Admin zawinił, usera powiesili - Jogger 89.

31 maja, 2009

Serwer, na którym stoi Jogger został wyposażony w zabezpieczenie przeciwko skanowaniu portów. Polegało ono na tym, że po próbie połączenia na nietypowy port (np. 89), IP użytkownika było blokowane. Na wszystkich portach. Trwale, tj. do kontaktu z administratorem.

Administrator był - z tego co wiem - informowany o bezsensowności takiego działania, nie reagował (bo jeden user na pół roku się łapie). Oczywiście działanie jest bezsensowne, bo sposobów na skłonienie użytkownika do połączenia z serwerem na zadanym porcie jest wiele: ukryty obrazek, javascript, skracacze linków itp. Czy dałoby się zablokować tak cały serwis? Pewnie nie. Sporą część użytkowników? Bez problemu.

W akcie desperacji użytkownik nagłośnił sprawę, a następnie ustawił na swoim joggerze obrazek, który powodował odwoływanie się do serwera joggera na porcie 89 (nie jest to jakiś bardzo specyficzny port, ale większość tematu dotyczyła właśnie jego, więc niech tak zostanie). Czyli kto wszedł na jego joggera, dostawał bana.

Co potem? Można zobaczyć samemu tutaj (dead link) (tak, klikając nie wiadomo, czy nas nie zablokuje, musicie mi wierzyć na słowo, że nie, albo użyć innego linka (dead link)). Dla porównania dodajmy, że analogiczne działanie polegające na umieszczeniu JS, który działał na komputerach nieświadomych użytkowników, spotkało się jedynie z blokadą dostępu do strony głównej. Dopiero po jakimś miesiącu, zresztą. No ale tu użytkownik jawnie nadepnął administratorowi na odcisk. Nieważne, że miał rację...

Wniosek jest prosty: backupujcie się dziewczyny, nie znacie dnia ani godziny. Nasuwa się jeszcze jeden wniosek, który ma nieco wspólnego z Tybetem i joggerem, ale to może już tylko moje paranoje...

Jak można zauważyć, bezsensowna blokada została ostatecznie zdjęta (pytanie na jak długo). Ww. konto nie zostało dotychczas przywrócone.

1. Moarc napisał(a):
31 maja 2009, 14:51:28

flameeeeeeeeeeeeeeeeeeeeeeeeeeeee!

2. Ania napisał(a):
31 maja 2009, 14:52:34

Jeśli chodzi o użytkownika, który został zawieszony to sprawa nie jest taka prosta. Jak zwykle jest druga strona medalu ;)

3. Zal napisał(a):
31 maja 2009, 14:53:15

Aj… ja już drugi raz się na to zabezpieczenie naciąłem ;P

4. rozie napisał(a):
31 maja 2009, 14:56:21

Zal: niedobry hakerze, używający niestandardowych portów! Powiedzmy sobie wprost: dwukrotnie skanowałeś serwer Joggera.

5. Grzegorz napisał(a):
31 maja 2009, 14:59:41

Nic tylko czekać, aż wypowiedzą się strony.

6. pecet napisał(a):
31 maja 2009, 15:05:03

...albo posypią się bany dla śmiących się przeciwstawić naszemu adminowi

7. dobeer napisał(a):
31 maja 2009, 15:15:08

Ostatnio, jak podobne zdarzenie miało miejsce, zbanowane osoby oddzieliły się i opuściły jogger.pl zakładając alternatyne miejsce w sieci, dla prześladowanych. Czy teraz też się tak skończy?

8. Ania napisał(a):
31 maja 2009, 15:18:33

Wszyscy odejdą bo te niestandardowe porty są taaaaaaak wszystkim potrzebne, że nie można bez nich korzystać z serwisu normalnie ;)

9. Grzegorz napisał(a):
31 maja 2009, 15:19:51

Ania: Wystarczy, że ktoś Cię na taki port przekieruje i dostaniesz bana bez własnej winy. Meta refresh w nagłówku strony lub skrypt i nawet się nie zorientujesz kiedy dostaniesz bana.

W komentarzach można zostawić odnośnik skrócony w Tnij.org nadając mu jednocześnie atrakcyjną nazwę, przykładowo Cała prawda o tej sprawie!

Nie jestem pewien, ale jeśli ktoś dopuszcza Textile z obrazkami to można mu wstawić obrazek z takim odnośnikiem w komentarzu na blogu, a wówczas klikanie jest zbędne.

