Prog.Hu: Hová tűnnek a nagymesterek?
2010-07-22T18:38:28+02:00
2020-01-06T14:32:25+01:00
2022-07-20T17:21:50+02:00
  • csak a tisztánlátás miatt, mert a tények elferdítését nagyon nem csípem:

    Ehhez képest pont ezt teszed.

    stingnek jópár privát üzenetet irtam a témával kapcsolatban (minimum 5-öt), és kb 3 hónapig volt csak kettőnk között ismert a csrf dolog

    Ebben a mondatban a kötőszavakon kívül egyetlen igaz szó sincs.  A történet valójában így nézett ki:
    1. Az első és egyetlen privát üzenetet nekem 2007-11-29 16:17:21-kor küldted egy XSS exploitról. Az általad akkor átküldött konkrét exploit ellen azonnal védelem került a kódba. (Ez specifikusan a te exploitodat próbálta szűrni, nem volt túl szigorú, mert akkor még a kompatibilitás megőrzése volt az elsődleges cél - így utólag belátva: tévesen.)
    2. Azt, hogy védelem került a kódba te is észlelted, te is tudtad, hiszen - mint utólag kiderült - tovább kísérleteztél vele, és kidolgoztad egy egy módosított változatát, ami még mindig működött, a szűrés ellenére is. (Ez az exploit alapjában ugyanaz volt, mint az eredeti, csak annyira volt eltorzítva, hogy a pofonegyszerű szűrés már nem ismerte fel). Erről semmilyen üzenetet nem küldtél nekem, hanem úgy szereztem tudomást róla, hogy:
    3. A módosított kóddal 2007.12.11. 16:36-én (tehát alig 2 héttel az első figyelmeztetés után, amire megkaptad a reakciót az eredeti exploit javításában) megtámadtad az oldalt, immár egy nyilvános topikban. Akkor még "csak" egy alert() dobozt újra és újra feldobva, ami olvashatatlanná tette az adott témát. Ez ellen szintén azonnal szűrés került a kódba. Ez már sokkal szigorúbb volt, így az eredeti exploit variálásával a továbbiakban nem lehetett kijátszani.
    4. Az ez elleni védelem szintén nyilvánvaló vált számodra, hiszen az érintett topik rendes működése helyreállt, az exploitod megszűnt működni.
    5. Erre te mit csináltál? Nekiálltál egy újabb, immár teljesen más elven működő exploit kidolgozásának, ami ellen nyilván a korábbi javítások semmilyen szinten nem védtek - mert hogy teljesen más elven alapult, mint az eredeti, és csak annyi közös volt bennük, hogy ez is egy XSS exploit volt. Erről megint semmilyen figyelmeztetést, értesítést nem küldtél. Ehelyett miután privát üzenetekben kikísérletezted az új exploitot fogtad magad, és:
    6. 2007.12.29. 22:24-én beküldted ezt az exploitot is egy topikba, újra megtámadva az oldalt. Ez a támadókód már nem csak egy alert()-et jelenített meg, hanem mások nevében kezdett kommenteket posztolni. Nyilván azért a karácsonyi szünet kellős közepén és éjszaka élesítetted az exploitot, nyilvánosan, mert korrekt módon szerettél volna eljárni és figyelmeztetni minket a hibára, időt adni a javításra. /s
    7. Erre válaszul lett belengetve neked a feljelentés, amire - így utólag már bánom - nem került végül sor. Pedig egyértelműen rosszhiszeműen jártál el, és egyértelműen zavart okoztál az oldal működésében. Ráadásul nem először, hanem többedszerre. Mindenesetre végül nem lettél feljelentve (annak ellenére, hogy bűncselekmény volt amit csináltál), csak éppen attól kezdve előzetes moderációhoz lett kötve az összes hozzászólásod megjelen;se. Az is nyilván csak egy ideig, mert egy idő után visszajöttél más nicke(ke)n, amikről bár tudtuk, hogy te vagy, de nem tiltottuk le őket. (Egyrészt mert sok értelme nem lett volna, másrészt meg mert egyébként sem a te mániákus üldözésed a cél, hanem az, hogy ne tehesd tönkre mások számára a prog.hu-t, amit te nyilván nagy élvezettel tettél.)

