О непорядочных людях. Обман разработчика скрипта.

[Удален]
32448
Приветствую всех.

В данном повествовании расскажу об одной "фирмочке" которая продает программный продукт и при этом в прямом слове обманывает покупателей.

Мною была приобретена лицензия продукта WebCAT Business http://wcat.biz для установки на сайт
Это скрипт каталога сайтов стоимостью 150 $ . Мною было приобретено две лицензии.
С самого начала в продукте было много глюков и авторы ежедневно его правили и модернизировали. Так продолжалось около 2 месяцев. Но ошибок и глюков от этого меньше не становилось.

9 февраля ко мне обратились "лица" и сообщили что имеют полный доступ как к админке каталога так и к БД на хостинге (реальные данные мне были высланы). Тоесть могут делать со мной что угодно. Взамен за информацию просили всего 100 б. я передал это все разработчика и попросил комментариев. Авторы категорически заявили что с безопасностью все нормально и что на "разводы" они не пойдут. Так продолжалось более 7 дней........

Я был вынужден оплатить 100 б за информацию (просили уже 250 но я больше отказался дать)
Дырка была просто "гениальная"

Если набрать строку http://www.****.ru/include/classified.inc.phtml то скачивался НИЧЕМ НЕ ЗАЩИЩЕННЫЙ файл со всеми паролями.
<?php
$Agent = "admin";
$PWAgent = "ad121";
$GV_site_prefix = "http://www.***.ru";
$GV_admin_email = "info@***.ru";
$License_key = "602bea35de7c0a85b90271dd48dfa48c";
$DB_host = "localhost";
$DB_name = "wcat";
$DB_user = "wcat";
$DB_pass = "fgkuweh";
?>


Я незамедлительно передал данную информацию разработчику и попросил возместить мне мои расходы в размере 100 б

Вместо каких либо благодарностей меня обвинили в вымогательстве , компенсировать какие либо суммы отказались и объявили мне что лишают меня техподдержки. все это особо весело учитывая то что скрипт под зендом. Тоесть меня оставили с глючным и только частично работающим скриптом без техподержки.

Какие либо переговоры с этими "умельцами" вести дальше не получилось так как они отказались от диалога

Мои потери : 270 $ две лицензии , 100 $ оплата инфы о дырке , 300 $ дизайнеру за дизайн каталогов и 400-600 $ вложенных в раскрутку и рекламу. Про свой труд я молчу...........

В связи с выше изложенным я принял единственно правильное решение - обеспечить данным бездарям хороший черный пиар.

За любые советы и предложения как решить данную ситуацию или наказать програмеров с кривыми руками буду благодарен

ЗЫ. По поводу правового вопроса. Данные товарищи нарушили статью 18,1 ЗоЗПП
К сожалению данные бездари находятся в Калининграде (накладно решать вопросы там но есть варианты), были бы в Москве............ порвал бы как грелку(фирма просто бы перестала существовать)

ЗЫ ЗЫ Написал небольшой сайтик с расказом о данной ситуации http://www.webcat.net.ru

Вот пример того как с помощью добытых паролей я изменил информацию на чужом сайте
http://www.webcat.net.ru/11487.jpg
http://www.webcat.net.ru/12345.jpg

Очень надеюсь что данным лицам больше не удастся продавать свой недоработанный продукт на территории России

С уважением ко всем, Дмитрий
ICQ : 65-82-65
495 - 747-77-11
V
На сайте с 25.02.2003
Offline
176
#1
DM.:
Вот пример того как с помощью добытых паролей я изменил информацию на чужом сайте

вот за это есть статья, которая грозит Вам, а не разработчикам того софта, так что советую убрать.

Про софт - на Вашем сайте скорее всего не настроен обработчик для расширения phtml и авторы скрипта если и виноваты, то наравне с Вами(или Вашим админом)

Работа в интернет, реальная оплата, не партнерка (http://www.vjazanie.ru/job.php)
[Удален]
#2
Про софт - на Вашем сайте скорее всего не настроен обработчик для расширения phtml и авторы скрипта если и виноваты, то наравне с Вами(или Вашим админом)
Простите но не настроена элементарная защита паролей (была не настроена)
В чем может быть вина пользователя продукта ? По пунктам плиз !!!
Есть лицензионное соглашение , если я буду что то править то лишаюсь гарантии на продукт. И разве не авторы ОБЯЗАНЫ контролировать безопасность своего продукта ?
V
На сайте с 25.02.2003
Offline
176
#3

DM.,

в продукте ничего не надо было править.

Надо было исправить в настройках сервера, чтоб он не показывал исходный текст у phtml-файлов, а вызывал для них интерпретатор.

У большинства CMS систем пароли к БД хранятся в аналогичных файлах и никак не зашифрованы.

[Удален]
#4
Еще раз Вам поясняю. я покупал ГОТОВЫЙ продукт с полным функционалом. Тем не менее в продукте были обнаружены дыры и автор отказался их искать и устранять , а так же часть описанных при продаже функций просто не работает !!!!!!
V
На сайте с 25.02.2003
Offline
176
#5

DM.,

Вы можете еще раз 100 повторить, но эти повторения пока говорят о том, что Вы не понимаете сути проблемы с безопасностью.

