12:57
20/11/2017

Dostęp do nowych projektów dużej firmy można dostać całkowicie przypadkowo. Przekonał się o tym nasz Czytelnik, który kilkakrotnie zgłaszał taką pomyłkę Nowej Erze i mimo to miał dostęp do bazy nieprzeznaczonej dla niego.

“Czemu ja mam to załatwiać?”

20 października jeden z naszych Czytelników nieoczekiwanie otrzymał dostęp do repozytorium firmy Nowa Era. To repozytorium było współdzielone w ramach usługi BitBucket. Nasz Czytelnik nawet nie chciał grzebać w tajemnicach znanego wydawnictwa, więc postanowił skontaktować się z pracownikami firmy by odebrano mu dostęp. Niestety, do poniedziałku 23 października nic w sprawie nie drgnęło. Podobnie było we wtorek, 24 października. Wreszcie Czytelnik napisał do nas licząc na to, że my coś wskóramy.

Poniżej rozmowa naszego Czytelnika z jednym z pracowników Nowej Ery. Jak widzicie, tylko jednej stronie naprawdę zależało na załatwieniu sprawy.

Procedura odbierania dostępów przeciągnęła się do całego tygodnia, ale dlaczego ta sytuacja w ogóle wystąpiła?

Winny BitBucket i jego podpowiedzi

Spytaliśmy o tę sprawę Nową Erę. Odpowiedziała nam Ewa Tomaszewicz, specjalistka ds. komunikacji online.

Pomyłka była efektem błędu ludzkiego. Bitbucket podpowiada użytkowników, korzystając z całej swojej bazy. W efekcie repozytorium zostało omyłkowo udostępnione osobie o tym samym imieniu i nazwisku co nasz pracownik. Jeśli mogę coś podpowiedzieć, być może warto by było, abyście Państwo skontaktowali się w tej sprawie również firmą Atlassian, właścicielem Bitbucketa. W świetle obecnych regulacji (m.in. GIODO) niepokojące jest, że każdy ma dostęp do danych wszystkich użytkownków.

Po tym zdarzeniu Nowa Era dokonała przeglądu użytkowników i uprawnień do wszystkich repozytoriów. Zmieniono też procedurę zakładania kont deweloperskich. Wydawnictwo twierdzi, że tylko do jednego repozytorium przyznano dostęp omyłkowo. Samo repozytorium miało być puste, bo projekt dopiero startował.

Tylko dlaczego tak długo trwało odbieranie dostępu?

Czas reakcji związany był z nieprecyzyjnością zgłoszenia i nieporozumieniem związanym z tym, że osoba zgłaszająca nosi to samo imię i nazwisko co pracownik Nowej Ery – odpowiedziała przedstawicielka wydawnictwa.

BitBucket i jego baza użytkowników

Przyznamy, że nie mieliśmy dotąd przyjemności z BitBucketem. Sprawdziliśmy jak działa usługa i rzeczywiście – formularz wysyłania zaproszeń do repozytoriów “podpowiada” kogo można zaprosić.

Taka funkcja może nie tylko prowadzić do omyłkowego przyznania dostępu. Umożliwia również sprawdzenie, czy jakaś konkretna osoba korzysta z BitBucketa (przy czym wyszukać tę osobę można nie tylko po nazwisku, ale także wpisując fragment e-mail lub tylko fragment adresu).

W ustawieniach BitBucketa jest opcja “profil prywatny”, ale ona tylko ogranicza widoczność danych w profilu. Z naszych prób wynika, że profile prywatne są tak samo “wyszukiwalne” jak te nieprywatne.

O komentarz w tej sprawie poprosiliśmy również firmę Atlassian, która rozwija BitBucket. Niestety jedyna opcja kontaktu z biurem prasowym to formularz kontaktowy na stronie. Pytania wysłaliśmy i czekamy. Zaktualizujemy ten tekst kiedy/jeśli dostaniemy odpowiedź.