10. Karol "Zal" Zalewski napisał(a):
31 maja 2009, 15:20:57

@Ania: Ale samo zabezpieczenie jest nieco zbyt restrykcyjne. Samo w sobie byłoby miłe, gdyby np. banowało na 15 minut, a informacja o nim byłaby gdzieś dostępna. Do tej pory nie było żadnej informacji, a ban wymagający interwencji leciał już po pierwszej próbie połączenia z nietypowym portem ;]

11. dobeer napisał(a):
31 maja 2009, 15:21:04

Pewne jest, że zemsta będzie okrutna, a kaci bezwzględni ;)

12. Moarc/J-23 napisał(a):
31 maja 2009, 15:21:34

ta, ściągniemy na was Anonymous :P

13. Ania napisał(a):
31 maja 2009, 15:23:42

Szczerze?
Od czterech lat aktywnie korzystam z joggera i nigdy się nie zdarzyło, żeby mnie zablokowało.
Nie mówię, że blokowanie osób dłubiących po niestandardowych portach jest dobre, ale uważam, że cały temat jest jak obrzucanie się błotem w piaskownicy i zabieranie grabek.

14. Breffa napisał(a):
31 maja 2009, 15:25:02

@Ania: nie jestes facetem i nie zrozumiesz tego ;) Chodzi o honor i dume :D

15. Ania napisał(a):
31 maja 2009, 15:25:25

Sratata :P

16. BTM napisał(a):
31 maja 2009, 15:26:56

@Ania: ale wystarczy, że np. wejdziesz na stronę, gdzie będzie umieszczony link do http://jogger.pl:89/ i go klikniesz, albo po prostu ktoś złośliwy wstawi <img src=„http://jogger.pl:89” /> i już masz bana – nic nie musisz klikać, wystarczy, że na stronę wejdziesz.

17. BeteNoire napisał(a):
31 maja 2009, 15:29:45

„Dopiero po jakimś miesiącu, zresztą.”

Tamta sytuacja była chyba trochę inna, prawda?
Poza tym, ztcw, nikt nie powiadamiał admina o tym ‘JS’.

18. Ania napisał(a):
31 maja 2009, 15:30:58

@BTM:
Dobrze i w takiej sytuacji administrator powinien interweniować jeśli dużo osób zostanie zablokowanych niesłusznie i kontaktować się z autorem wpisu.

Jak ja sobie wstawię na swoim blogu kod instalujący wredne oprogramowanie to będziecie napieprzać na firmę od programu antywirusowego czy na mnie bo wstawiłam ten kod? I ewentualnie zostanę ukarana ja czy firma od antywirusa, który okazał się niesprawny? ;)

19. Paweł Ciupak napisał(a):
31 maja 2009, 15:34:30

E, dziwne u mnie wejście na http://jogger.pl:89/ mnie nie bananuje. Ale w każdym razie, cała sprawa śmierdzi.

20. btm napisał(a):
31 maja 2009, 15:35:12

@Ania:
Inaczej. Czy jako architekt budynku, będziesz wsadzać do więzienia wszystkich tych, którzy próbują wejść przez okno, a nie główne drzwi? Bo to raczej taka analogia.

Wchodzą przez okno – ale nie wiesz, czy się włamują, czy może nie mają kluczy do mieszkania, albo po prostu są w trzy dupy naprani.

21. Moarc/J-23 napisał(a):
31 maja 2009, 15:35:24

@PC: bo już zdjęli

22. Ania napisał(a):
31 maja 2009, 15:39:52

@btm:
Jak sobie złamiesz okno wchodząc przez okno to nie możesz winić architekta budynku ;)
To nie Ameryka :)

23. Moarc/J-23 napisał(a):
31 maja 2009, 15:40:16

jak cierpisz na paranoję to twoja wina :P

24. Ania napisał(a):
31 maja 2009, 15:41:07

fsęsie rękę złamiesz wchodząc przez okno :P
Zapętliłam się ;)

25. btm napisał(a):
31 maja 2009, 15:42:04

@Ania: ok, widzę, że aluzje nie docierają ;-)
Czy jeżeli podejde do Ciebie na ulicy. Jestem Twoim znajomym, znasz mnie od zawsze. Wręczam Ci banknot 10zł. Odchodzę i w tym samym momencie zza rogu wychodzi plicjant. Zabiera Ci banknot – bo to fałszywka. Leje kijem przez głowe i ekstraduje (?) z kraju – masz do niego (policjanta) pretensje, czy nie?

26. Szymon napisał(a):
31 maja 2009, 15:43:14

btw, kto to jest ów ‘admin’ ? przyznam że nie wiem kto się tym serwisem zajmuje (prócz Sparrowa).

