Программисты по уэбу
Вчера приходил «специалист», обучал работе с системой… не важно какой. Суть: интранетовский сайт с кучей форм. Рассказываю об особо ярких моментах.
Форма с тремя кнопками: "Отклонить", "Принять", "Запомнить". При работе нужно ввести данные о детали, потом нажать кнопку "Запомнить" и только после этого — "Принять".
— А если убрать пятое колесо и оставить только первые две кнопки?
— Это сложно.
— ?!
— Так говорит наш программист по вэбу.
— Где этот программист?
— В отпуске.
Устал, бедолага, ведь такие формы не каждый сделает.
При каждом заходе на сайт я должен лицезреть анимированный gif весом в полтора метра и ссылку «ВХОД», на которую (под впечатлением мультипликации) очень сложно натравить мышь. Можно было бы сделать закладку на следующую страницу, но без авторизации туда не попасть.
Это всё мелочи по сравнению с безопасностью.
- Изменив после своей авторизации значение ID в URL, я могу закосить под другого пользователя системы;
- Login: idn, Password: idn (мои инициалы);
- Доступ к полному списку пользователей системы открыт для всех.
Да-да, в этом списке есть Ф.И.О. пользователей. Дефолтный пароль меняли девятнадцать человек из шестиста. Буду двадцатым.
PS. Я бы к ним в «программисты по вэбу» пошёл, да боюсь. А вдруг не справлюсь?
Categories: PHP | comments: (0)