Udostępnili mi repo. Mogę szperać?

Na koniec warto krótko wspomnieć o kwestii prawnej. Art. 267 Kodeksu karnego przewiduje karanie tego, 

“kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie”

Czy w takim razie nasz Czytelnik narażał się na odpowiedzialność, zaglądając do udostępnionego mu repozytorium?

Akurat w jego przypadku trudno mówić o omijaniu jakichkolwiek zabezpieczeń. Logował się do BitBucketa na swoje konto i z jego poziomu miał dostęp do repozytorium. Niemniej nasi Czytelnicy często się zastanawiają, czy mają prawo zajrzeć do bazy danych jeśli np. ktoś nieostrożnie ujawnił hasło lub można się tego hasła domyślić. O tym napiszemy więcej w innym tekście.

Z tego incydentu morał jest tak, że trzeba dbać nie tylko o to aby bezpiecznie pisać kod, ale również zwrócić uwagę na to, jak wygląda dostęp do środowisk developerskich. Bo nawet superbezpieczny kod może zostać podejrzany, jeśli po prostu damy komuś przypadkowemu dostęp do repozytorium…

PS. Przez pomyłkę można także dodać kogoś do konwersacji na Signalu. Wystarczy kliknąć a nie “scrollnąć” podczas przewijania telefonicznej listy kontaktowej w celu poszukiwania osób do dodania do pokoju. Znamy problem z autopsji. Signal nie pokazuje wyraźnie kto jest “w pokoju” (na aplikacji desktopowej na starcie widać tylko numery telefonów). Na szczęście, w własnej książce kontaktowej zazwyczaj mamy dane znajomych. Choć zdarza się, że i konkurencji — więc uważajcie i jak macie “pokoje” na Signalu, sprawdźcie, kto w nich siedzi ;)


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

68 komentarzy

Dodaj komentarz
  1. Litrówka:

    “ale ona tylko ogranicza ona widoczność danych w profilu.”

    • To nawet trzylitrówka. Trzeba mocne głowy ;)

  2. Z dwa tygodnie temu miałem podobną sytuację, gdzie na koncie założonego na firmowego e-maila dostałem dostęp do jakiegoś projektu. Nie trzeba było się długo zastanawiać, że było to przypadkowe i nie zrobił tego żaden z naszych klientów. Z ciekawości zajrzałem do kodu, ale nie było tam nic ciekawego, więc… (tu podpowiedź dla czytelnika który miał opisywany problem) odwołałem swojemu userowi prawa dostępu do tego repo, co można zrobić np. na jego stronie głównej (Overview).

  3. Pozazdrościć pracowników takich jak rozmówca. Nie do pomyślenia, że pracownik ma centralnie w czterech literach bezpieczeństwo w swojej firmie, bo wielmożne panisko jest na urlopie. No ludzie, to nawet śmieszne nie jest.
    Urlop czy nie, to jest taka sprawa, że wystarczy zadzwonić do jednej osoby i przekazać prośbę o sprawdzenie uprawnień. Jeden telefon, maksymalnie 5-10 minut.
    Błąd w komunikacji? Nieporozumienie? Bo łoś miał od początku wszystko w nosie.

    Brawo dla osoby, która to zgłosiła.

    • Sorry ale nie kazdy utozsamia sie tak z firma w ktorej pracuje. Sztuka jest rozdzielic zycie prywatne od sluzbowego. Jak masz urlop to myslisz o pracy? Jezeli tak to mocno wspolczuje. Zycie jest zbyt krotkie zeby przejmowac sie takimi bzdetami. Ja osobiscie korzystam w pelni z dnia wolnego i urlopu. A dobro firmy w ktorej pracuje mam gleboko w dupie. Nie moja firma, nie moje pieniadze.

    • placa mu za jego prace

      o ile nie jest w zarzadzie czy na podobnym stanowisku to zdecydowanie zdrowe podejscie

      to jest jego czas wolny ktory wykorzystuje na odpoczynek a nie naprawe kulejacego bezpieczenstwa w firmie

    • @Lukasz

      Wlasnie pieknie pokazales roznice pomiedzy profesjonalista a amatorem.