27. Moarc/J-23 napisał(a):
31 maja 2009, 15:43:38

no sparrow jest adminem ;p

28. Ania napisał(a):
31 maja 2009, 15:45:23

@btm:
wszystko do mnie dociera, drażnię się z tobą ;)

29. btm napisał(a):
31 maja 2009, 15:45:46

Evil! :P

30. Anonim napisał(a):
31 maja 2009, 15:46:28

„Jak ja sobie wstawię na swoim blogu kod instalujący wredne oprogramowanie to będziecie napieprzać na firmę od programu antywirusowego czy na mnie bo wstawiłam ten kod? I ewentualnie zostanę ukarana ja czy firma od antywirusa, który okazał się niesprawny? ;)”
To zawsze wina MS ;)

31. Paolo napisał(a):
31 maja 2009, 15:50:20

A co sparrow na to, bo nie wiem czy backupa robić? ;D

32. Marcin napisał(a):
31 maja 2009, 15:51:17

No admin nieźle przesadził z tym zabezpieczeniem. Jakikolwiek IDS tam siedzi, na pewno można go skonfigurować, żeby wykrywał skanowanie portów, a nie tylko próbę połaczenia na pojedyńczy port. Poza tym samo skanowanie nie jest nielegalne, nie powinno też zakłucać działania usługi. No chyba że taki skan wyjdzie z jakiegoś większego botnetu. Ale blokowanie użytkowników po jednej próbie może świadczyć tylko o lenistwie, nieudolności lub paranoi admina.

33. dos napisał(a):
31 maja 2009, 15:51:55

Cóż, obrazek z src ustawionym na http://jogger.pl:89/ chyba nie powinno być traktowane jako wredne oprogramowanie… :x Znacie jakiś inny serwis, który można zablokować w taki sposób? Połączyć się z niestandardowym portem można nawet przez pomyłkę. Tak więc dobrze się stało, że blokada została wyłączona, ale bana mgornego zrozumieć nie mogę...

34. groszek napisał(a):
31 maja 2009, 15:52:38

Mając większy botnet można nawet poświęcić jednego bota na jeden port i przeskanować.
A o ile wiem ten IDS został już wywalony i będzie zastąpiony czymś lepszym, co nie rodzi takich problemów, a jest o wiele skuteczniejszym zabezpieczeniem.

35. Piotr Szymczak napisał(a):
31 maja 2009, 16:05:05

ale jak Ania wystawi koda instalującego coś na Linuksie to już to nie będzie wina MS :)

Ale zaraz koda na Linuksa sie nie da wystawić by coś napsocił :) rajt ?

36. groszek napisał(a):
31 maja 2009, 16:05:49

Dlaczego nie? :>

37. Anonim napisał(a):
31 maja 2009, 16:25:21

„ale jak Ania wystawi koda instalującego coś na Linuksie to już to nie będzie wina MS :)”
Dla wielu to będzie zwykły FUD sponsorowany przez MS, bo na jego LFS nic się nie dzieje ;)

„Ale zaraz koda na Linuksa sie nie da wystawić by coś napsocił :) rajt ?”
Oj tam da się tylko zazwyczaj nie namota ci w systemie za bardzo (coś tam doda do plików urzytkownika ;).

38. BeteNoire napisał(a):
31 maja 2009, 16:38:48

Ziew.

39. dos napisał(a):
31 maja 2009, 16:40:35

Mlask. Tylko nie wiem, co to wnosi do tematu/dyskusji/czegokolwiek.

40. groszek napisał(a):
31 maja 2009, 16:41:12

Nic, ale chodzi o to by ktoś go zauważył

41. BeteNoire napisał(a):
31 maja 2009, 16:45:16

Dokładnie to samo co powyższe głupoty M$ vs Linux.

Groszek, ssąco failujesz w interpretacji. Wyleź ze skryptów i pogadaj z ludźmi. Prawdziwymi, nie na ircu.

42. Moarc/J-23 napisał(a):
31 maja 2009, 16:46:20

ach, jakiś ty błyskotliwy

43. dos napisał(a):
31 maja 2009, 16:47:13

BeteNoire: może czegoś nie zauważyłem, może coś źle zinterpretowałem, ale ja odebrałem te głupoty tak, jakby były one traktowane jako głupoty również przez ich autorów…

44. groszek napisał(a):
31 maja 2009, 16:47:39

O tak, zapewne twój przekaz miał jakieś inne cele, poza zwróceniem uwagi. Może nam wyklarujesz, o co chodziło? Bo uwagę, owszem, zwróciłeś. Całe dwie osoby odpisały. Możesz więc spokojnie udać się do ludzi, z którymi masz oczywiście częsty kontakt i się pochwalić. Oni to na pewno docenią, podobnie jak docenią twój kunszt we wszelkich dyskusjach, oraz dowcipne, niezwykle trafne uwagi.

45. marines napisał(a):
31 maja 2009, 16:48:10

Paolo, zawsze trzeba robić backup ;>

46. rozie napisał(a):
31 maja 2009, 16:52:39

dobeer: A możesz coś więcej napisać o alternatywnym miejscu w sieci, dla prześladowanych? Najlepiej link…

Ania: Przede wszystkim takiego zabezpieczenia nie powinno być. Jeśli można odciąć usera poprzez podanie spreparowanego linka (lub kilkunastu linków) i zwykłą próbę wejścia na niego (pomijam fakt, że można zrobić tak, by nawet klikać nie musiał), to jest to ewidentny błąd administratora. Dodatkowo – krótkie zastanowienie się, i od razu widać, że takie zabezpieczenie nic nie wnosi w stosunku do ludzi z dynamicznym IP (neostrada i podobne) – jak będą chcieli przeskanować, to przeskanują. Kwestia czasu. No i pamiętać należy, że przekierowujący nie banował nikogo. Robił to – za pośrednictwem odpowiednio skonfigurowanego oprogramowania – administrator.

