Wolfwood's Crowd blog

Kritika il’ hvala hrvatskog (IT) košmara

,

Domaća strava

(ne)sigurnost.hr webdomaće

T-com nas je razveselio s najavom povećanja brzine MAXasdl-a. Jučer sam došao doma i dočekala me do neupotrebljivosti usporena veza, da bi nakon nekoliko minuta došlo do potpuno onemogućene autentifikacije. Nakon što sam isprobao sve što sam mogao isprobati, čak sam pogledao i u priručnik koji je došao s routerom i došao do stavke 'ako ovo sve ne pomogne zovite svojeg ISP-a'. Zvao sam korisničku podršku, 90% vremena sam čekao na liniji dok se operater savjetovao s nekim kolegom koji zna više od njega, da bi na kraju zaključio kako mi ne može pomoći (tj. oni ne pružaju podršku) jer je moj router u Routing, a ne u Bridged modu. Nakon prekida veze isprobao sam router i u Bridged modu. Sve je radilo samo autentifikacija nije prolazila. Odlučio sam da je bolje da ne silujem stvari pa sam otišao gledati utakmicu (čitaj: ubrzo sam zaspao). Ujutro je sve radilo kako treba. T-com najavljuje da će se radovi vezani uz povećanje brzine obavljati u vremenu od 18 do 6 sati. Nadam se da to ne znači da će se do 15.7 učestalo javljati slični problemi u navedeno vrijeme?!

Na domaćem webu ima strava stvari. Svaka šuša koja uspije u Word-u pronaći Save As Html smatra se iznimnim stručnjakom. To je .hr mentalitet: svi smo mi majstori i svi znamo raditi sve. Plaćanje profićima da odrade posao je bacanje novaca. Filter za zrak će zamijeniti u autoservisu (i to platiti par stotina kuna), ali izrada web aplikacije je jednostavniji posao pa se svaki onaj, koji razlikuje miša od tipkovnice, upušta u to. Ja inače ne grintam protiv takvih, ali danas imam iznimnu priliku predstaviti vam tri bisera domaćeg weba...

3. mjesto: Autobusni kolodvor Zagreb.

Previše je bilo za očekivati da imaju online rezervaciju karata. Rezervirati kartu možete na sveprisutni x kuna/min telefon. Zanemarujem to, mene zanima samo vozni red. Unosim odredište, ali griješim u jednom slovu. Dobijam Object reference not set to an instance of an object poruku. Server im je dosta spor, nakon promjene podatka u polju odredište ili polazište okida se postback koji uzrokuje ponovno očitavanje nekoliko desetaka sekundi kasnije. Za to vrijeme će prosječan korisnik krenuti na odabir datuma i upisivanje broja dana pa će ga iznenaditi nenadano osvježenje. Ako ste uspjeli unijeti sve kako treba onda ćete biti nagrađeni default data gridom (asp.net). Kliknite na stanice ili popuste. Ponovno osvježenje, ako imate sreće novi data grid vam neće pokriti linkove na kraju prvog data grida. Popusti? Gle saborski zastupnici imaju 100% popust. Zašto im se onda isplaćuje naknada za prijevoz? Vidi se da je sve to radio početnik, ali neka ga, barem su korisne informacije. Valjda. Nadam se da tu aplikaciju nisu platili nekoliko desetaka ili stotine tisuća kuna.

2. mjesto: OPĆINSKI SUD U ČAKOVCU

Na prvi pogled vam možda nije jasno u čemu je stvar?! Zašto je stranica općinskog suda na tuđoj poddomeni? Nije to. Poklikajte malo po linkovima. WTF je naslov od stranice Lokacija lokacija.gif? View source... Cijela stranica je zapravo jedan .gif. Pogledajte ostale stranice. Gifovi. Te stranice definitivno isto izgledaju u svim preglednicima. Očekujem da vrli webmaster postavi pitanje na nekom od domaćih foruma: 'zašto gugl ne indeksira moju stranicu'? Izgleda da u tom dijelu .hr postoji takva škola za webmastere jer je prije neku godinu jedna informatička firma na web stranici objavila cjenik komponenti koji je bio screenshot iz Excela.

1. mjesto: Središnji obrtni registar

Što tu nije u redu? Stranica izgleda u redu, čak radi i u alternativnim preglednicima (prije nije radila), ima pretragu po više kriterija, ažurne podatke. Super. Unesite neki kriterij. Npr. potražite koliko u .hr ima vlasnika obrta koji imaju isto ime i prezime kao i vi. Ili samo prezime. Klik pretraživanje. Pronađeno je X vlasnika obrta. Klik na ispis rezultata. Dobijete rezultate. WTF, pitate se vi?!? Ajmo pogledati izvorni kod (po domaći View source). Upada u oči jedno skriveno polje (type="hidden") nazvano sqlQuery. Da, dragi moji pažljivi čitatelji, na klijentskoj strani se nalazi SQL upit koji će se prilikom slanja forme, bez ikakve provjere, odvrtjeti na serveru. Inače bih na takvo nešto upozorio webmastera, ali u ovom slučaju to nema smisla jer ovaj propust postoji već godinama, a i tko sam ja da jednu uglednu firmu učim poslu?! Oni marljivo rade projekte za razna ministarstva i državnu upravu, sigurno su dobro plaćeni jer se hvale da imaju pozitivni cash flow bez dugovanja. Uz taj silni posao tko ima vremena da se bavi tako nevažnim stvarima kao što je SQL injection.

