Artykuł w kategorii | allegro

Mądre Allegro po szkodzie, czyli wielkie nocne sprzątanie

Opublikowane: 25 listopada 2010 przez: Konrad Karpieszuk

Jeśli jeszcze nie widzieliście, to zobaczcie jak bardzo Allegro nawaliło dzisiaj. Okazało się, że użytkownikom ich webapi udostępniało wszystkie informacje osobiste swoich użytkowników. Co więcej wśród tych informacji ujawniane było hasło, które jak się okazało przy okazji nigdy nie było trzymane na serwerach Allegro w postaci zaszyfrowanej.

Ja jestem chyba zbyt świeżym programistą, bo nawet sobie nie potrafię wyobrazić, że można stworzyć serwis internetowy pozwalający na takie niedbalstwo o bezpieczeństwo haseł. Od kiedy programuję, zawsze hasła haszuję, rozumiem  jednak, że Allegro to stary serwis, napisany zapewne niedbale, z naroślami w postaci kodu nowych funkcji. Tak już bywa, że jak się coś zacznie robić źle na początku, to potem trzeba się już takiego śmietnika trzymać. Bo niby zwykła zmiana haseł na haszowane to w takim wypadku może być potężny refaktoring – któż tam pamięta w ilu miejscach trzeba będzie przepisać kod by to wszystko jednak działało?

I niestety – kiedyś musiała przyjść pora by i za to się wziąć. Katastrofa wizerunkowa jest dobrym do tego impulsem. Właśnie próbowałem wejść na Allegro i zamiast strony przedmiotu, ujrzałem takie oto coś:

Trwa właśnie – w żaden sposób nie zapowiedziana, więc niemal na pewno wymuszona wyciekiem – przerwa techniczna. Jeśli tak jak podejrzewam w czasie tej przerwy hasła są haszowane, nie sądzę by tak jak to zapowiadają, wyrobili się przed trzecią. Ale zobaczymy 🙂

4 Komentarze do tego artykułu

  1. Kojot napisał(a):

    Bzdura, ta przerwa była zapowiadana od kilku dni, więc nie ma nic wspólnego z wpadną. Takie przerwy kilkugodzinne w ostatnim miesiącu były już kilka razy. Jak można napisać taką bzdurę?

  2. Serafin napisał(a):

    Z calym szacunkiem ale czytanie ze zrozumieniem nie jest mocna strona autora 🙂 Informacja o przerwie technicznej byla dostepna juz od jakiegos czasu:)

  3. Edvin napisał(a):

    Były kiedyś informacje że alegro trzyma hasła nie zahaszowane. I co? nic z tym nie zrobili? To jest kolejny przykład jak dbają i dopieszczają swoich użytkowników. Przyjdzie czas ze ludzie przejdą do innych portali jak np. http://www.swistak.pl, http://www.aukcjusz.pl ! Cesarstwo rzymskie też upadło.

  4. Konrad Karpieszuk napisał(a):

    to ja niestety tej informacji nie widzialem. a kiedy sie pojawila? bo blad zostal wykryty nieco wczesniej niz opublikowano o nim info na niebezpieczniku. moze wtedy juz wiedzieli

A co Ty o tym sądzisz?