Usuwanie konta tylko za to, że ktoś ujawnia/pokazuje przykładowe możliwości nadużycia po tym, jak wcześniej dał znać o błędzie, uważam za niepoważne.

Uprasza się dyskutantów o przeniesienie prywatnych animozji w inne miejsce i skupienie się na temacie. Bo zrobię to, czego nigdy nie robiłem i czego nie lubię.

47. Moarc/J-23 napisał(a):
31 maja 2009, 16:52:51

sławetny openjogger?

48. BeteNoire napisał(a):
31 maja 2009, 17:06:52

Rozie, myślę, że dobeer czyni tu pewne ironiczne aluzje :-]

Konto M. Górnego zostało usunięte czy zablokowane? (może za karę, że śmiał dostrzec błąd w systemie i go wykorzystać? :D) Poza tym czy admin gdzieś wypowiadał się na ten temat? Może warto poczekać aż się tu zjawi i powie OCB?

Dos, nie zauważyłeś, że te „głupoty”, w których pisaniu bierzesz udział, nic nie wnoszą do dyskusji? Tzn. że wskazujesz na błąd a sam go tworzysz? ;-)

49. dos napisał(a):
31 maja 2009, 17:08:13

Wnoszą, bo to już jest jakaś dyskusja (offtopic co prawda, ale zawsze). „Ziew.” częścią dyskusji raczej nie jest ;) A ZTCMW konto zostało usunięte.

50. rozie napisał(a):
31 maja 2009, 17:10:02

dos: Zostało usunięte, ale nie przez użytkownika.

51. dos napisał(a):
31 maja 2009, 17:11:01

rozie: o to mi właśnie chodziło ;)

52. BeteNoire napisał(a):
31 maja 2009, 17:12:05

A ztcmw konto usunięte można przywrócić.

Dos, aha, równi i równiejsi w offtopowaniu. Rozumiem.
(btw. nie wiesz, że ziewanie może być wyrazem znudzenia?)

53. dos napisał(a):
31 maja 2009, 17:13:02

BeteNoire: trochę więcej dystansu. Teraz mógłbym zacytować twoją wypowiedź o odejściu od skryptów…

54. rozie napisał(a):
31 maja 2009, 17:29:20

BeteNoire: Z tego co pamiętam, blokada wygląda troszkę inaczej. Wypowiedzi sparrowa nie widziałem, ale nie wiem, co miałaby zmieniać. Poza tym, z tego co wiem, mgorny informował wcześniej administratora, że taki błąd istnieje, błąd nie został poprawiony (bo się mało ludzi łapało), więc został opublikowany (i łapało się więcej ludzi).

IMO takie ograniczanie wolności wypowiedzi, niespecjalnie mi odpowiada. Sprowadza się do tego, że następnym razem adminowi nikt nic nie powie (bo po co), tylko ze specjalnie założonego na tę okoliczność konta zrobi ukryty, zmasowany, trudniejszy do wykrycia atak. I wszyscy – od userów, przez adminów ISP, po administratora serwisu, będą mieli więcej roboty.

55. BeteNoire napisał(a):
31 maja 2009, 17:55:40

Rozie, a ja wiem z własnego doświadczenia, że konto „ogłoszone” jako usunięte można przywrócić :-)
Ale zgadzam się z Tobą że takie rozwiązanie nie ma sensu. Górny nie powinien mieć usuniętego (czy tam zablokowanego) joggera z takiego powodu. Sparrow powinien przyznać się do błędu (mam przeczucie, że to kwestia czasu).
A wypowiedź admina jest ważna nie tylko dlatego, że to admin, ale dlatego, że zawsze warto posłuchać wszystkich stron, bo to może (choć nie musi) rzucić więcej światła na sytuację.
Wg mnie jest jeszcze inna strona tego wszystkiego: MG wykorzystując „zabezpieczenie” wiedział, że naraża się na sankcje (podobnie jak niegdyś pewien skrypciarz).
Ale to nie była „wolność wypowiedzi” tylko nadużycie względem błędów.
Kilka porównań wcześniej padło a ja pokuszę się o następne: jeśli zostawiasz otwarty wóz i ktoś ci z niego kradnie radio, inne akcesoria, albo nawet całe auto, to wciąż jest to złodziejstwo. Może zawiniłeś, bo powinieneś zamykać i zabezpieczać swoją własność (nawet jeśli prawo tak mówi), ale jeszcze bardziej winny jest złodziej, bo nikt nie powinien Twoich rzeczy ruszać. Tak samo jeśli coś jest podatne na zniszczenie to nie znaczy, że należy to niszczyć.
Przykład z życia mam, gdy kilkanaście tygodni temu jacyś gówniarze demolowali stare auto mojego ojca tylko dlatego, że było stare (na parkingu stało kilkadziesiąt innych, nowych). Zostali przyłapani na gorącym uczynku przez patrol w „nysce”. Policjanci zapukali w nocy i zapytali czy będzie wnoszona sprawa. Ale że to nie miałoby sensu, bo grat i tak był na złom, to uznaliśmy z gliniarzami, że przynajmniej powinni dostać mandat – bo bezkarni może kiedyś tak samo potraktują czyjś sprawny wóz. No i gnoje dostali po 250 zł za niszczenie mienia.

