⚈ Kuopassa.net

Lisää kertomuksia netistä. 摆烂

Aggressiivista palautetta kehitysidean esittäjälle

Hifistelin tämän blogikirjoituksen URL-osoitteeksi http://kuopassa.net/admin-id-1. Osoitteen lopussa viittaan jollain käsittämättömällä tavalla/tasolla miniBB:n foorumilla jätettyyn kävijäpalautteeseen. Sen kirjoitti nimimerkki felgall 25.8.2013 ja siinä heppu ihmettelee miksi kyseisen foorumiskriptin ylläpitäjän tili yksilöidään lähdekoodin useissa eri vaiheissa numerolla 1. Tämä syväkoodattu numero on aikaisemmin ollut myös WordPress-blogisoftassa, joskin sen voi kai nykyään pluginilla vaihtaa joksikin arvoituksellisemmaksi ja siten tietoturvallisemmaksi.

miniBB on PHP:n ja MySQL:n avulla toteutettu ja sillä toimiva keskustelupalsta. Sitä on koodailtu ymmärtääkseni vuodesta 2001 lähtien. Softan kehityksestä tällä hetkellä vastannee vain yksi mies, latvialainen Paul. Hän on ahkerasti koodaillut foorumiin päivityksiä ja uudistuksia. Viimeisin niistä johti 23.5.2013 miniBB:n kehitysversion 3.0.2 julkaisemiseen.

Olen käyttänyt eri sivustoillani miniBB:tä vuodesta 2006 tai alkuvuodesta 2007 lähtien, joten tunnen sen melko hyvin. Foorumisofta käyttää todellakin joissain kohdissa ylläpitäjän käyttäjätilin yksilöivää numeroa 1. Se on esimerkiksi foorumin ylläpitäjän profiilisivun URL-osoitteessa. Nimimerkki felgallin esittämä ihmettely on mielestäni perusteltu, koska toivoisin tällaisessa asiassa noudatettavan "security through obscurity" -mallia, jossa foorumin asentava taho voisi määritellä haluamansa yksilöivän tunnisteen ylläpitäjälle.

miniBB:n liidideveloopperi ei kuitenkaan ole kovin innostunut muuttamaan koodiaan. Hän kirjoittaa sangen kirpeästi palautetta felgallille, joka erehtyi mainitsemaan WordPressin… Siitä Paul ei tunnu haluavan ottaa mallia ainakaan tässä asiassa. Hän pitää nykyisen toimintatavan kritisoimista osoituksena vainoharhaisuudesta ja suosittelee sen lääkkeeksi nettikaapelin irroittamista ja kännykästä luopumista. Hän toki aiheellisesti mainitsee, että on muitakin ja tärkeämpiäkin tietoturvariskejä kuin id=1.

Harmillisesti noin vihamielinen palaute järjelliseen kehitysehdotukseen nostanee felgallin ja muidenkin kynnystä esittää kehitysideoita. Etenkin kun felgallin toinenkin ehdotus, nimittäin mysqli:n omaksuminen miniBB:ssä nykyisen tavan sijaan sai Paulilta yhtä tylyn tuomion.

Tietoa kirjoittajasta