Новости про объективы и фототехнику

Внимание! ОШИБКИ НА САЙТЕ ПРОДОЛЖАЮТ ПОЯВЛЯТЬСЯ

Sony E 55-210 mm f/ 4.5-6.3 OSS
MDF Sony E 55-210 mm f/ 4.5-6.3 OSS = 1.0m (см.прилагаемый PDF) . Так и было, но стало 0.1m - грубо и опечаткой не объяснишь (ведь 1.0 вообще не имело смысл править и, следовательно, опечататься). Значит, сбой.

Самое интересное, что ошибка возникла сравнительно недавно и, вероятнее всего, уже после решения об ограничении круга редакторов. Я сверял этот объектив весной, этой ошибки не было. А сегодня сверял карточку и обнаружил ошибку.

Ответ для Сергей Бородин (26.04.2013 06:29:50):

Баги бы, думаю проявились бы раньше. Движок неизменный почти три года.

Не факт. Баги бывают какие угодно, могут быть такие, которые начинают проявляться при достижении каких-то количественных значений (например, числа объективов в БД).
Чисто теоретически: где-то может ограничиваться длина строки, в которой передается идентификатор объектива, в результате, по достижении некоторого порогового числа символов в его строковом представлении, вместо данных объективов с невошедшим в отведенное кол-во символов идентификатором, изменяются данные других объективов, которым соответствует получившийся из обрезанной строки идентификатор. Помянуто не в качестве возможной причины, а в качестве примера подобной ситуации.

Ответ для nukemall (24.04.2013 10:28:36):

Баги бы, думаю проявились бы раньше. Движок неизменный почти три года. Только сейчас в ближайшее время будет существенно меняться в том числе введу дополнительные требования по безопасности в переработку.

Ответ для photogearch (24.04.2013 13:11:03):

Да, лог обязательно сделаем. Спасибо!

Ответ для dv (24.04.2013 16:50:13):

Лог - да, не столько для выявления злоумышленника, сколько для уточнения первопричины: неправильные действия пользователей (мотивация - вторична) или же неправильное поведение софта.
Про ту мотивацию я тоже подумал, она вполне подошла бы, но случаи такого самоотверженного альтруизма в целом нетипичны. Зато: если на том сайте была какая-нибудь регистрация и там зарегистрировался кто-нибудь из имеющих права редактора и при этом, как нередко бывает, имеющий один пароль на все случаи жизни, то владелец того сайта теперь может им пользоваться.
Если бы я делал сайт с функцией редактирования контента пользователями, то такие изменения требовали бы проверки администрацией - нажать кнопку "принять изменения" (или нажать кнопку с противоположным смыслом). С добавлением объективов, возможно, тоже придётся прийти к подобному: честно говоря, меня порядком удивляет то, что хакерствующие пионеры всё ещё не напустили на сайт роботов, которые под видом публикации объективов напихают сюда всё, что угодно, за что пионер расчитывает получить деньги ("Бабушка заработала миллион на Форекс", "я тут нашла ТАКОЙ сайт!" и т.д. и т.п. + просто "хакеры из 5Б класса школы ХХХ - самые страшные хакеры на свете").

При желании можно хранить копии данных по объективам в БД. Реализовать такое должно быть несложно. Предположительно, информация по объективу представлена одной записью в одной таблице. Может быть создана таблица "истории версий", куда соотств. запись копируется перед обновлением, сопровождаясь при этом временем события, номером версии, информацией о том, кто производил редактирование и тд. и т.п. Реализовать возможность удобного обратного копирования из "таблиции истории версий" в "рабочую". Если соотств. информация хранится не в одной таблице (сомневаюсь), то возни с сохранением-восстановлением будет немного больше, но принцип тот же. Разумные для выполнения такой задачи времязатраты: 1 раб день, из которого 1 час на сам функционал, остальное - на сопутствующий ГУЙ и тестирование (с запасом на перекуры, кофе и посидеть в сети). Соответствующим увеличением размера БД в наше время можно смело пренебречь, тем более, что самые старые версии можно и не хранить (напр, удалять те, возраст которых превышает некий пороговый, скажем пол-года) . Собственно говоря, подобный подход, наверное, является обязательным (или неизбежным) там, где контент ресурса может редактироваться его пользователями.

Ответ для Alexandr1970 (24.04.2013 18:47:55):

Да, говорится о людях имеющих данные полномочия.

Странно, я могу править только те объективы  которые добавил в базу сам. К остальным у меня доступа нет, только через сообщить об ошибке. Это сколько же надо натырить паролей, чтобы массово менять данные по объективам? Или кто-то может менять всю базу независимо оттого кто добавил?

Не так давно на оба сайта удачно нападал какой-то вирус. Так что не удивлюсь, если логирование покажет на любого, в том числе и на Вас или меня! Я пароль сменил, советую и всем это сделать, хотя вход то будет не по https. А мотив уже озвучивался в одном из форумов. А как определить - продолжится или нет - я не больше четверти перелопатил, и то выборочно. Предложите алгоритм - бэкап на 24 апреля не сильно поможет.

Ответ для Сергей Бородин (24.04.2013 07:38:44):

Если не баг, то должен быть мотив для того, чтобы тратить свое время на такую деятельность. Мотив для таких изменений представить трудно. Со взломанного аккаунта было бы логичнее заменить картинки на какие-нибудь более весёлые и написать "крутой хакер deadbeaf ломанул этот сайт".

Мне кажется - баг. Тем более, что я сам видел труднообъяснимое с точки зрения действий пользователей изменение данных объектива.