56. rozie napisał(a):
31 maja 2009, 18:03:41

BeteNoire: Wiem, że można. OTOH ciekawe były też na kanale wypowiedzi programisty Joggera. W tonie „to nieistotne, to nie bug”.

Zgadzam, się, że wiedział (OTOH sparrow powinien przewidzieć, że ktoś to „zabezpieczenie” może tak wykorzystać). Najśmieszniejsze jest, że mgorny zablokowany podobno został nie za umieszczenie tego kodu (AFAIK sparrow o nim nie wiedział – dowiedziałem się o tym po publikacji wpisu) tylko za opublikowanie linka do joggera z portem 89 (jawnie) na kanale ircowym. Co oczywiście czyni sytuację jeszcze bardziej żałosną.

I napisz mi, proszę, w jaki sposób analogia z samochodem ma się przekładać na takie bugi? Że następnym razem ktoś założy oddzielne konto? Bo celem AFAIK nie było destrukcyjne wpływanie na serwis, tylko uświadomienie błędu. Znaczy się jego realności.

57. BeteNoire napisał(a):
31 maja 2009, 18:37:38

Kwestia auta to było dość luźne nawiązanie, ale ok, postaram się naciągnąć ;-). Chodzi o to, że paru ludziom (możliwe, że to byli rodzice owych gówniarzy, bo chłopaczkowie to tutejsi blokersi) nie podobało się, że na parkingu stoi grat, ale z pewnych względów nie mógł on zostać jeszcze usunięty. Celem wyżywania się na gracie (będącym wciąż czyjąś własnością) mogło być w rozumieniu tych gnojków uświadomienie, że nie jest on mile widziany na parkingu – czyli komuś po prostu zawadza. Nie zaatakowali oni przecież żadnego innego auta tylko przez kilka minut demolowali uszkodzone.
Górny mógł doprowadzić do zablokowania kilku? kilkunastu? kilkudziesięciu? joggerów i dobrze o tym wiedział. To jest działanie na szkodę innych. Ludzie mogli się wkur… denerwować, zawracać głowę adminowi, że nie mogą się dostać na stronę. Jeśli tak zwana szkodliwość społeczna jest większa niż korzyść z takiego uświadamiania błędu to kara dla MG jest uzasadniona.
Ja bym na jego miejscu założył oddzielne konto. On ma zdaje się neostradę, więc mógł ukryć się za zmiennym IP. Chyba, że jego celem było zrobienie z siebie męczennika o wolność joggera od bugów :P
Pisanie dlaczego został blog Górnego zablokowany to w tym momencie tylko gdybanie. Ja wciąż czekam na wypowiedź Sparrowa.

58. KORraN napisał(a):
31 maja 2009, 19:32:57

BeteNoire -> Różnica jest taka, że mgorny zazznaczył na blogu, że wejście w ten link grozi banem na IP. Nie wiem jak wyglądała sytuacja na IRCu, ale podejrzewam, że też ostrzegł ludzi.

59. Dodek napisał(a):
31 maja 2009, 20:03:48

Yay, nie ma to jak kary za full-disclosure.

60. BeteNoire napisał(a):
31 maja 2009, 21:23:37

KORraN, we wpisie Roziego stoi (akapit trzeci): „Czyli kto wszedł na jego joggera, dostawał bana.” – czyli Górny ostrzegał, ale po fakcie.

61. Ania napisał(a):
31 maja 2009, 21:56:21

@rozie:
Apropos zabezpieczeń już się nie wypowiadam, moja wiedza w tej materii jest znikoma :P
Natomiast tak jak mówiłam sprawa zablokowanie usera ma drugą stronę medalu, a mgorny nagrabił sobie innymi rzeczami wystarczająco aby go zablokować.

Z resztą moje prywatne zdanie jest takie, że mgorny ma nierówno pod sufitem i dlatego też już od daaaaaawna z nim nie rozmawiam ;)

62. bluszcz napisał(a):
31 maja 2009, 22:06:57

Hm, zajrzałem tutaj ponieważ kolega podesł mi linka i jestem dość mocno zniesmaczony, ponieważ...