    Lényeg a lényeg: mint mondtam, egy szó sem igaz abból, amit erről az egészről írsz. És az is vitán felül áll, hogy rosszindulatúan jártál el, többször is. Az, hogy még ennél rosszabb dolgokat is csinálhattál volna, ezen nyilván nem változtat.

    Szemét voltál, többször és többszörösen is, mégis több korrektséget kaptál (és kapsz jelenleg is) nem csak annál amit megérdemeltél, de ami egyáltalán bárki által is elvárható lett volna.

    korábban blogot is irtam, igen, az is hasonló módon szűnt meg: jeleztem hogy sok spam-et kapok a kommentekbe irogató botok miatt. többször jeleztem, semmi sem történt.

    Ami megint nem igaz. Kezdődik ott a dolog, hogy te egy blogot kaptál, aminek a menedzselése a te feladatod volt. Teljes hozzáférésed volt a blog beállításaihoz is, beleértve a kommentek feletti kontrollt is. Engedélyezhetted és letilthattad őket, sőt, kaptál lehetőséget IP-alapú szűrésre is. (És akkoriban ez volt a spamszűrés csúcsa. Nem volt még publikus recaptcha és társai sem.) Ezeket mind a használt blogszoftver biztosította, nekünk nyilván semmi közünk nem volt hozzá, csak a szervert és a sávszélességet adtuk az egész alá. Ingyen és bérmentve.

    Erre te ahelyett, hogy elfogadtad volna a helyzetet, hogy a bloggal a spam lehetősége is jár, és vagy letiltod teljesen a kommenteket, vagy bizony a spam is bejön, mert nem lehet tökéletesen szűrni, megint fogtad magad, és egy jó kis passzív-agresszív módszerrel átirányítottad a TE blogodba érkező üzeneteket nekem. Ráadásul úgy, hogy mindjárt meg is többszörözted őket, hogy ugyanaz a levél többször is elküldésre kerüljön hozzám. Persze megint a korrektség jegyében, és nem azért, mert egy passzív-agresszív végtag vagy, és mert úgy gondoltad, hogy neked jár az, hogy én oldjam meg a te összes problémád - még azon túl is, hogy szívességből kapsz egy rakás szolgáltatást.

    És erre válaszul ugye - megint tök "igazságtalanul" - meg lett számodra szüntetve a tök ingyen és bérmentve, reklámok és minden nélkül kapott szolgáltatáshoz történő hozzáférés. Az sem haragból vagy bosszúból, hanem mert egyszerűen nem hagytad más megoldását a problémának - hiszen az immár tőled eredő és felerősített, megtöbbszörözött spamáradatot csak így állíthattuk le, sehogy máshogy. Piszok érthetetlen és igazságtalan reakció volt, mi?

    ami miatt nem problémázok, az az hogy tisztában vagyok vele hogy ez sting játszótere, szinvonala, akármije. nem kérek belőle. bár tény hogy akkoriban elég szomorúan érintett a kitiltás.

    Annyira, hogy még a fentiek után is évekig visszajárhattál és használhattad a prog.hu-t - ahogy teszed most is. Mert hogy minden szemétséged ellenére nem teljesen és véglegesen lettél kitiltva róla, hanem csak akkor amikor túlfeszítetted a húrt. És csak annyira, hogy vedd már észre magad és ne zavarhass a hülyeségeiddel másokat.



    Erre mit csinálsz több mint egy évtized múlva? Visszajössz, és pofátlan módon elkezdesz egy random kiválasztott 10 éves topikban hazudozni arról, hogy mi volt és mi nem. Van aztán bőr az arcodon, nem mondom.
    Mutasd a teljes hozzászólást!
  • helló, itt sarki_roka


    csak a tisztánlátás miatt, mert a tények elferdítését nagyon nem csípem: 

    stingnek jópár privát üzenetet irtam a témával kapcsolatban (minimum 5-öt), és kb 3 hónapig volt csak kettőnk között ismert a csrf dolog - ami egyben az ikonok hibás kezelését is megmutatta.

    azt hiszem hogy ez egy hello world szintű kód volt - legalábbis egy fix topicba egy fix szöveget postolni az elég basic dolognak számít szerintem. elnézést ha nem egyformát értünk ezen szint alatt.

    korábban blogot is irtam, igen, az is hasonló módon szűnt meg: jeleztem hogy sok spam-et kapok a kommentekbe irogató botok miatt. többször jeleztem, semmi sem történt. ezt követően átirányitottam a blogos értesitéseket sting-nek - és pár órán belül törölve lett.

