorcy ktokolwiek gdziekolwiek zakłada sobie jakiekolwiek konto z uprawnieniami root?
4. Bez względu na formę czy postać płatności za dowolną usługę, dostarczenie umowy licencyjnej użytkownika końcowego jest warunkiem sine qua non.
5. Regulamin świadczenia usług NIE BYŁ, NIE JEST I NIE BĘDZIE źródłem prawa.
Czytam tytuł, myślę – interesujące. Czytam wstęp, myślę – będzie się działo. Czytam dalej, docieram do końca i… rozczarowanie (delikatnie mówiąc). Taki „audyt”, to można zrobić niemal dla dowolnej małej firmy. Zawsze można się do czegoś doczepić, albo tak skomentować by wyglądało „źle”. Zresztą nie trzeba szukać daleko, wchodzimy na stronę autora tekstu Informatyka Zakładowego i ups… złapaliśmy cookie (i to nie jedno). A nie powinno być najpierw zgody na nie (w momencie gdy to piszę zapewniam, że nie ma)? RODO? Specjalistą nie jestem, ale w/g mnie paru istotnych rzeczy brakuje. Oby ktoś na chętnego nie zechciał „zaudytować” w podobny sposób serwisów autora, bo wyszedłby serial wenezuelski…
O! Transportoid :)
Awwww…. To już tyle lat, a internet pamięta… (wzrusz)
Aaa… już teraz kojarzę. To ten gość, co wytaczał te sprawy sądowe? Wciąż ma tą apkę transportoid? Z tego co zobaczyłem na Google Play to masę tam negatywnych ocen (2,7/5!), że niby mało aktualna. Najpierw wypadałoby zadbać o swoje, a potem wytykać innym, ale co ja tam wiem… Jestem tylko guru od marketingu :D
Pozdro dla redakcji Zaufanej! Wolę was od konkurencji zaczynającej się na „N” ;)
Tak, to ja, ale Transportoida sprzedałem prawie co do dnia pięć lat temu – http://archiwum.transportoid.com/transportoid-jedzie-dalej/
Żale i płacze, nic więcej.
Poprosiłeś o wersję demonstracyjną, a nie kupiłeś pełną wersję. Nie wiem na ile chodziło o brak wglądu w kod tego, co chciałeś kupić, a ile o to jakimi deklami potrafią być osoby zamawiające jakiś soft – możliwe, że w dość pokrętny sposób autorzy softu chcieli uniknąć tygodni walk z instruowaniem newbie co, gdzie i kiedy ma kliknąć. Dyskusyjny format współpracy (daj nam dane logowania), ale akceptuje się albo nie. Jakby nie mieli poziomu admina to musieliby Cię poprosić jeszcze o dane do FTP, inaczej nie da się wrzucić czegoś na serwer czy pogrzebać w plikach.
Dalej, WP domyślnie nie ma żadnych zabezpieczeń, wrzucono więc sprawdzony produkt. Mogli uprzedzić, fakt, ale nie wyobrażam sobie działania na WP bez czegoś w stylu firewalla strojonego pod WP właśnie.
Dalej, licencje a ich przestrzeganie w IT to temat na osobną epopeję pt „teoria vs praktyka”. Dziś chyba nie znajdziesz aplikacji czy softu, jaki nie miałby zaszytych innych gotowych produktów, ich fragmentów czy też czyjegoś „anonimowego” kodu znalezionego na StackOverflow.
Dalej, niewidoczność wtyczki to nie żaden hacking, tylko użycie funkcji wtyczek wymuszanych, zwykłe wtyczki wrzuca się po prostu do specjalnego folderu i ich panel sterowania staje się niewidoczny. Jeśli tego nie wiesz o WP, to używasz CMS którego nie znasz, i tym bardziej firewall z poprzedniego akapitu Ci się przyda, a Twoje uwagi o ludziach o ograniczonej wiedzy są tu akurat troszkę nie na miejscu…
Monterze – boję się spytać nawet co i w jaki sposób montujesz…
Nie są to żadne żale, tylko obnażanie typowego dziadostwa-januszostwa.