Byłem użytkownikiem joggera od samego początku – urzekła mnie jego forma, osoba prowadząco-administrująca, oraz klimat – raczkujący w polsce jabber, raczkujący jogger, kilku użytkowników na krzyż, wszyscy się znający, większość osobiście etc itp… Oraz – zupełny brak featurów, poza jednym – możliwością blognięcia za pomocą xmpp ;)

Teraz? Wszyscy (tak mi się wydaje) ludzie z tamtej „ekipy” zniknęli, w większości przenosząc się inne lub własne serwisy. Pojawiła się natomiast drużyna A z brakiem totalnego zrozumienia tego co piszą inni, banda pyskaczy, frustratów etc itp.

Kilka lat temu jak pojawił się „problem” z „seederem”, społeczność joggerowa zjednoczyła się w ciągu kilkunastu minut ;)

Teraz jest rozdrobniona, jak mąką wysypana na wietrze.

Po chuj te wszystkie napierdalanki, i w jakim celu?

Sparrow, wielki szacun (jak mawiał mój sympatyczny kolega z dwóch firm gdzie miałem przyjemność pracować ;).

63. Moarc/J-23 napisał(a):
31 maja 2009, 22:08:28

lepiej flejmować niż ratować Tybet :P

64. rozie napisał(a):
31 maja 2009, 22:09:39

BeteNoire: Bez znaczenia. Zresztą, w komentarzu #56 napisałem, że prawdopodobnie nie o to poszło, bo o obrazku sparrow nie wiedział. De facto ban był za nagłośnienie szkodliwych pseudozabezpieczeń. Ale – jak pisałeś – poczekajmy na zdanie drugiej strony (jeśli będzie, w co wątpię).

Ania: To trzeba było blokować, jak wtedy nagrabił. Tym razem ewidentnie skopał admin. A swoje prywatne animozje wyrażaj u siebie. TIA.

65. Ania napisał(a):
31 maja 2009, 22:15:03

Nie napinaj się tak, niedzielę sobie psujesz :)

66. Soil napisał(a):
31 maja 2009, 22:38:35

Nie dziwie sie adminowi, ze usunal konto mgornego za naglosnienie sprawy. Wydaje mi sie, ze port 89 nie jest jakims tam bugiem a swoistym zabezpieczeniem (moge sie mylic) przed skanowaniem portow. Normalny uzytkownik nie skanuje portow, bo po co mu to. Mgorny zglosil sprawe, ok, ale niepotrzebnie naglosnil. Po co mi wiedziec, ze wchodzac na joggera przez 89 port to dostane bana? Skoro i tak tego nie zrobie, bo nigdy nie przyjdzie mi to do glowy. Ujawniajac wszystko, mgorny dolal oliwy do ognia, wiec poplynal. I dobrze.

(nie znam dokladnie sprawy, to tylko moje odczucia)

67. btm napisał(a):
31 maja 2009, 22:39:20

@Soli: port 89 był w tym przypadku losowym portem. Równie dobrze mógłby być :42 albo i :8080

68. Soil napisał(a):
31 maja 2009, 22:45:22

Nie znamy szczegolow, wiec mozemy gdybac.

69. Coolm@x napisał(a):
01 czerwca 2009, 00:11:20

Odnośnie komentarza No. 32, @Marcin: u mojego ISP skanowanie raczej jest nielegalne :) Z ich regulaminu:

§4. Odpowiedzialność

4.13 Abonent jest zobowiązany do współpracy z Operatorem w celu przeciwdziałania, wykrywania i eliminowania nadużyć oraz naruszeń prawa popełnionych przy pomocy infrastruktury telekomunikacyjnej wykorzystywanej do świadczenia Usługi, w szczególności rozsyłania niezamówionej informacji handlowej w rozumieniu przepisów ustawy z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. Nr 144, poz. 1204, ze zm.), wirusów, oprogramowania uznanego za niebezpieczne, skanowania portów, włamań do systemów informatycznych, ataków typu DoS i DdoS.

70. Branch Predictor napisał(a):
01 czerwca 2009, 00:45:32

Co za absurd, naprawdę. Wielki wrzask, bo 1. ktoś odkrył zabezpieczenie przeciw skanowaniu portów, 2. umyślnie kierował na nie userów tak, że ICH blokowało (działanie na szkodę userów), 3. admin w „nagrodę” skasował mu konto.
Co będzie następne? Wrzask za skasowanie joggera, na którym są umieszczanie linki do np. piratów czy skrajnie nieprzyzwoitej pornografii? Za niezaimplementowanie jakiegoś idiotycznego ficzera? A może gdy jednemu na 1048576 userów jakaś funkcja nie zadziała?
Bullshit totalny – jak wam brakuje taniej sensacji, to kupcie sobie Fakt albo inny Super Express, zamiast rzucać się na admina za to, że chciał zabezpieczyć serwer.