    ami miatt nem problémázok, az az hogy tisztában vagyok vele hogy ez sting játszótere, szinvonala, akármije. nem kérek belőle. bár tény hogy akkoriban elég szomorúan érintett a kitiltás. friss fejlemény, hogy immár nem tiltva vagyok, hanem törölve - az elmúlt egy évben történhetett.

    ami meg az én nyűgöm, hogy a btk szabályozásával maximálisan nem tudok egyetérteni, ugyanis nem lehet éles egyértelmű határvonalat húzni a törvényes és a törvénytelen között. hogy egy egyszerű példán szemléltessem: minden nap a legtöbb internetet használó ember ir dolgokat a böngésző cimsorába. ez nem büntetendő. de ha egy informatikai rendszer úgy van védve, hogy az admin felület elérhető a /x url alatt, akkor ha ezt beirod, azzal már törvénysértést követsz el (informatikai rendszerhez szereztél jogosulatlan hozzáférést). vagy ha a jelszó html kommentben van és az alapján lépsz be. vagy ha az admin/admin-al próbálkozol vagy bármi. de mondom, egy sima url átirás is törvénysértő már. én itt nem tudok azonosulni ezzel - és mivel nem tudok ellene tenni, ezért csak itt jól kifejtem hogy nem jó ez igy. 

    és bizony ha törvénysértő volt, akkor az volt. anyagi hasznom nem keletkezett a korábban irt demó kódtól. az oldal bevételtől nem esett el, mert összesen 2 modi  besétált és legalább 4 postot sikerült bevinni. informatikai rendszert jogosulatlanul nem értem el (nem az én nevemben kerültek bejegyzésre a postok) viszont valószinűleg nem rendeltetésszerűen használtam. puffoghatunk ezen, de tényleg parttalan
    Mutasd a teljes hozzászólást!
  • Kéne egy magyar stackoverflow-os oldal, sztem nagyon letisztult, és minimal designos, ez kell a népnek.:)


    Mi a különbség a prog.hu és a stackoverflow között? (A nyelven, és azon kívül, hogy más a felépítése)

    Ott is kérdéseket raknak fel ha jól látom, illetve válaszolnak rá. A jó választ elfogadják. Ennyit látok belőle, mivel tud többet?
    Mutasd a teljes hozzászólást!
  • De ahhoz sem férhet kétség, hogy teljesen etikátlanul járt el, mert ahelyett, hogy felhívta volna a figyelmünket a hibára (aminek demonstrálására nyilván egy Hello World is elég lett volna) egy komplett exploitot fejlesztett ki hozzá, nem kis munkával, csak azért, hogy megmuttassa milyen fgyerek.

    Hát akinek sok ideje van... Nem hiszem, hogy ártani akart, de talán tényleg nagy volt az arca.
    Mutasd a teljes hozzászólást!
  • Szerintem felesleges elölről kezdeni a prog.hu vs sarki_roka vitát, teljesen parttalan, eredményre úgyse juttok.
    Mutasd a teljes hozzászólást!
  • Kéne egy magyar stackoverflow-os oldal, sztem nagyon letisztult, és minimal designos, ez kell a népnek.:)
    Mutasd a teljes hozzászólást!
  • De a buszkesegeteken kivul barmi egyebben okozott-e kart..?
    Mutasd a teljes hozzászólást!
  • Közben az én posztom a feledés homályába merült szép lassan...
    Mutasd a teljes hozzászólást!
  • Nem csak demonstrációs üzeneteket küldözgetett más nevében?
    Nem tudok semmit az ügyről, csak érdekel.
    Oszlopos tagja volt a WGA-klubbnak. Még azt is el tudom róla képzelni, hogy csak minden ártó szándék nélkül poénkodott.
    Mutasd a teljes hozzászólást!
  • Nem hiszem, hogy ez akkora bűn lenne, vagy én maradtam le valamiről?

    Szerinted nem. A Btk. 300/C. meg 3 évig terjedő szabsdságvesztéssel rendeli büntetni. És ez akkor még csak a puszta hack miatt - azért, mert mások nevében üzenet küldése még plusz bűncselekményt jelent.