    • Lukasz && mr_ty
      Czytam Wasze wypowiedzi i zastanawiam się, czy Wy tak na poważnie?
      Jak zobaczycie złodzieja, który wynosi z firmy laptopa kolegi, to też nie zareagujecie, bo: nie moja firma, nie mój laptop, nie moje pieniądze a ja nie ochroniarz??
      Albo ciekaw jestem, co byście zrobili w opisywanym ostatnio przypadku płatności: soorry panie kerownik, weekend jest. Poprawie w poniedziałek.
      Pomijam już nawet to, że niby na urlopie, ale na pitolenie że nooonieeemooożliiiiweeee ma czas, ale przekazać info komu trzeba to ewentualnie ostatecznie jak się go kopnie i pogrozi to łaskawie przekaże.
      Tak, rozdzielanie czasu prywatnego, urlopu itp od czasu pracy jest istotne. Tylko że to nie jest kopanie rowów od 8:00 do 16:00. I czym innym jest planowe pracowanie w czasie prywatnym, bo się chce, bo pracodawca każe, bo co innego, a czym innym zaledwie przekazanie informacji do firmy o fuckupie, o którym ktoś akurat nas poinformował.

    • Zachowanie zgłaszającego problem jednak trochę absurdalne. Jak mam sprawę do powiedzmy firmy, w której mam ubezpieczenie zdrowotne (a często mam:), to do do nich dzwonię albo piszę przez fanpage, a nie do mojej koleżanki, która tam pracuje, a już na pewno nie do obcej osoby stamtąd, która mi wyskoczyła mi w Google. Widać, że zaczepiony gość chyba nie bardzo wie, z kim rozmawia – czy z kumplem z firmy, czy z kimś innym – i stąd jego zdziwienie, że mu każą coś zgłaszać.

    • ale wy tak serio? nie chciałbym być klientem waszych firm. nikt nie wymagal od gościa jakiejś wyjątkowo długiej pracy. ot, sms do admina “ty, gość twierdził ze ma dostep do naszego repo na bitbuckecie mimo że nie powinien, sprawdź to” i tyle. o tajności danych z pracy też pamietasz tylko 8-16 a poza tymi godzinami i w czasie urlopu opowiadasz wszystkim dookoła informacje służbowe? to chyba normalen podejście rzetelnego pracownika, a nie polskiego cebularza

    • W większych firmach jest zakaz kontaktu z pracownikiem, który jest na urlopie 2 tygodniowym. Zakaz również dotyczy tego pracownika.

    • Pracownik trochę dał ciała, ale firma też. Wystarczyło wyznaczyć zastępstwo, kogoś, do kogo skrzynki będą forwardowane wiadomości, czy dodać kogoś w roli admina. I tyle. Inaczej będzie drugi adweb.

    • Wy tak serio ?!

      Człowiek był na URLOPIE! A tu mu ktoś duszę zawraca i to jeszcze na Messengerze o jakieś firmowe sprawy. Ja sam bym gościa spławił na drzewo, czyt. do firmy i tyle.

      Jak np. kupujecie coś w sklepie online czy załatwiacie inną sprawę to też nie kontaktujecie się przez infolinię czy stronę z firmą tylko wyszukujecie sobie losowego pracownika na fejsie i jemu wyłuszczacie szczegóły?

    • Już bardziej można by to porównać do sytuacji, w którejś ktoś dzwoni do Ciebie i mówi, że ktoś komuś kradnie laptopa na drugim końcu miasta. Też rzucałbyś wszystko i jechał, bo to w końcu Twoje miasto?

      Takie rzeczy powinno się zgłaszać oficjalnie do firmy –- i tam to powinno być potraktowane z najwyższym priorytetem, a nie zgłoszenie do losowego pracownika.