Zaključak

Da li vam je sada jasno zašto kod nas nema i nikada neće biti strukovne udruge webmastera ( i ostalih stručnih djelatnosti)? Zato jer bi njezino osnivanje i početak rada obilježio veliki pokolj (čitaj obilježila velika zabrana rada) u kojoj bi nastradala većina članstva. Lako je malom Perici, koji radi za džeparac, zabraniti rad, ali kako to napraviti nekoj velikoj firmi čiji vlasnik, zajedno s ministrima, slini po vrućoj janjetini...?

Komentari

21. lipnja 2006. 16:04

Hihi, ovaj sudski registar mi je vrh vrhova za sada :). Al' zato izgleda da je firma koja je to radila (ta Igea il' kako već) poprilično svestrana - malo sam prosurfao referencama i našao sam stranice pisane u PHP-u, ASP-u i JSP-u... Ne možemo ih kriviti što im znanje o SQL-u i njegovoj sigurnosti malo šepa za time.

LOL... Dobra, dobra :).

21. lipnja 2006. 16:27

Fali zadnje slovo na ČK linku.

21. lipnja 2006. 18:01

A mislio sam da sam sve vidio. Nadam se da su napravili usera samo s pravom čitanja. Zanima me bi li ti bio prvoosumnjičeni kad bi im netko napravio drop table ;-)

22. lipnja 2006. 10:26

Sa AKZ-a:

"Ovo su članci koje želimo posebno naglasiti:

Autobusni kolodvor Zagreb d.o.o. prateći segment dizajna internet stranica koji se frekventno mijenja, pristupio je i u 2006. godini redovitom redizajnu svojih stranica."

bilo bi im bolje da imaju redovit outsorcing izrade web stranica...

22. lipnja 2006. 23:38

@2stein: najvjerojatnije svaki programer projekte radi u onome u čemu zna. Takve firme obično imaju relativno česte izmjene ljudi.

@Dado: ok :-)

@Vjeko: da sam to želio napravio bih to prije nekoliko godina i ne bi nikome rekao. :-)

@tomo: s obzirom da sam bio prisiljen koristiti njihove usluge već mi je palo nekoliko funkcionalnosti s kojima bi digli kvalitetu usluge, ali pretpostavljam da te stvari ne padaju na pamet njihovim developerima jer njih najvjerojatnije muči običan datagrid...a kaj će biti kad saznaju za Ajax?

23. lipnja 2006. 00:26

meni je nesto drugo upalo u oko... na ovom cakoveckom sudu... nije li naprosto fascinantno kako SVE, ali bas SVE stane u famozni prozorcic? bas me zanima kako ce objasniti vlasnicima ako isti ikada pozele dodati koju liniju texta (naime, sve je naknap) - cijeli ce sajt resizeati or? mislim, pregledno je, nije preveliko i zapravo mi se svidja..... jebes ti fancy smensi sranja koja ne rade, ili jos bolje - na kojima nemres nista naci.... a olfo 'sve pise na sajtu' ovdje bar sve pise i da se citati... jest da mi zoom ne radi, ali hej, sama sam si kriva sto nemam u mozilli pliugin za zoomiranje slika :o)

23. lipnja 2006. 10:44

Trebate vidjeti koja uobražena ekipa je izradila "Središnji obrtni registar",... tak da tako nešto nije ni čudno.

Zanimljivo je da je prošli mjesec tamo jedna djelatnica pokušala samoubojstvo skočivši s prozora zgrade. Zanimljiv je i direktor te firme s obzirom da je sveučilišni profesor, iz kolegija "Programsko inženjerstvo",... he, he

24. lipnja 2006. 21:32

Gradski kolodvor je, sjećam se, jednom davno imao web stranice pokrpane hackovima. Naime, centralni IS je bio jedan prastari Unixoid sa amber terminalima, i u njegovoj flat file bazi podataka nalazili su se svi rasporedi, rezervacije, prodane karte itd.

Ekipa je složila skriptu (daklem, interni development, važno za ovu priču!) koja je svake noći kupila ažurne podatke o voznom redu i to pretakala u, ako se dobro sjećam, Access bazu podataka na web serveru, iz koje je isti narednog dana posjetiteljima vadio podatke o voznom redu.

Ta aplikacija bila je, zamislite, brza! Ok, web stranice nisu bile nešto posebno (nisu ni sad), ali taj dio priče odrađivao je posao sasvim pristojnom brzinom (budimo realni, to je ipak mala količina podataka).

E, a onda je netko zaključio da to sve ne valja, pa se išlo u informatizaciju (što je ok) i nove web stranice (što je isto ok). Moje prvo surfanje nakon te promjene otkrilo je da se vozni red, na novom softveru i hardveru, ponaša ne vidljivo, već nekoliko puta (!!) sporije od starog načina rada.

26. lipnja 2006. 07:48

ovaj "Središnji obrtni registar" je sramota, ja radim pod C++/Solaris pa znam sta je "SQL injection" ... sramota

29. lipnja 2006. 14:24

A pazite ovo: http://www.monitor.hr/jump.php?url=www.zombix.net/glob/