Nařízení vyloučení Lukáše Nového z TO

[Lukas.Novy]

Tak smazat pár desítek tisíc palců by snad dokázal leckdo znalý práce s mysql a struktury db fóra (přičemž to druhé lze v případě potřeby poměrně rychle dostudovat), ne?

Pokud se ti nezobrazuje stranka vubec, neni tak jednoduche prijit na to, cim to je.

Když je řečeno A, mělo by být řečeno i B, tj.
- jak dlouho jsi o těchto chybách věděl
- po jak dlouhé době od jejich zjištění jsi to oznámil vedoucímu TO
(a případně pokud jsi to zjistil v době, kdy jsi byl ještě vedoucím TO ty, proč jsi neprodleně neučinil kroky k nápravě)

CSRF je verejne znama od chvile, kdy se prestaly palce pouzivat na urcovani skupiny clenu.
Leakovani refereru je verejne zname od kauzy "hitler v avataru".
Zkombinovat leakovani referer, otevrene hlasovani a CSRF chybu me napadlo.

Na zkombinovani jsem prisel 1.9.2015 v 23.21. Nasledne jsem to konzuloval s Pandou (23.27, protoze sem ho mel nadrate a premyslel sem jak problem osetrit). Znalost a funkcnost exploitu Panda potvrdil (23.44). O chybe jsem plne informoval vedouciho TO vcetne reseni ve 23.56.

[Lukas.Novy]

S vyjimkou Samsona, ktery moc rypal a hrozilo, ze metodu utoku odhali verejnosti, o postupu nikdo nevedel. Samson dostal kuse informace.

Utok tak jak je popsany na podatelna-technickeho-odboru-f228/imple ... 30156.html nebyl nikdy provaden v realu, to co jsem delal bylo k odlakani pozornosti od skutecneho nebezpeci.

[Martin.Kucera]

Pokud se ti nezobrazuje stranka vubec, neni tak jednoduche prijit na to, cim to je.

Což ale přece zdaleka neznamená, že jsi ve straně jediný, kdo na to přijít dokáže.

CSRF je verejne znama od chvile, kdy se prestaly palce pouzivat na urcovani skupiny clenu.
Leakovani refereru je verejne zname od kauzy "hitler v avataru".

Neptal jsem se odkdy je to známé veřejně, ale odkdy o těch chybách víš ty.

[Lukas.Novy]

Na to jsem ti odpovedel, vim o tom od 1.9.2015 23.21.

[Robert.Magni]

Mohl bys mi sem do prvniho prispevku vlozit pad? Zadost mas zde:
podatelna-administrativniho-odboru-f227 ... 30140.html

A vyjadri se prosim i k memu podani o skupine clenu
podatelna-administrativniho-odboru-f227 ... 30153.html

a v neposledni rade i zadosti o zmenu volebnich zarizeni
podatelna-administrativniho-odboru-f227 ... 30138.html

Diky.

[Adam.Skorepa]

Protestuji proti editaci (mého) prvního příspěvku ve vlákně tohoto podnětu. Krtek se snaží jen účelově získat právo mi vpisovat do postu tvrzení, že veškeré mé výtky vůči němu uspokojivě vyvrátil. Což udělal jen a pouze ve své hlavě, ne tak už v myslích hlasujících.

I zbylé dva podněty se týkají Krtkovy obavy z toho, jak dopadne toto hlasování. Jsou to steny umírajícího admina, žádám o to, aby na ně nebyl brán zřetel. CF se jistě již brzy vyjádří dostatečně přesvědčivě ke Krtkovým přečinům vůči kolektivu.

V souvislosti s tím bych tedy rád požádal o brzké rozeslání tohoto podnětu, ať se posuneme vpřed (ono se to ke svolání dosune časem samo, ale já bych byl rád, aby i členové, kteří již vzdali chození na fórum, byli informování o té radostné novině, že se CF konečně vyjádří k dalšímu působení Krtka jako admina).

[Robert.Magni]

Ten pozadavek vychazi z vyhlasky AO o pravidlech internetoveho fora.

http://www.pirati.cz/ao/pravidla/forum

Pokud jde o dlouhou diskusi, kde se projednává nějaké téma, moderátor vloží pomocí tagu [piratenpad]název padu[/piratenpad] na začátek diskuse pad, do kterého se píše shrnutí diskuse a argumentů. Přitom v tématu vyzve diskutující, aby výsledky diskuse poznamenali do padu v prvním příspěvku.

[Robert.Magni]

Tak mne napada, jestli si pan senatorsky asistent nechce radeji lecit sve osobni mindraky, paranoie a traumata z detstvi spis nekde u odbornika, namisto toho, aby se jiz nekolik let vehementne snazil odradit aktvini a prinosne cleny od cinnosti ve strane, jelikoz je jeho chora mysl vyhodnocuje jakozto nebezpeci. Soucasny stav veci neni ani prinosem pro budouci ubirani strany, ani nic konstruktivniho neprinasi a neresi.

[Stanislav.Stipl]

Provedene ukoly od zalozeni podnetu, ktere by tezko nekdo jiny zvladl:
- Oprava "Viletova profilu" zpusobena abusem funkce palcovani uzivateli kachnicka a odin
- Nasazeni indexu pro palce, zrychleni fora o 60 %
- Znemozneni duplicitnich hlasu

To si delas srandu? Ve strane/odboru neni podle tebe nikdo, kdo by dokazal vymazat zaznamy z mysql tabulky nebo udelat indexy? Prazdna stranka je beznym projevem chyby v aplikacich v PHP a kazdy trouba nakonec odhali pricinu.
Zapomel jsi dodat, ze pri zmemozneni duplicitnich hlasu mohlo dojit ke zniceni dukazu ohledne kompromitovaneho hlasovani. Dale by me zajimalo, proc byl soubor .mysql_history smazan pretim, nez jsem dostal pristup.

- Oprava privacy leaku vkladanych obrazku na foru
- Oprava CSRF v palcovani.

O CSRF vis minimalne od 28.8.2014 a za celou dobu az do dneska jsi to nijak neresil. Zverejnit to nestaci, samo se to neopravi. Naopak jsi to znovu vytahnul ve chvili, kdy se provalila kompromitace tveho clenskeho podnetu. Nasledne jsi s tim 2 dny delal bordel, az pak jsi to zacal nejak resit.
edit: ja jsem se o csrf dozvedel az tento tyden (bohuzel nestiham sledovat vsechno, co se deje na foru)

[Martin.Kucera]

Na to jsem ti odpovedel, vim o tom od 1.9.2015 23.21.

Zase odpovídáš na jinou otázku. Neptal jsem se, odkdy víš o té kombinaci, ale odkdy víš o těch jednotlivých chybách, o nichž píšeš
"CSRF je verejne znama od chvile, kdy se prestaly palce pouzivat na urcovani skupiny clenu.
Leakovani refereru je verejne zname od kauzy "hitler v avataru"."
a o nichž jsi tedy musel vědět nejpozději od chvíle, kdy jsou veřejně známé (o těch palcích jsi zcela jistě věděl dřív, neb jsi jejich zneužitelnost demonstroval). A vzhledem k tomu, že to nejsou prkotiny ani samy o sobě, tak mě zajímá, kdy jsi existenci těchto chyb oznámil vedoucímu TO a zda jsi tehdy učinil nějaké kroky k jejich odstranění (tvoje povinnost to sice nebyla, tedy pokud jsi v té době nebyl vedoucím TO, nicméně furt se tady holedbáš tím, co všechno děláš pro zájmy strany, a opravy těchto chyb by rozhodně v zájmu strany byly).