    Ez a jogi oldala. De ahhoz sem férhet kétség, hogy teljesen etikátlanul járt el, mert ahelyett, hogy felhívta volna a figyelmünket a hibára (aminek demonstrálására nyilván egy Hello World is elég lett volna) egy komplett exploitot fejlesztett ki hozzá, nem kis munkával, csak azért, hogy megmuttassa milyen fgyerek.
    Mutasd a teljes hozzászólást!
  • Nagyjából egyetértek az előzőekkel. Ha 3 kölyök rohangál az ember körül, nehezebb fórumozgatni.
    Valamint az 50. 'Hello world' kérdés után meg elhivatottság kell...

    Morzel
    Mutasd a teljes hozzászólást!
  • Most a CSRF-ről van szó? Én csak arra emlékszem, hogy írt egy példakódot, amivel cross-domain postolt az azt megtekintők sessionjével az általa nyitott ezzel a hibával kapcsolatos topicba.
    Nem hiszem, hogy ez akkora bűn lenne, vagy én maradtam le valamiről?
    Mutasd a teljes hozzászólást!
  • Jah a prog.hu tényleg függőséget okoz, ha valaki szeret a toplista elején lenni, akkor az hajtja egy darabig.
    Én most úgy vagyok vele, hogy egész nyárra van mit programoznom, és örülök, ha elszakadok a géptől, és elugrok moziba, vagy strandolni, szóval most nem hiányzik a prog.hu.
    Mutasd a teljes hozzászólást!
  • Szerintem dolgoznak... Micu még mindig itt van.
    Mutasd a teljes hozzászólást!
  • Hali!

    Most komolyan, mekkora kart okozott nektek..?


    Nem az okozott kár nagyságától válik egy cselekedet bűncselekménnyé, az max. a törvénysértés/bűncselekmény "ellenértékét" határozza (határozhatja) meg.

    Mutasd a teljes hozzászólást!
  • Ami több ponton is törvénysértő és bűncselekmény


    Most komolyan, mekkora kart okozott nektek..?
    Mutasd a teljes hozzászólást!
  • Én úgy tudtam, hogy előbb értesített titeket, és csak aztán használta ki a sebezhetőséget (tényleg etikátlan módon).
    Mutasd a teljes hozzászólást!
  • Sarki_roka észrevett és jelzett egy sebezhetőséget, amit aztán nem javítottak ki.

    Ez nem igaz, mert javítva lett a hiba, azonnal, ahogy tudomást szereztünk róla.

    Megmutatta, hogy a sebezhetőség tényleg kihasználható

    Ez sem igaz, mert nem csak megmutatta, hogy ki lehet használni, hanem egyértelműen mások és az oldal rovására ki is használta úgy, hogy mások nevében küldözgetett hozzászólásokat. Ami több ponton is törvénysértő és bűncselekmény, úgy hogy még örülhet, hogy nem lett rendőrségi, bírósági ügy belőle.
    Mutasd a teljes hozzászólást!
  • Sarki_roka észrevett és jelzett egy sebezhetőséget, amit aztán nem javítottak ki. Megmutatta, hogy a sebezhetőség tényleg kihasználható, a moderátorok azután nem látták szívesen.
    Mutasd a teljes hozzászólást!
  • Sarki_rókát utoljára akkor láttam mikor egy XML-es Javas könyvet vett tőlem, kérdeztem is hovalett, volt valami észrevétele itt a prog.hu hűködésével kapcsolatban amit a moderátorok nem néztek jó szemmel, ő meg nem szereti ha nem látják itt szivesen úgy gondolom.

    Irogatott blogot is, már azt se csinálja...
    Mutasd a teljes hozzászólást!
  • Ez most komoly? vagy csak egy jo tréfa? komoly hogy a pontgyüjtés valojában amiolyan fejvadászat?:D valahogy nehezen tudom elhinni, de nem láttam semmi irnoikus vagy gunyos jelet a fogalmazványban amire kételkedjek ebben.. szoval akkro most hogy van ez? valoóban a legjobbakért eljönnek az idegenek ?:D ettől persze nincs mit tartanom, messze vagyok ehez mint makó jeruzsálemtől... de akkro feltenném a kérdést micu miért nincs a top pontgyüjtők között??
    amugy nem teljesen ertem.. ha a top pontosok kemek, akkro azzal hogy ok gyujtik a pontokat elveszik a lehetoseget masoktol akik valoban valaszolnanak.. nem??? nekik epp az hogy figyelniuk kellene a top pontgyujtoket (matmint a kemeknek :D)
    ez persze csak az en logikam!