    • Kiedyś siedzę po robocie w domu w wannie. Herbatka, kanapki, fajka i nagle telefon od wiceprezesa.
      “Waldek, był pożar w firmie.”
      No i co? Krótka piłka – “będę za 30min.”
      Szybkie suszenie, auto i rura!

      Nie mogłem zareagować inaczej, b inaczej musiałbym zbić wszystkie lustra w domu. :/

  4. Zgłaszałem już kwestię enumeracji użytkowników do Atlassiana kilka miesięcy temu – dostałem odpowiedź taką, że to nie jest błąd i takie jest założenie systemu – staram się odgrzebać maila.

    • I oto odpowiedź:

      16/May/16 4:09 PM

      Hi Piotr,

      The information you are retrieving is not sensitive. All the information listed on that page is also available by simply visiting the profile page of any of those users.

    • Wow!

    • Niestety, dawno temu prawie się naciąłem — i to tworząc dostępy dla stażystów. BitBucket niestety z tym nic nie zrobi, wiecie — tak jak repo na githubie są publiczne tak wprowadzenie ograniczenia byłoby pewnym problemem dla tego rodzaju projektów, jak sądzę.
      Bezpiecznym rozwiązaniem wydaje się dostęp grupowy, zamiast osobistych.

  5. Warto mieć konto na bitbuckecie ;-)

  6. Wydaje mi się (przynajmniej u mnie w firmie tak jest), że przy podpowiadajce wyświetlają się tagi “teammate” jeśli ktoś jest w twojej organizacji. Warunkiem jest chyba to, żeby jego konto w bitbuckecie było dopięte odpowiednio do organizacji. Wtedy tylko trzeba uważać, żeby nie kliknąć kogoś kto nie jest twoim teammate. Ale problem istnieje, zawsze klik może się omsknąć i kłopot.

  7. Mam tak samo. Konto na BB, czasem wpadają przyznania uprawnień “od czapy”.

    Najgorsze, że nie ma guzika “wyślij wiadomość do właściciela repo” i jak kontaktu nie ma gdzieś w treści kodu, to nawet nie ma jak powiadomić właściciela kodu o wpadce.

    • Trzeba zrobić commit do takiego repo z odpowiednim komentarzem ;D

  8. …że jeszcze nie ma jakiegoś automatu który by skanował display name’y użytkowników i dodawać takich samych/podobnych w celu wprowadzenia kogoś w błąd? A nuż się uda kogoś złowić na name-phishing… Podobna historia była kiedyś z zainfekowanymi pakietami npm – łowili przez drobną literówkę w nazwie.

    Jak dla mnie spore security issue w bitbuckecie. Nie wiem czy firmy, które z tego korzystają do końca sobie z tego zdają sprawę.

    • “że jeszcze nie ma jakiegoś automatu” – skąd ta pewność, może juz jest ;-) …a BBowi zależy (widać po sytuacji z Piotr 2017.11.20 13:15), by ta funkcjonalność chodziła.
      P.S. “Nikt nic nie musi, wszyscy moga co chcą” – jest to pewna realnaie istniejąca filozofia; pokutująca już gdzie-niegdzie różnymi problemami… Ech.

  9. To jest moment w którym warto zastanowić się nad postawieniem rzeczywiście prywatnego repozytorium, np. na GitLab-ie. Chyba że ktoś w ogóle nie posiada własnej infrastruktury i potrzebuje innych produktów Atlassian

  10. Produkty atlassiana rozwija w gdansku firma spartez.. moze oni moga pomoc.

    • Najlepszym sposobem jest kontakt przez oficjalne kanały komunikacji, a nie pokątnie przez firmę współpracującą z Atlassianem. Issue tracker dla Bitbucketa jest tutaj: https://bitbucket.org/site/master/issues

    • Firma Spartez nie jest uprawniona do komentowania decyzji produktowych Atlassiana, natomiast upewniliśmy się, że artykuł dotarł do zespołu prasowego w Atlassianie i ufamy że autor artykułu dostanie odpowiedź na zadane pytania.