С другой стороны, для облегчения нахождения истинной причины желательно устранить возможные. Если после отъёма прав у редакторов чудеса продолжаться, то это будет означать, что они были не при чем. Если исчезнет, то это так же может означать не то, что кто-то из редакторов занимался ерундой, а то, что баг сидит в соотств. коде.

Логгинг: должен быть код, который отрабатывает именно при редактировании через сайт. Этот код обязан/может знать имя пользователя, его IP, введённые значения и их назначение - писать их в текстовый файл, который потом посмотреть.

Ответ для Сергей Бородин (24.04.2013 07:38:44):

А может быть и баг, мне такое в одном движке интернет-магазина попадалось: если карточки снимать с публикации - всё нормально, если удалять - начинается чехарда и свистопляска, причём чем дальше, тем веселее, до полной потери связи между таблицами - название от одного товара, цена от другого, характеристики от третьего, описание от четвёртого итп.  

Ответ для photogearch (24.04.2013 04:06:29):

Сложно сказать, что это на самом деле. Но то, что это угроза безопасности - несомненно. Причем если бы это было массово и разово, легко восстановиться из бэкапа. А тут такое ощущение, что деятельность сознательно осушествлялась понемножку, потихоньку,  так чтобы оставаться незамеченным. Восстановления из бэкапа в таком случае получается уже не эффективно, так как в бэкапе уже тоже могут быть ошибки.

Хорошо, что оперативно работает собщество (много ошибок указали пользователи через сервис "Указать об ошибке") и администратор dv.

В данном случае, я думаю - это не баг.

Ответ для nukemall (24.04.2013 03:27:50):

Ну относиться можно по разному. И понятие пользы и толка у каждого свое. Работа с базой ведется постоянно и дополнения, и редактирование, и удаление дублей и прочее.  Поэтому, не соглашусь. Но и своё мнение не навязываю.

Ответ для Сергей Горбачевский (24.04.2013 01:45:29):

Вполне возможен вариант, что действительно был взломан аккаунт одного из редакторов. Не исключено.

Ответ для nikitosmax (23.04.2013 21:35:20):

Отследить можно да, но изначально эта функция не логировалась. Разработчик сейчас работает в штатах. Новый начнет работать не ранее марта.

Ответ для Nik_SSG (23.04.2013 20:26:46):

Да много там чего было и современные и старые. Сейчас всё восстановлено. Последние несколько Сигм и Токины.

Если это пользователь сайта, то вычислить злоумышленника совсем несложно: прицепить простейший логгинг на соотств. операции. При этом не исключено, что это не сам пользователь, а кто-то с его паролем (странное времяпровождение, но мало ли). Штука в том, что наверное добрых 50% пользователей сети имеет один пароль на все случаи жизни, в таком случае, если он один раз был кому-то подарен, то потом им можно много где пользоваваться. Но мотив такого времяпровождения совершенно непонятен (время - деньги, так или иначе, кому хочется тратить его таким образом).

Банальные баги со счетов сбрасывать тоже нельзя, причем проявляться они могут именно при редактировании (скажем, редактируется один объектив, а изменяются данные другого). Например, не так давно наблюдал такую ситуацию (вроде бы писал в "ошибках на сайте"): только добавил пару весьма экзотических объективов, как у них вдруг сразу оценки, причем, по всем признакам, дважды одни и те же. Для меня это явилось признаком возможного наличия каких-то неприятных багов: одно дело, когда программа логично падает с треском и т.п. - взял и починил, такие чудеса в виде спорадических "самопроизвольных" изменений данных (мне тогда показалось, что именно это и произошло) могут быть гораздо хуже. Если бы я отвечал за работу сайта, то увиденное тогда мне бы непонравилось.

IMHO: скорее это странный баг, причем я почти уверен в том, что видел его или его родственника в действии. 

А ещё может быть такой вариант, как игры скучающего персонала провайдера. Если провайдер доморощенный, то его нельзя сбрасывать со счетов. Между прочим, по моим представлениям, большая часть "взломов" почтовых ящиков знаменитостей и т.п. на самом деле является банальной покупкой их содержимого или доступа к нему у персонала соотств. провайдера, иногда с последующим отвлекающим маневром, в виде заявления от какого-нибудь "знаменитого" хакера о том, что он ломанул того-то.
Мне проще представить скучающего в ночную смену студента, подрабатывающего у провайдера и попутно развлекающегося изучением какой-нибудь интерфейса к БД на практике, чем кого-либо из местных редакторов или даже просто сетевого злоумышленника, тратящего свое время на изменение данных объективов. Хотя, может быть учащийся младших классов с папиного компьютера, с запомненным в браузере паролем.

Всё равно от базы толку крайне мало, ибо это уже не база данных, а помойка, как генератор страниц для продажи ссылок годится, как источник информации - не очень. Я поначалу пытался "причёсывать" карточки, но когда на одного меня сотня дебилов, которым ума не хватает даже МДФ и пределы установки диафрагмы на картинке посмотреть... нах-нах.

Скверно.

Я, как недавно посвящённый в редакторы (да и не особо успевший правами попользоваться, только ежели видел что уж очевидно в глаза лезущее) весьма опечален.

Подтверждаю вопрос: нельзя ли отследить? Если не IP, то, по меньшей мере, ник?

Не могли ли учётные данные редактора, в свою очередь, быть похищены?

Вот это печаль...

И неужели нельзя отследить???

Печально...

Какие именно карточки подверглись негативным изменениям?