-nikt nikomu nie broni okroić wersji demo, nawet zakodować jej elementów ioncubem (choć nie wiadomo po co)
-w WP wtyczki instaluje się banalnie prosto, nie potrzeba do tego dawać nieznanym osobom dostępu do admina ….a nawet gdyby się uprzeć, że sami mszą zainstalować, to
-instalacja backdoorów i przyznawanie sobie dodatkowego dostępu jest karygodna
-kwestie bezpieczeństwa, to wyłączna sprawa właściciela/admina strony.
Nic nikomu do tego, w jaki sposób ktoś ma lub nie zabezpieczoną stronę, czy jakie wtyczki ma lub nie zainstalowane. Tematem była platforma sprzedaży, a nie rzekoma poprawa bezpieczeństwa. Jak klient był zainteresowany kwestiami poprawy bezpieczeństwa, to by o to prosił lub udał się do specjalisty w tej materii.
Innymi słowy – rób tylko to, na czym się znasz i co masz w ofercie i nie tykaj niczego innego bez pytania i pozwolenia!
-sprawa licencji w WP jest dosyć prosta, spróbuj dodać wtyczkę czy motyw do repo, to zobaczysz jak wygląda teoria i praktyka. Zobacz na TF, TM, WpDesk itp. – można legalnie i komercyjnie jak się chce.
Cała reszta bajań i zali, to zwyczajne lenistwo i januszostwo.
-dalej, wyraźnie nie wiesz jak działa Must Use Plugins. Wymuszenie wtyczki nie ukrywa jej, wtyczki wymuszone są nadal widoczne na liście wtyczek, jeżeli rejestrują panele, dodają widgety czy dopisują pozycje do menu, to te elementy są nadal widoczne. Dodaj sobie CF7 jako wymuszoną i zobacz, że wtyczka ta nie zniknie i będzie nadal widoczna.
Tyle tylko, że nie będziesz miał opcji jej aktualizacji, wyłączenia czy deinstalacji …ale niczego nie ukrywa.
Więc drogi Monterze, zajmij się tym na czym się znasz, a nie wypisuj farmazonów w tematach o których jak widac sam nie masz większego pojęcia.
Autor napisał, że wtyczka jest ale nie widać jej na liście wtyczek, a o wymuszonych nie wspomniał. Po bałaganie w kodzie strony do której teraz linkuje można wnioskować, że o tej funkcji WP Autor być może nie wie. Wtyczek wymuszonych faktycznie nie ma na liście „wszystkie”, zaś aby takowe wgrać trzeba samemu ręcznie utworzyć folder na serwerze oraz nadać mu odpowiednie prawa i skopiować tam pliki. Rozumiem, że znasz kopie WordPress-a które umożliwiają to z konta innego niż administrator?
Wtyczek sprzedawanych przez różne firmy je robiące często nie ma w oficjalnych repo z wtyczkami, więc może nie dało się Platformy zainstalować klikając w panelu. Kwestie dlaczego firma mogła chcieć zrobić to sama opisałem poprzednio.
Z tym nawiązaniem do bezpieczeństwa WP, i że Klient wie i sam się uda do specjalistów jak będzie chciał, to mam nadzieję JOKE. Jak jest z tym w praktyce można sobie zobaczyć w Shodanie i jemu podobnych serwisach, albo w Googlach. Żeby nie było – nie pochwalam dodawania czegoś od siebie przez firmę, szczególnie bez ostrzeżenia i ustaleń z Klientem, ale każdy ogarnięty w temacie wie, że WP bez jakiegoś firewalla to nieporozumienie.
Wtyczkę do masowego zarządzania mogli dodać z dwóch powodów – lenistwo lub celowe zagranie celem możliwości usunięcia swojego demo jak Klient nie zechce kupić. Nie oceniam tego ani nikogo nie bronię. Połowa społeczeństwa ma coś podobnego w swoich smartfonach w gratisie od operatora i nikt jakoś nie narzeka. Nie płacisz, klik, i masz cegłę.