  11. Dostaję masę takich przypadkowych dostępów, na co chyba wpływ ma fakt, że mam login “or” :P

  12. … podobnie jest w Slack.com

  13. A ja ciągle nie mogę zrozumieć faktu, że tyle firm/korpo trzyma “ważne rzeczy” na GitHubie, BitBuckecie, gitlab.com – często płaci za teamwork i opcje “pro”, zamiast wydać często tylko połowę tych pieniędzy na dedyka, zaszyfrować mu dyski, zainstalować GitLaba CE i mieć w nosie taką “propagację” danych osobowych.
    Ale najwyraźniej te projekty wcale nie są takie ważne. Jak to ktoś powiedział, światowe IQ jest stałe – tylko ludzi coraz więcej.

    • Dedyt to jest dodatkowy problem i koszt maintenance.
      Bardzo często zdecydowanie lepiej jest scodować odpowiedzialność na fewnętrzną firmę.

      Jeżeli myślisz inaczej, to ani dedyki, anie chmury nie mają sensu.

    • W firmie, w której współpracowałem jakiś czas temu, mają Bitbucketa hostowanego lokalnie. Baza użytkowników nie jest w żaden sposób wspólna, a uwierzytelnianie jest zrobione przez firmowego ldapa, więc problem dotyczy chyba tylko firm korzystających z “publicznego” Bitbucketa :)

  14. Możecie jechać po pracowniku, ale wbijanie się do randomowego pracownika na urlopie i wymaganie od niego by:
    po pierwsze – wiedział kto się do niego dobija
    po drugie – jeśli zna imię i nazwisko, odróżnił randomowego użytkownika od kolegi z pracy
    po trzecie – by natychmiast coś zrobił w sytuacji, w której (jeśli firma jest zdrowa) od dwóch tygodni nie bardzo wie co się dzieje
    po czwarte (i bodaj najważniejsze) – reagował na polecenia i wierzył na słowo randomowego użytkownika,
    jest oczekiwaniem nieco na wyrost, nieprawdaż?

    Wasz czytelnik, mimo że reagował uczciwie, to uprzejmością niestety nie grzeszy.
    No cóż, jak to mówią, nobody is perfect.

    • Thanks!

    • +1

  15. Co ciekawe wyszukiwanie użytkowników na Gitlabie działa podobnie, tzn. można wyszukać użytkowników z całego katalogu na podstawie nazwy konta, ale prawdopobnie również za pomocą adres e-mail. Wygląda na to, że tak to “ma działać” ;-)

    • Faktycznie github ma tak samo. Co ciekawe informacje te nie są dostępne przez publiczne API. Trochę rozdwojenie jaźni?

  16. “Tylko dlaczego tak długo trwało odbieranie dostępu?”

    — odpowiedź jest niezwykle prosta, jeśli pracujesz w szkole i zamawiasz u nich podręczniki dla dzieciaków, doskonale wiesz jak działa całe ich zaplecze. Przy próbie kontaktu, człowiek szybko dochodzi do prostego wniosku, że za całą wielką obsługę odpowiada góra trzech pracowników i stąd jest tak woooooolno… Książki mają fajne, ale bez wątpienia przydał by im się poradnik dotyczący sprawnego supportu.

  17. Tak jak Kamil już napisał: Gitlab robi dokładnie to samo co bitbucket. Ładuje w podpowiedziach wszystko i wszyskich i czasem b. ciężko było znaleźć właściwą osobę (stąd chyba te losowe avatary przy osobach). Dla mnie kompletny bez sens, szczególnie że na gitlabie można mieć tak jak na bitbucket za free prywatne repo (i sytuacja jest taka sama).

  18. jakby ktos wynosil laptopa kolegi z firmy to oczywiscie mozna zareagowac ale jak wynioslby laptopa szefa to nie warto, chocby dlatego ze wszyscy doskonale wiedza ze firmy prywatne w Polsce maja cholernie podle ‘rodowody’.

