Symbiatch - maailma on rikki

Kuluttajavirasto ajan tasalla?

11.08.2011 11.42 - IT-ala web 

Kuluttajavirasto on näköjään ajan tasalla verkkosivujensa osalta. Tällä hetkellä sivuilla on virhe, joka estää muokkaamasta lähettämääsi valitusta muokkaussivulla. Eihän siinä mitään, mutta kun palvelimella on sallittu tarkat virheilmoitukset kaikille, mukaanlukien lähdekoodi!

Tuolta sivulta voi siis katsoa, että sivustolla on käytetty Microsoft Access -tietokantoja, mutta siirrytty Microsoft SQL Serveriin, asioita muunnetaan numeroista tekstiksi piiiitkillä switch-case -rakenteilla, kommentit ovat hienoja tyyliin "Erikoista: sql-lause vaatii stringin vaikka taulussa onkin integer!" ja niin edelleen.

Ai joo. Tuolta myöskin voi lukea mitkä ovat tunnus ja salasana SQL Serverille. On sentään lähiverkko-IP:llä, joten ei ulkopuolelta pääse sisään, mutta silti. Oikeasti.

Kukahan tunnustaa tehneensä nämä sivut? Ovat aika vanhaa tuotantoa, sillä ajossa on .NET Framework 1.1. Versio 2.0 julkaistiin vuoden 2005 lopulla, eli kyseessä lienee kuutisen vuotta vanha koodi. En toki sano, että koodia pitäisi muuttaa, jos kerran toimii, mutta .NET 1.1 on kuitenkin ollut kohta kolme vuotta ilman mainstream-tukea. Koodi on VB.NETiä.

Koodia on kylläkin muokattu ainakin vuonna 2010 ja jotain salasanakenttiä on poistettu jne. Useita kommentteja tyyliin ei käytössä!?! [19.2.2010].

Jos en väärin käsitä, sivusto siis sallii kenen tahansa nähdä ja muokata lähettämiäsi tietoja, mukaanlukien yhteystietosi, ostoksesi ja ongelmasi. Kunhan vain arvaat ID-numeron, joka sivulla luodaan! Jos asia ei ole näin (voin tarkistaa vasta jos/kun korjaavat sivun, mutta salasanaa ei käyttäjille toimiteta, vain ID), toki saa kertoa. Jos näin on, voisi asiasta tehdä ilmoituksen tietosuojavaltuutetulle. ID-numero on kuitenkin vain muutaman numeron pitkä.

"Alla oleva ei ehdi näkyä, ks. Redirect kohta..."

"PIPARIA NASSUUN!"

"tämä on oikeaa asiaa..."

"salaus-toimintaa laajennetaan...
odottaa saavansa numeerista syötettä
20.5.2009 pohjana Muunna_Yht_Syy
idea: täällä rakennetaan ViewState("SalausTila"), jota
hyödynnetään ShowOrNotissa

Että näin. Mieluusti kuulisin Kuluttajavirastosta selvityksen kuka on sivuston tehnyt ja ottaisivat välittömästi pois moisen viritelmän. Sivustot kun voi kääntää etukäteen, jolloin virheetkin näkyisivät, eikä tarvitsisi ihmetellä palvelimella vasta virheitä. Ja vinkki: <customErrors mode="RemoteOnly" /> on ystäväsi.

HUOM! Olen toki tiedottanut Kuluttajavirastoa tästä asiasta jo eilen. En myöskään löytänyt tuosta koodista mitään sellaista, jolla voisi erityisesti vahingoittaa palvelun toimintaa, saati murtautua sinne, enkä todellakaan suosittele ketään yrittämään! Jos tiedoissa olisi ollut jotain selkeitä reikiä, en olisi tästä kirjoittanut ennen asian korjaantumista.

Kommentoi

Lisää kommentti

Nimi:
Email:
Kotisivu:
Kotisivu:
Kommentti:

Kommentit

Hurtta (anon, 11.08.2011 14.06)

Kaunista. Mulle tulee aina yökötysreaktio suomenkielisestä nimeämisestä koodissa. Ei vielä ole tullut vastaan triviaaleja esimerkkejä monimutkaisempaa koodia, jossa se ei jossain välissä harhailisi kunnon aivopierufinglishiksi.

Noin muuten tää kyllä niin vaikuttaisi joltain sukulaisuussuhteilla töihinotetun kesäkoodarin tai n+5 vuotta sitten koulussa viimeksi mitään koodanneen mutta etäisesti IT-maailmaa tuntevan kuluttajavirastolaisen kädenjäljeltä. Selvästi Joku on vähän säästellyt hankinnoissa.

Jutut.fi  |  Omat jutut  |  Muiden jutut  |  Kategoriat  |  kirjaudu