Odnośnie „januszostwa” – tu Pan Kołcz trafił na ofertę, jakich pełno na rynku. Jest swoboda prowadzenia działalności, jakkolwiek nam się to podoba. Decydujemy myśleniem i portfelem. Oferta wyglądała dziwnie a mimo to Autor zdecydował się spróbować i teraz narzeka. To trochę tak, jakby Świadomie wsiąść do taxi stojącej pod drogim hotelem a potem narzekać, że oskubali.
Na koniec mam prośbę, daruj sobie osobiste wycieczki.
Problem tylko taki Panie Mądraliński, że ta wtyczka nie jest wgrywana jako wymuszona, a jako normalna i korzystając z wtyczkowych hooków blokuje wyświetlanie siebie samej na liście.
Na co dzień prowadzę sklep internetowy. W związku z tym, co rusz muszę zaufać jakiejś firmie zewnętrznej, która coś dla mnie robi od strony technicznej. Nie stać mnie na informatyka na etacie, bo jestem zbyt mała. Ja bym się cieszyła, gdyby ktoś wykazywał taką inicjatywę i instalował wszystko za mnie, a dodatkowo wzmacniał bezpieczeństwo sklepu, bo zwykle to ja muszę o wszystko się prosić i to nawet kilkukrotnie zanim ktoś coś wreszcie zrobi. Tutaj widzę, że jest odwrotnie, bo są podejmowane fajne działania ze strony tamtej firmy od platformy, które skracają czas instalacji demo i ściągają ze mnie konieczność zrozumienia wszystkiego co techniczne i z tego tytułu ich piętnujecie? Bez sensu. Reszty nie skomentuję, bo nie jestem prawniczką i na licencjach się nie znam.
Basiu,
rozumiem, że ludzie potrzebują różnych usług. To o czym piszesz to platformy zarządzane lub SaaS (dostawca usługi pełni rolę administratora, a w SaaS dodatkowo zapewnia serwery i resztę infrastruktury). Nikt nie twierdzi, że takie usługi nie są potrzebne. Jak najbardziej są, ale na takie rzeczy też spisuje się umowę (lub częściej wypełnia gotowy wzór).
Problem polega na czym innym. Omawiana Platforma nie wiedziała co sprzedaje. Tłumacząc to analogią samochodową to tak jakby Platforma oferowała mi samochód na własność, na 1 rok, ale potem też będzie działać. Czy po zapłaceniu ustalonej kwoty jestem w tym przypadku:
a) właścicielem samochodu?
b) wynajmującym samochód na rok?
c) czymś pomiędzy, bo najpierw wynajmującym, a potem właścicielem?
Dlatego autor wpisu poprosił o treść umowy, żeby dowiedzieć się dokładnie za co płaci. Czy zdalne wsparcie jest częścią usługi? Czy robią to tylko przy okazji gdy mają czas? Czy zostaje właścicielem kodu? Co może robić z kodem (przypominam, że w polskim prawie bez licencji posiadacz kodu nie może w celach komercyjnych go ani modyfikować, ani uruchomić, ani przekazać komuś innemu).
Obecnie w sklepie platformy można zapoznać się z dokumentem „DOKUMENT LICENCJI NA PROGRAM ___” i o to chodziło. Sam dokument też jest interesujący, ale meandry sprzedaży oprogramowania na GNU GPL to świetny temat do usypiania ludzi.
Nikogo licencje nie obchodzą. Ma działać i to robi. Konto admina to mała wtopa, jak Art. Autora :p
OMG
drodzy czytelnicy
bylejakość rules
ehhh,
nawet już mi się nie chce komentować
jaka to platforma w końcu? proszę niech ktoś odpisze w komentarzu :)
„Niestety nie możemy powiedzieć co to za platforma,
Pozdrawiam, Michał z UpSell”
wtyczka e-commerce skierowana na polski rynek jak by ktoś szukał :)