Zgłoszenie do moderatora
Jeżeli uważasz, że ta wiadomość łamie regulamin naszego forum lub netykietę albo w inny sposób narusza zasady dyskusji - zgłoś to do moderatora.
Zgłaszana wiadomość
Temat: Re: Skompromitowane hasła w domenie PTTK
Autor: Łukasz Aranowski
Data: 2021-03-24 21:42:04
Czołem.
Sprawa ma fajny dalszy ciąg.
1. Do zarządu mojego oddziału nadal wydzwaniają członkowie ZG w sprawie naszego forum. Uzgodniłem z chłopakami, że na razie zdejmiemy patronat oddziału nad forum, to może wtedy zaczną wreszcie dzwonić bezpośrednio do mnie. :-) Kłopot w tym, że oni świetnie wiedzą, co ode mnie usłyszą, więc unikają tego jak ognia. :-)
2. ZG PTTK zlecił audyt i wyszło im, że ogromna większość stron jednostek i obiektów na serwerze PTTK jest nieaktualizowana i przez to niebezpieczna. Mają więc podkładkę pod dalsze [i]nicnierobienie[/i]. W końcu to nie ich wina, że działacze społeczni nie siedzą po nocach wgrywając najnowsze łatki bezpieczeństwa opensourceowych CMS-ów albo nie chcą zapłacić za to firmom zewnętrznym.
Tymczasem dlaczego serwisy jednostek i obiektów tak wyglądają i co należy z tym zrobić wyjaśniam w kolejnym punkcie.
3. Wojciech Koboska (oficjalnie: główny specjalista informatyk ZG PTTK) dzisiaj rano napisał do mnie dosyć agresywnego maila, z którego wynikało, że cała ta awaria to wina wszystkich naokoło (deweloperów Wordpressa, firmy stawiającej kilka lat temu stronę oraz przede wszystkim władz Oddziału Międzyuczelnianego), tylko nie jego. Nie ujawnię jego treści, bo tajemnica korespondencji to rzecz święta, ale ujawnię swoją odpowiedź.
Przy okazji wyjaśniam w niej dlaczego wyniki tego audytu są bezwartościowe poznawczo, bo taki stan serwisów WWW jednostek i obiektów PTTK nierozerwalnie związany był, jest i będzie z zobowiązaniem jakie wzięło na siebie ZG hostując strony dla jednostek opierających się na pracy społecznej. Miłej lektury.
[cytat][b]From: Łukasz Aranowski
To: Wojciech Koboska
Subject: Re: List z Forum członków i sympatyków PTTK
Date sent: Wed, 24 Mar 2021 12:31:01 +0100[/b]
Cześć.
Wordpress to tylko bardziej zaawansowany skrypt użytkownika. Jakichkolwiek bugów by nie miał, to serwer nigdy, przenigdy nie powinien pozwolić na wyświetlenie źródeł.
To, że strony jednostek są przestarzałe i robione po taniości albo wręcz za darmo, to oczywiste. Pracujesz w PTTK od 15 lat i jeszcze nie wiesz, że większość jednostek jest biedna jak mysz kościelna? Jak działacze mają zapał i trochę umiejętności, to powstaje nowa strona, która potem wisi 10 lat bez aktualizacji.
To po stronie administratora serwera jest obowiązek takiej jego konfiguracji aby nie miało to impaktu na resztę zasobów i aby przykryć większość błędów użytkowników. Proste. Mówiłem Ci to wszystko jak przejmowałeś tematy.
Możesz się teraz wkurzać, ale prawda jest taka, że zaniedbałeś kwestie bezpieczeństwa i teraz wróciło to bumerangiem.
Pozdrawiam,
Łukasz[/cytat]
Pozdrawiam,
Łukasz Aranowski