×Закрыть

И снова FL.ru взломали

И снова сегодня FL.ru взломали. Мне как бывшему сотруднику конечно жаль, но как говорится что есть, то есть. FL уже не тот

habrahabr.ru/post/263703

siliconrus.com/2015/07/fl-off

roem.ru/...07-2015/201305/fl-hacked

Движок действительно настоящий. Посмотрел и нашел свои строчки кода и комментарии

LinkedIn
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Не хер WebDav настраивать на accept PUT requests на порту 8080 ))) Там ад в коде еще тот, вплоть до GMail username и password, SMS Gateway credentials, правда после огласки уже поменяли поменяли креды ))) Это эпик

Веблансер спешно подсуетился и прислал рассылку о снижении тарифов)

На ex.ua уже тоже есть исходники) интересно БД где то есть? Или оставили для себя на продажу

... да, коммент зачетный оставил @konardo, но реальность может оказаться суровей ... база может быть слита, и ребята потеют над другими сервисами с хорошим инпутом... надеюсь ФЛ каким-то образом предупредил своих пользователей об этом ...

FL уже не тот

А он когда-то был тот?

ps. cp1251. обнять и плакать ©

а .htaccess вообще в CP866

Почему гитхаб не удалит их код?

Видать запрос не послали. Это ж русский скреповый менеджмент, не забывай. Вместо объединиться и решать проблему — решают кто виноват и что запретить.

Может они и не хотят запрос слать? Вдруг разработчики fl.ru активно читают комментарии в issues и фиксят уязвимости :)

Так и есть, если верить комментам — зарепорченные дыры оперативно фиксятся :D

А почему это GitHub должен удалять «их» код?

Наверное потому что он... м... ворованный? Ничего, там все верно про скреповый менеджмент написали. Видимо еще не сработало.

Откуда это следует?
Там нет ни лицензии, ни имён авторов/владельцев.

Подтвердить «владение» закрытым кодом непросто.
А без этого, с точки зрения гитхаба, они третье лицо, требующее удаления кода за просто так.
Их пошлют, и будут правы.

К сожалению не имею ни малейшего понятия о том как юридически был оформлен этот код в компании free-lance.ru Но если это их код, то есть он как-то был оформлен юридически (в чем у меня конечно сомнения), то с точки зрения закона это кража. Ну там неправомерный доступ к информации вот это вот все. Доказать всю цепочку действительно сложно, да я и не юрист.

С точки зрения github тоже не знаю. Нужно читать terms github help.github.com/.../github-terms-of-service для полного понимания отношения компании к ворованному коду, размещаемому пользователями, если конечно доказан факт воровства.

Тут важно другое. Тут важно, что на таком коде система работала с 2004 года. Никто ничего толком не делал. Сейчас никто не признает факта проблемы. Не было даже официального заявления. Ну как-то все это... Не знаю каким словом назвать. Как минимум не серьезно. Закат фриланса в РФ что ли или около того, хотя он случился значительно ранее. Где-то в 2008-2009 году.

Не думаю что пошлют. Они не идиоты, чтобы связываться с ворованным кодом. А что именно этот код работал у них — достаточно просто предоставить логи его работы за определённый период и другие косвенные доказательства.

Для ГитХаба в тысячу раз проще удалить конфликтный код, чем иметь дело с авторскими правами.

Левого кода, на который лицензия с копирайтами и именем владельца таки была (webim/license.txt).

Красиво выкрутились, если выкрутились конечно.
Вроде как ничего не мешает veryEvilMan выложить повторно всё кроме webim/.

Хардкодний текст по проекту «агонь» :D
if ( pg_num_rows($res) != 0 ) {
$error = «Пользователь с таким e-mail уже существует!»;
}

проект работает с 2004 года, там очень много кода так и осталось не переписанным :)

Ну якби за 11 років можна було б і присвятити деякий час на рефактор :)

Это только в книжках Рихтера рефакторингом занимаются
реальность же намного суровей

Это только в книжках Рихтера рефакторингом занимаются
Не только.

Не самый страшный хардкод, тем более в достаточно ненагруженном месте. К тому же проект на интернационализацию не рассчитан, а именно интернационализация — единственный серьёзный барьер перед константами в коде.

Ну я й не кажу, що прям «всьо прапала» :)
Цей факт говорить про те, що розробники особливо не парились над архітектурою і над тим, що колись це може бути змінено. Тут немає контролю над повторюваним контентом (текстом, повідомленнями) і якщо треба буде щось підправити/замінити, то треба буде шуршати по всьому проекту.
А от наприклад в один прекрасний день вони захочуть вийти на світовий ринок і от тоді буде весело тому хто буде виносити весь хардкодний текст по файлам з ресурсами.

Быдлокодинг, что тут скажешь. Может разработку сайта они заказывали на одеске у индусов со ставкой 3 доллара в час?

Не ображайте індусів — ті працюють в православному UTF-8, а у цих — скрєпи CP1251

en.wikipedia.org/...r_Information_Interchange
у них свои восьмибитки, не менее православные.

да нормальный код, не трогай код пока он работает и никто не жалуется !

Если изначально писать правильно, то и трогать не придется. А вообще да, многим забить на правильно, даешь быстрей и чтобы работало.

А в чому тут проблема?
Де взагалі можна почитати про те, які сучасні тенденції в розробці? Дякую.


Де взагалі можна почитати про те, які сучасні тенденції в розробці? Дякую.
Почитать тут, на форуме

Тут стоїть питання в тому наскільки легко можна буде пітримувати такий код в майбутньому. Розглянемо пару утрованих ситуацій:
1. є скрипт реєстрації де є текст помилки, що такий e-mail уже існує. Потім вирішили надати користувачам можливість змінювати поштові скриньки до яких прив"язаний аккаунт і якщо буде вказаний невірний e-mail, то треба вивести ту саму помилку, що такий e-mail уже існує. Отримуємо дубляж текстів помилок.

2. Наприклад сайт став популярним на просторах бувшого радянського союзу і тут начальство вирішує, а давайте виходити на англомовні ринки, а для цього як мінімум треба перекласти весь сайт на англійську мову. А для цього треба відкрити кожен файл і пошукати в ньому кирилицю (можна звичайно написати і скрипт для цього написати).

Основний мінусв тому, що якщо треба поміняти тексти, то це буде робити якийсь кодер. А якщо всі хардкодні тексти винести в окремі файли, то можна віддати ці ж тексти на переклад людям не з компанії.

FL уже не тот
Он не тот уже года три.

Надеюсь, больше не заработает, учитывая слитый движок сайта и их политику в отношении исполнителей.

Подписаться на комментарии