Хостинг Вам тоже эти же разработчики предоставили?

Если да, то тут Вы правы - они виноваты.

Если хостинг не их, то указанные настройки сервера, а не "готового продукта" должны были произвести Вы или Ваш администратор.

Вы наверное заметили, что я не говорю про остальное - ошибки в функционале и плохую техподдержку.

ЗЫ

Судя по ссылочке

http://www.yandex.ru/yandsearch?ras=1&date=&text=747+77+11&spcctx=phrase&zone=all&linkto=&wordforms=all&lang=all&within=0&from_day=&from_month=&from_year=&to_day=21&to_month=2&to_year=2006&mime=all&Link=&rstr=&site=&numdoc=10&ds=

Вас "любят" и видимо есть за что :)

давайте стараться конструктивно подходить к диалогу - я не защищаю разработчиков, но и Вас тоже не защищаю

Z
На сайте с 08.12.2005
Offline
229
#6

DM.,

Если Вы настраивали и устанавливали скрипт на своем сервере сами, то это ИМХО - Ваша ошибка!!!

[Удален]
#7
Zpro:
DM.,
Если Вы настраивали и устанавливали скрипт на своем сервере сами, то это ИМХО - Ваша ошибка!!!
1. Скрипт не настраивается. Нечнего там настраивать вообще . Тем более он полностью под зендом
2. Автор имел круглосуточный доступ как в админку так и на фтп где ЕЖЕДНЕВНО и проводил работы по глюкам продукта
vjazanie:
DM.,
Вы наверное заметили, что я не говорю про остальное - ошибки в функционале и плохую техподдержку.
1. Я говорю ТОЛЬКо про остальные ошибки
2. Я же не ищу и не показываю кто Вас и куда "любит" Ведите себя в данном вопросе корректней.......
M
На сайте с 12.05.2005
Offline
133
#8
DM.:
Если набрать строку http://www.****.ru/include/classified.inc.phtml то скачивался НИЧЕМ НЕ ЗАЩИЩЕННЫЙ файл со всеми паролями.

Это стандартное явление, просто такие файлы обычно размещают непосредственно в домашней директории, не доступной из WEB, в крайнем случае закрывают каталог от всех .htaccess-ом, а про глюки Вы правы, если два месяца латали скрипты значит каталог не стоит заплаченных денег, но боюсь свою правоту Вы не докажите.

Тем, более что я прошел 20 каталогов с таким же скриптом и нашел только 2 каталога с такой же дырой, на остальных 403 ошибка, что и должно быть.

Антон Лавеев
На сайте с 31.10.2005
Offline
425
#9
vjazanie:
Про софт - на Вашем сайте скорее всего не настроен обработчик для расширения phtml и авторы скрипта если и виноваты, то наравне с Вами(или Вашим админом)

Это верно. Единственное что хотелось бы уточнить. Не указано ли это в руководстве пользователя? Если там нет ничего, относительно настройки правв доступа, а так же настройки сервера на обработку phtml (что за дурь, кстати), то авторы ПЛАТНОГО продукта - виноваты. Если же эти моменты освещены в руководстве, то виноват автор темы. Такие дыры постоянно возникают, просто одно дело когда продукт поставляется "as is", но не в этом случае.

☠️☠️☠️
iГоша
На сайте с 12.10.2004
Offline
51
#10
DM.:

Вот пример того как с помощью добытых паролей я изменил информацию на чужом сайте
http://www.webcat.net.ru/11487.jpg
http://www.webcat.net.ru/12345.jpg

DM, Ваши эмоции понятны, но уголовный кодекс полезно чтить. Задумайтесь об этом.

Статья 272. Неправомерный доступ к компьютерной информации

1. Неправомерный доступ к охраняемой законом компьютерной информации,

то есть информации на машинном носителе, в электронно-вычислительной машине

(ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование,

модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ

или их сети, -

наказывается штрафом в размере от двухсот до пятисот минимальных размеров

оплаты труда или в размере заработной платы или иного дохода осужденного за

период от двух до пяти месяцев, либо исправительными работами на срок от шести

месяцев до одного года, либо лишением свободы на срок до двух лет.

2. То же деяние, совершенное группой лиц по предварительному сговору

или организованной группой либо лицом с использованием своего служебного положения,

а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, -

наказывается штрафом в размере от пятисот до восьмисот минимальных размеров

оплаты труда или в размере заработной платы или иного дохода осужденного за

период от пяти до восьми месяцев, либо исправительными работами на срок от

одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо

лишением свободы на срок до пяти лет.

Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети

1. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети лицом,

имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование

или модификацию охраняемой законом информации ЭВМ, если это деяние причинило

существенный вред, -

наказывается лишением права занимать определенные должности или заниматься

определенной деятельностью на срок до пяти лет, либо обязательными работами

на срок от ста восьмидесяти до двухсот сорока часов, либо ограничением свободы

на срок до двух лет.

2. То же деяние, повлекшее по неосторожности тяжкие последствия, -

наказывается лишением свободы на срок до четырех лет.

С уважением, iГоша

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий