Forum członków i sympatyków PTTK
login:  
hasło:  

Re: Skompromitowane hasła w domenie PTTK

Autor: Łukasz Aranowski
Data: 2021-03-24 21:42:04
Tematyka: PTTK w internecie

Czołem.

Sprawa ma fajny dalszy ciąg.

1. Do zarządu mojego oddziału nadal wydzwaniają członkowie ZG w sprawie naszego forum. Uzgodniłem z chłopakami, że na razie zdejmiemy patronat oddziału nad forum, to może wtedy zaczną wreszcie dzwonić bezpośrednio do mnie. :-) Kłopot w tym, że oni świetnie wiedzą, co ode mnie usłyszą, więc unikają tego jak ognia. :-)

2. ZG PTTK zlecił audyt i wyszło im, że ogromna większość stron jednostek i obiektów na serwerze PTTK jest nieaktualizowana i przez to niebezpieczna. Mają więc podkładkę pod dalsze nicnierobienie. W końcu to nie ich wina, że działacze społeczni nie siedzą po nocach wgrywając najnowsze łatki bezpieczeństwa opensourceowych CMS-ów albo nie chcą zapłacić za to firmom zewnętrznym.
Tymczasem dlaczego serwisy jednostek i obiektów tak wyglądają i co należy z tym zrobić wyjaśniam w kolejnym punkcie.

3. Wojciech Koboska (oficjalnie: główny specjalista informatyk ZG PTTK) dzisiaj rano napisał do mnie dosyć agresywnego maila, z którego wynikało, że cała ta awaria to wina wszystkich naokoło (deweloperów Wordpressa, firmy stawiającej kilka lat temu stronę oraz przede wszystkim władz Oddziału Międzyuczelnianego), tylko nie jego. Nie ujawnię jego treści, bo tajemnica korespondencji to rzecz święta, ale ujawnię swoją odpowiedź.
Przy okazji wyjaśniam w niej dlaczego wyniki tego audytu są bezwartościowe poznawczo, bo taki stan serwisów WWW jednostek i obiektów PTTK nierozerwalnie związany był, jest i będzie z zobowiązaniem jakie wzięło na siebie ZG hostując strony dla jednostek opierających się na pracy społecznej. Miłej lektury.
From: Łukasz Aranowski
To: Wojciech Koboska
Subject: Re: List z Forum członków i sympatyków PTTK
Date sent: Wed, 24 Mar 2021 12:31:01 +0100


Cześć.

Wordpress to tylko bardziej zaawansowany skrypt użytkownika. Jakichkolwiek bugów by nie miał, to serwer nigdy, przenigdy nie powinien pozwolić na wyświetlenie źródeł.

To, że strony jednostek są przestarzałe i robione po taniości albo wręcz za darmo, to oczywiste. Pracujesz w PTTK od 15 lat i jeszcze nie wiesz, że większość jednostek jest biedna jak mysz kościelna? Jak działacze mają zapał i trochę umiejętności, to powstaje nowa strona, która potem wisi 10 lat bez aktualizacji.

To po stronie administratora serwera jest obowiązek takiej jego konfiguracji aby nie miało to impaktu na resztę zasobów i aby przykryć większość błędów użytkowników. Proste. Mówiłem Ci to wszystko jak przejmowałeś tematy.

Możesz się teraz wkurzać, ale prawda jest taka, że zaniedbałeś kwestie bezpieczeństwa i teraz wróciło to bumerangiem.

Pozdrawiam,
Łukasz
Pozdrawiam,
Łukasz Aranowski
--
Łukasz Aranowski
Strona domowa: http://www.mendel.pl/
Facebook: https://www.facebook.com/laranowski

Skompromitowane hasła w domenie PTTK - cały wątek

wszystkich wiadomości w wątku: 3
data najnowszej wiadomości: 2021-04-02
pokaż wszystkie wiadomości

Skompromitowane hasła w domenie PTTK Autor: Łukasz Aranowski
Re: Skompromitowane hasła w domenie PTTK Autor: Łukasz Aranowski
 └Re: Skompromitowane hasła w domenie PTTK Autor: Amotolek