Kategoria: web (elokuu 2011)

Facebook does it again. After a couple of months of getting "this is horrible, remove it NOW!" from "volunteer testers" (meaning people that were randomly chosen and forced to use it), they seem to be putting it out there. And I for one cannot understand why.

Who actually is interested in knowing when a friend became available for a chat? Like, everyone of their friends? Not me. I can check if they are available when I need them.

Who wants to see that a page you liked has liked some of the comments left there? Not me, I'm interested in their posts though, but not what they happen to like.

Who wants to see every "is now friends with" notification about your friends? Not me. I usually don't care about who they have friended anyway. And I can't think of any reason why someone would like to see all friend notifications immediately.

So, nice try but no cigar. It would be useful if it just scrolled the notifications in it. I do care about when people comment on my posts or posts that I've commented on etc. So they could be shown there. Currently it's just extra clutter that's distracting people.

To the point, then. If you have AdBlock Plus or some other blocking system, just add facebook.com/ajax/pagelet/generic.php/TickerPagelet to it. And the horrible thing is gone. Doesn't seem to do anything else based on my testing, but YMMV. You're welcome.

Kuluttajavirasto on näköjään ajan tasalla verkkosivujensa osalta. Tällä hetkellä sivuilla on virhe, joka estää muokkaamasta lähettämääsi valitusta muokkaussivulla. Eihän siinä mitään, mutta kun palvelimella on sallittu tarkat virheilmoitukset kaikille, mukaanlukien lähdekoodi!

Tuolta sivulta voi siis katsoa, että sivustolla on käytetty Microsoft Access -tietokantoja, mutta siirrytty Microsoft SQL Serveriin, asioita muunnetaan numeroista tekstiksi piiiitkillä switch-case -rakenteilla, kommentit ovat hienoja tyyliin "Erikoista: sql-lause vaatii stringin vaikka taulussa onkin integer!" ja niin edelleen.

Ai joo. Tuolta myöskin voi lukea mitkä ovat tunnus ja salasana SQL Serverille. On sentään lähiverkko-IP:llä, joten ei ulkopuolelta pääse sisään, mutta silti. Oikeasti.

Kukahan tunnustaa tehneensä nämä sivut? Ovat aika vanhaa tuotantoa, sillä ajossa on .NET Framework 1.1. Versio 2.0 julkaistiin vuoden 2005 lopulla, eli kyseessä lienee kuutisen vuotta vanha koodi. En toki sano, että koodia pitäisi muuttaa, jos kerran toimii, mutta .NET 1.1 on kuitenkin ollut kohta kolme vuotta ilman mainstream-tukea. Koodi on VB.NETiä.

Koodia on kylläkin muokattu ainakin vuonna 2010 ja jotain salasanakenttiä on poistettu jne. Useita kommentteja tyyliin ei käytössä!?! [19.2.2010].

Jos en väärin käsitä, sivusto siis sallii kenen tahansa nähdä ja muokata lähettämiäsi tietoja, mukaanlukien yhteystietosi, ostoksesi ja ongelmasi. Kunhan vain arvaat ID-numeron, joka sivulla luodaan! Jos asia ei ole näin (voin tarkistaa vasta jos/kun korjaavat sivun, mutta salasanaa ei käyttäjille toimiteta, vain ID), toki saa kertoa. Jos näin on, voisi asiasta tehdä ilmoituksen tietosuojavaltuutetulle. ID-numero on kuitenkin vain muutaman numeron pitkä.

"Alla oleva ei ehdi näkyä, ks. Redirect kohta..."

"PIPARIA NASSUUN!"

"tämä on oikeaa asiaa..."

"salaus-toimintaa laajennetaan...
odottaa saavansa numeerista syötettä
20.5.2009 pohjana Muunna_Yht_Syy
idea: täällä rakennetaan ViewState("SalausTila"), jota
hyödynnetään ShowOrNotissa

Että näin. Mieluusti kuulisin Kuluttajavirastosta selvityksen kuka on sivuston tehnyt ja ottaisivat välittömästi pois moisen viritelmän. Sivustot kun voi kääntää etukäteen, jolloin virheetkin näkyisivät, eikä tarvitsisi ihmetellä palvelimella vasta virheitä. Ja vinkki: <customErrors mode="RemoteOnly" /> on ystäväsi.

HUOM! Olen toki tiedottanut Kuluttajavirastoa tästä asiasta jo eilen. En myöskään löytänyt tuosta koodista mitään sellaista, jolla voisi erityisesti vahingoittaa palvelun toimintaa, saati murtautua sinne, enkä todellakaan suosittele ketään yrittämään! Jos tiedoissa olisi ollut jotain selkeitä reikiä, en olisi tästä kirjoittanut ennen asian korjaantumista.