71. Riel napisał(a):
01 czerwca 2009, 00:58:37

Tylko czekać, aż nam się ziści „V for Vendetta” :/
Ale to tylko ja i moja paranoja :P

Michale, jestem z Tobą trzymaj się, dasz radę :D
(znając go nie wierzę, że nie ma gdzieś notek zbackupowanych :P) leci backupowac swoje

72. radmen napisał(a):
01 czerwca 2009, 09:51:58

Ech sensacja za 5 groszy. Ja również miałem bana, przypadkiem. Sparrow mi go zdjął i po sprawie.

Zaskoczyło mnie skasowanie bloga MGórnego, ale z drugiej strony przyczynił się do banowania innych użytkowników..

73. flegmatyk napisał(a):
01 czerwca 2009, 09:56:20

Branch Predictor powiedział w sumie wszystko, co może być napisane w tej sprawie.

74. BeteNoire napisał(a):
01 czerwca 2009, 10:09:23

To nie będzie łańcuszków na rzecz Górnego? :-(

75. Riel napisał(a):
01 czerwca 2009, 11:51:08

@BeteNoire: będą, o. Już lecę spamować!

76. Hoppke napisał(a):
01 czerwca 2009, 11:57:48

Wow. Czy to znaczy, że jogger jest bardzo dziurawy?

77. Marcin napisał(a):
01 czerwca 2009, 15:25:06

Coolmx: u twojego ISP jest to niezgodne z regulaminem. Żadnego prawa nie łamiesz skanując porty. Twój ISP może ci co najwyżej wypowiedzieć umowę, nie może za to pociągnąć cię do odpowiedzialności prawnej. W regulaminie joggera nie ma nic o skanowaniu portów, jest tylko zapis

„świadomego lub nieświadomego powodowania niestabilności systemu i usług związanych z serwisem za pomocą mechanizmów informatycznych”

Skanowanie portów, jak już wspomniałem, nie wpływa zasadniczo na działanie usług, a już zwłaszcza próba łączenia się na JEDEN niestandardowy port.

78. Dodek napisał(a):
01 czerwca 2009, 15:45:24

Ale tu nie chodzi o to, czy skanowanie portów jest dobre czy złe, tylko o idiotyczną autoblokadę i o karanie za full disclosure…

79. mruwek napisał(a):
03 czerwca 2009, 12:11:53

A moim zdaniem skasowanie bloga Michała, to najzwyklejsza w Świecie dziecinada. Na jego blogu była informacja o tym jakie są konsekwencje za wejście pod linkowany przez niego adres. Zwrócił jedynie uwagę na idiotyzm „zabezpieczenia” i w nagrodę dostał kasacją konta. Wspaniale! Rozumiem, że joggerowych rozwiązań nie wolno już nikomu krytykować ani też tym bardziej prowadzić nieszkodliwych mini-akcji uświadamiających resztę społeczności o niedostatkach serwisu.

Wiedząc o jakichkolwiek wadach joggera, czy mając swoje zdanie na temat sensowności pewnych rozwiązań należy zawrzeć pysk i „nie robić czarnego PR” – tak odbieram przekaz płynący ze skasowania mgornego.

I tylko smutek pozostaje, że ta platforma blogowa traci jeden z ciekawszych technicznie dzienników.

80. Jacek napisał(a):
03 czerwca 2009, 12:34:46

Z tego co wiem to on dostal bana za caloksztalt, tym razem po prostu przegial.

81. mruwek napisał(a):
03 czerwca 2009, 12:36:48

Khe, khe. Całokształt czego?

82. rozie napisał(a):
03 czerwca 2009, 19:41:06

Jacek: Napisz coś o całokszatłcie. Bo z tego co widzę, to aktywnie zgłaszał błędy na buggerze (94 zgłoszone). I wszystko było OK do momentu, kiedy postanowił udowodnić adminom, że zabezpieczenie można OKDR, błąd istnieje i stanowi realne zagrożenie. Co mu się udało.

I dochodzi do tego, że „gorące strugi aromatycznego moczu” są na głównej, a taki „całokształt” powoduje kasowanie bloga.

83. radmen napisał(a):
03 czerwca 2009, 19:50:53

Hmm ogólnie to pamiętam taką sytuację z głównej jak pan MGórny, któremuś userowi groził skasowaniemm bloga, bo ma reklamy ze stats.pl ..

84. Coolm@x napisał(a):
03 czerwca 2009, 19:55:53

@radmen: O ten wpis Ci chodziło? AFAIR mgorny tam się nie wypowiadał. A stats.pl to serwis z reklamami?

85. btm napisał(a):
03 czerwca 2009, 19:56:45

Nie ten, gdzieś wcześniej. Górny się wypowiadał. Stats24 dodaje reklamy do stron.

86. BeteNoire napisał(a):
03 czerwca 2009, 19:57:00

No, do tego się nie goli, wysyła prowokacyjne linki innym i jest monotematyczny. Innymi słowy: jednostka społecznie szkodliwa. Pewnie jak większość, którzy wypowiadali się w tym wątku. A szczególnych zagrożeń palcem pokazywał nie będę... :P

87. radmen napisał(a):
03 czerwca 2009, 19:57:29

Coolm@x: nie, nie ten wpis. Nie pamiętam gdzie to było..