    Es akkro itt jon az en nagy kerdesem:
    szeretnek amolyan kocka lenni igy 29 evesen.. van fogalmam a programozasrol, de sajna nem megfelelo az osztonzesem.. lenne valaki aki a prog.hu oldalrol kiszallt az aktiv sorbol de meg erdekelne egy tanulnivagyo emberke?? szivesen tanulnek nagytol akarmit, csak programozas legyen es intenziv! idom lenne foglalkozni vele elvileg, a melom miatt, csak nincs mgefelelo sugo vagy tamasz aki tudna segiteni merre mit hogyan miert es egyaltalan.. lenne itt valaki a nagyok kozul vagy a kevesbe nagyok kozul? vegulis ahogy irtatok csak readonly uzemmodban vagytok, de miert hanyatlana a tudas?:D valaki lenne oly kedves foglalkozna csak egy kcisit velem ?:DDD
    szorgalom lenne csak kell egy kis... motivacio!!!! :D
    Mutasd a teljes hozzászólást!
  • Talán nem is olyan bonyolult a magyarázat. Agglegényként "kóbormacska üzemmódban" napi 10-12 órát lógtam a Net-en. Megtehettem...
    Most, hogy a kapunyitási pánik elmúltával, feleség, gyerekek, meleg vacsora, fél órát engedélyeztem magamnak, ami bőven elég, a többit a srácokkal a feleségemmel töltöm.
    Az elején persze nem volt egyszerű, kóvályogtam, mint locsolkodó paraszt Húsvét délben, de ezt is meg lehet szokni idővel.
    Szerintem a "nagyágyúk" is szépen lassan ezért maradoznak el. De, jön az új, "Y"-al fémjelzett generáció, és serkennek zsenivé csendben. Ez a normális, a törvényszerű, ha úgy tetszik. Az "öregek" meg nézik büszkén, ahogy nő a fű a hinta körül...
    Mutasd a teljes hozzászólást!
  • Meg nekik van favicon-juk is
    Mutasd a teljes hozzászólást!
  • Mutasd a teljes hozzászólást!
  • Nem csak a kérdések színvonalára gondoltam, hanem magának magára program.
    A stackoverflow.com-on pl nem egy helyes válasz van hanem pontozni lehet a válaszokat, teljesen közösségileg szerkesztett, van címkézés, stb. Na meg gyorsabb és sokkal szebb.
    Mutasd a teljes hozzászólást!
  • Nem.

    Chuck Norris valójában Micu
    Mutasd a teljes hozzászólást!
  • Micu valójában Chuck Norris...
    Mutasd a teljes hozzászólást!
  • Mennyi az az elég pont?
    Micu a nap 25 órájában gyűjti a pontokat, és nem írt a fekete autóról eddig..
    Mutasd a teljes hozzászólást!
  • Pedig holnap melegebb lesz.
    Mutasd a teljes hozzászólást!
  • Ha elég pontot össze szedsz, akkor megjelenik nálad egy fekete autó, néhány öltönyös figurával és szerződést ajánlanak. Elmehetsz dolgozni a Microsoft-hoz, IBM-hez vagy a Google-hez.

    Ami jó, csak ott ostorral hajtják a droidokat hogy kódoljanak, és tilos utána visszajárni a Prog.hu-ra, mert véletlenül szupertitkos információkat fecsegnének ki, meg egyébként se lógjanak munkaidőben.

    Szóval ők vállalták ezt, ezért nincsenek itt.

    Akiket a "Top pontgyűjtők" rovatban látsz, azok mind ügynökök és azért fizetik őket, hogy a legjobb programozókat elvigyék az országból.

    Ezért nem merem én közkincsé tenni a bármilyen fájlt 2 byte-ba tömörítő eljárásomat (pedig már régen megírtam), mert vinnének engem is és én nem akarok ablaktalan irodában dolgozni napi 16 órát. Néha direkt rossz megoldásokat adok, hogy véletlenül se kerüljek a fókuszba. Jobb ha ti is ezt teszitek.
    Mutasd a teljes hozzászólást!

Figyelem! Moderált fórum. A hozzászólások csak jóváhagyás után jelenhetnek meg.

Tetszett amit olvastál? Szeretnél a jövőben is értesülni a hasonló érdekességekről?
abcd