Adrian Dański Adrian Dański
5598
BLOG

Albicla to spektakularna porażka

Adrian Dański Adrian Dański Internet Obserwuj temat Obserwuj notkę 163

Albicla to doskonały przykład na to co się stanie, gdy osoby, które nie mają żadnego doświadczenia, wezmą się za kierowanie projektu z zakresu IT. Zacznijmy jednak od początku.

Nie zamierzam tutaj opisywać całego tła politycznego, stojącego za pomysłem stworzenia alternatywy dla dużych graczy - osoba czytająca salon24 jest świadoma motywów. Za stworzenie narodowego, wolnego od cenzury portalu, wziął się Tomasz Sakiewicz. Jego Albicla jest rodzimym miksem niektórych funkcji Facebooka i Twittera napisanym najprawdopodobniej w PHP, a hostowanym na serwerach OVH we Francji (chyba na hostingu współdzielonym).

Nie wchodząc w techniczne szczegóły, już sam wybór technologii PHP, jest co najmniej… kontrowersyjny. PHP nie uchodzi za opcję najłatwiejszą do skalowania, nie jest też najprzyjemniejszym językiem dla programisty (słabe typowanie), a nieobudowany w frameworki kod PHP jest - delikatnie ujmując - trudny do okiełznania.

Cały poprzedni akapit jest mocno subiektywny, i mogą się znaleźć osoby, twierdzące że wybrana przez zespół Tomasza Sakiewicza technologia, jest absolutnie najlepsza na świecie. Ciężko się jednak nie zgodzić ze stwierdzeniem, że zastosowane zabezpieczenia są co najmniej karygodne. Wyciek pliku konfiguracyjnego (a niewykluczone, że całego kodu aplikacji, bo znaleziona luka na to pozwalała), zawierającego dane dostępowe do bazy danych i skrzynki mailowej czy bazy danych powinny być nawet nie światłem ostrzegawczym, a raczej wielką syreną alarmową, wyjącą wprost do ucha.

I nie mówimy tutaj o jakiś zaawansowanych atakach hakerskich, czy atakach z pogranicza socjotechnik, tylko o prostym wklejeniu odpowiedniego adresu w przeglądarce internetowej! Lukach znalezionych przez śmieszków w 2 godziny od odpalenia serwisu! O innych błędach w systemie nawet nie chcę pisać, bo grupy i fora są zalewane śmiesznymi zrzutami ekranu.

Nie wiemy jak wyglądały testy serwisu, ale patrząc na typ znalezionych błędów, i to jak szybko one wypłynęły, testowanie aplikacji albo nie istniało wcale, albo było przeprowadzone bardzo pobieżnie. O jakimś audycie bezpieczeństwa, pentestach i podobnych wymysłach raczej zespół tworzący mógł tylko marzyć.

Ale każdy, kto pomyślał, że to wszystkie problemy, tego ambitnego projektu, jest w poważnym błędzie. Dość szybko po uruchomieniu serwisu, okazało się, że regulamin jest… skopiowany z Facebooka. Razem z odnośnikami. Regulamin, który w rozumieniu prawa autorskiego jest utworem i podlega ochronie prawnoautorskiej. Warto też wspomnieć, że wiele wskazuje na to, że portal nie ma żadnego zespołu moderatorów, czy jakiejś określonej polityki w tym zakresie.

Serwis społecznościowy z prawdziwego zdarzenia to duży projekt. Zdecydowanie większy niż portal o wiewiórkach za 6 milionów złotych. Obecni giganci istnieją po kilkanaście lat, cały czas rozwijając swoje funkcjonalności, metody zabezpieczeń czy wewnętrzne procedury. Każdy, kto myśli, że można przyjść i w miesiąc albo dwa uruchomić coś co będzie mogło stanowić realną alternatywę zwyczajnie nie ma pojęcia o skali problemu i o tym jak powinno się realizować tego typu zadanie.

Jestem nerdem obserwującym otaczający mnie świat.

Nowości od blogera

Komentarze

Inne tematy w dziale Technologie