88. Coolm@x napisał(a):
03 czerwca 2009, 19:58:52

@BeteNoire: Sparrow przyjdzie to wszystkim, którzy skomentowali ten wpis blogi usunie :P

89. radmen napisał(a):
03 czerwca 2009, 20:06:21

o, o tą notkę mnie chodziło -> http://sznik.jogger.pl/2009/02/01/jogger-schodzi-na-psy/

90. rozie napisał(a):
03 czerwca 2009, 20:21:43

radmen: No i? Groził nie skasowaniem, tylko zgłoszeniem do admina. Przy czym IIRC admin sam kiedyś powiedział (nie znajdę, nawet nie będę próbował szukać wpisu/komentarza), że stat24 podpada pod łamanie regulaminu z uwagi na pop-upowe reklamy. I z tego co wiem nikomu bloga za te reklamy nie skasowano, najwyżej blokowano dostęp do głównej.

Coolm@x: och, nie strasz, bo nie zasnę!

91. radmen napisał(a):
03 czerwca 2009, 21:33:30

rozie: nie moja to sprawa. Jednak, sądząc po tamtym wpisie, MGórny lubił się nosić ze swoim ego. Z resztą nie zamierzam się dalej wykłócać. Ogólnie panowie, jak się nie podoba to zawsze można zrobić ekspor wpisów i przenieś się na innego dedyka.

92. mruwek napisał(a):
03 czerwca 2009, 21:39:59

radmen: No i co z tego, że się nosił? Każdy z nas na swój sposób się nosi. A powodów wyrzucenia Michała jak nie było tak nigdzie nie ma, więc w dalszym ciągu pozostaje nam twierdzić, że wyleciał bo pokazał kretyństwo konkretnego zabezpieczenia. Cóż, jak już pisałem to smutne, że pozbywa się w ten sposób ludzi na joggerze niewygodnych, bo inteligentnych i niekoniecznie zawsze poprawnych.

93. Dodek napisał(a):
03 czerwca 2009, 21:40:43

radmen, i za to obnoszenie się ze swoim ego można tutaj dostać bana? Yay, to chyba ja rzeczywiście zrobię backup, tak na wszelki wypadek…

94. radmen napisał(a):
03 czerwca 2009, 21:43:05

Ja wolę się dalej nie wypowiadać. Przede wszystkim, że nie znamy dokładnych kulisów sprawy. Wystawienie tego „błędu” na światło publiczne to jedno, to co się działo potem to drugie. My jedynie znamy początek i koniec tej historii. Po co w takim razie dyskutować, skoro nie wiadomo co było pomiędzy? Mogło być tak, że sparrow strzelił focha i wywalił Michała, a mogło być zupełnie inaczej.

95. Dodek napisał(a):
03 czerwca 2009, 21:46:43

Rzeczywiście, teraz to mnie pocieszyłeś. Zamiast zostać wykopanym bez powodu został wykopany w wyniku werdyktu jednosobowego trybunału z utajnionymi aktami sprawy.

Jeżeli był jeszcze jakiś powód, to czemu go nie znamy? Może niektórzy z nas popełniają ten sam występek co mgorny i o tym nie wiedzą?

96. Maja napisał(a):
03 czerwca 2009, 21:48:48

Dodek: Nie wiem czemu, ale odnoszę wrażenie, że zostaliby parokrotnie ostrzeżeni, a dopiero później wchodziłoby w grę wywalenie. Takie moje odczucie.

97. radmen napisał(a):
03 czerwca 2009, 21:49:35

Acha, teraz to popadasz w paranoję :) Jak powiedziałem, ja nie wiem jak było naprawdę. Nie mam ochoty dalej spekulować, bo cholera wie jak było. Może doczekamy się oficjalnych wyjaśnień, może nie. Sparrow de facto może zrobić co postanowi, bo platforma jest postawiona dla jego hobbystycznych celów przeca.

98. lemiel napisał(a):
03 czerwca 2009, 21:58:24

A nie dopuszczacie myśli, że sam usunął swojego Joga? Po „eksperymencie”?

Było, minęło. Może wyjdzie zza firewalla i jakaś kobieta weźmie go pod pantofel w końcu…

99. Riel napisał(a):
04 czerwca 2009, 00:32:18

Nie, nie usunął sam.

A na ten pantofel to nie wiem, jak on się zapatruje :)

100. rozie napisał(a):
04 czerwca 2009, 07:15:11

radmen: Ależ wiemy, co może zrobić. Cokolwiek, niezależnie od tego, jak dziecinne to będzie.

lemiel: Oczywiście, że dopuszczamy. Tylko nie ma sensu odwracać kota ogonem – nie skasował sam.