Biziday a fost ieri „hăcuit”. E un termen ușor forțat și, la cum arată comunicarea în acest moment, aș zice că nici nu prea s-a înțeles unde a fost problema.
Ce cred că s-a întâmplat? Întâi câteva noțiuni:
- Pentru a putea avea o legătură device-server, se face o comunicare pe bază de API. Asta înseamnă că orice informație afișată în aplicație s-ar putea afișa separat, oriunde altundeva (e.g. într-o pagină web);
- În mod normal, ar trebui să existe un fel de semnătură din partea device-ului în orice request, lucru ce îi spune serverului că cererea tocmai primită este una validă;
- În mod la fel de normal, orice formular conține o cheie folosită o singură dată ce este verificată la trimiterea formularului. Da, inclusiv formularele din admin. Mai ales formularele din admin.
Eh, ce cred eu că s-a întâmplat? Verificarea asta a fost defectuoasă și/sau nu a avut loc. Iar la cum arată treaba (e.g. nu apare în loguri), aș zice că s-a întâmplat într-un punct al aplicației unde un programator (sau mai mulți, dacă s-a făcut code review) a cosiderat că „aici putem avea încredere în utilizatori”.
Este o problemă veche de când lumea ce are soluții la fel de vechi: majoritatea framework-urilor au ceva token, WordPress are nonces șamd.
PS: La un cutremur de zece pe richter, tot ce poți face este să spui rugăciuni.
Amatori, la fel ca și aplicația
@ionică: niște PSDisti…
Dupa cum le-am spus si altora, lucrurile astea se intampla cand instalezi orice aplicatie ce e doar intens mediatizata si cam atat.
eu am găsit comentariu ăsta: https://www.zoso.ro/guran-cutremur/#comment-1107806
Aparent, cineva s-a jucat pe mediul de dev. E cam pacat ca erau valabile si pt development credentialele de productie pentru GCM. http://i.imgur.com/2S4mNxa.png
@ps: ca sa trimiti notificari prin FCM (fostul GCM) ai nevoie si de token-urile (unice) generate de FCM pt fiecare device (care se aboneaza la respectivul sender). Flow-ul este urmatorul: mesaj + lista de tokens => FCM => mesaj trimis catre fiecare token din lista primita. Deci… nu este de ajuns doar sa te joci cu credentialele pe local, ci trebuie sa ai si token-urile din productie.
Numai ei stiu cu adevarat ce s-a intamplat, iar daca nu si-au dat seama pana acum… cine stie la ce se mai pot astepta.
@ps: sau poate au token-urile grupate pe topics / grupuri, pt a organiza si trimite mai usor notificarile. Totusi, chiar si asa, tot trebuie sa acces la baza de date cu toate informatiile pt a putea trimite.
@iamntz: te rog sa unesti ambele comentarii.