    • Aż tak ci do poprzedniego ustroju tęskno? Przedsiębiorca uczciwie prowadzący działalność zarejestrowaną w PL, opłacający tu przecież podatki i wydający 300% twojego wynagrodzenia, by cię zatrudnić (co ja poradzę, tą trzyliterową piramidę finansową ktoś finansować musi :/) i jeszcze tak się o nim wyrażać?

  19. W Trello dokładnie taka sama zasada dodawania osób do tablicy. Beware!

  20. Jestem użytkownikiem bitbucket nie od dziś. To nie wina samego bitbucketa, nikt o zdrowych zmysłach nie wyszukuje po imieniu i nazwisku (Janów Kowalskich może być miliony), tylko po unikalnym nicku przypisanym do danego konta.

    • Jak widac nie masz racji ;)

    • Może mieć rację – przy założeniu, że zarówno pracownicy Nowej Ery, jak i Niebezpiecznika, nie są osobami ‘o zdrowych zmysłach’.

  21. “Bitbucket podpowiada użytkowników, korzystając z całej swojej bazy. W efekcie repozytorium zostało omyłkowo udostępnione osobie o tym samym imieniu i nazwisku co nasz pracownik”
    haha o kurwa

  22. “Niemniej nasi Czytelnicy często się zastanawiają, czy mają prawo zajrzeć do bazy danych jeśli np. ktoś nieostrożnie ujawnił hasło lub można się tego hasła domyślić. O tym napiszemy więcej w innym tekście.”

    Czekam w takim razie, bo to rzeczywiście interesujące.

    • A co tu jest interesującego? Wszak analogiczne problemy to:

      – komuś wypadły z kieszeni klucze do mieszkania, znasz adres – masz prawo wejść?

      – ktoś w fastfoodzie odszedł na moment od stolika bo chce coś domówić – masz prawo się napić z jego kubka?

      – ktoś nie zamknął samochodu (albo mu się sam otworzył, bo głupi komputer) – masz prawo sobie wsiąść?

      W każdym przypadku oraz w naszym głównym problemie odpowiedź jest jedna – masz prawo najwyżej poinformować właściciela o problemie, ale na pewno nie korzystać z dobrodziejstw. To po prostu nie jest twoje, tu nie trzeba całego felietonu tylko zdrowy rozum i odrobina empatii.

      Chociaż gdy padają tak trywialne pytania to może jednak być sygnał, że najwyższa pora na bardzo obszerny felieton.

    • @Borek
      niekoniecznie — to bardziej sytuacja typu podchodzi ktoś na ulicy i daje ci kluczyki z informacją — oto nasze firmowe auto, rób z nim co chcesz.
      Co w sytuacji gdy ktoś bierze udział w masie projektów Open Source? Ma kontrolować do czego mu dają dostęp? Jak głęboko, jak daleko?
      Wybacz ale zaproszenie oznacza NADANIE UPRAWNIEŃ. Jeśli ktoś robi to niedbale, to jego błąd. Nie można mówić o przełamaniu zabezpieczeń, ani o niecnym wykorzystaniu tego że są rozbrojone.

    • W świecie informatycznym to tak prosto nie działa. Kiedyś SN w obfitym wyroku jednoznacznie stwierdził, że “nie można przełamać czegoś, co nie istnieje”. Sytuacja udostępnienia repo osobie z zewnątrz naraża co najwyżej udostępniającego, na odpowiedzialność służbową z tytułu naruszenia tajemnicy służbowej, o ile oczywiście pracownik podpisywał NDA bądź przewiduje taką tajemnicę jego umowa.

    • @ Borek
      1. tak, mam prawo wejść. Muszę tylko wyjść, gdy zostanę wyproszony przez uprawnioną osobę.
      2. nie, bo to kradzież, z uwagi na niską wartość zabranego mienia stanowiąca wykroczenie a nie przestępstwo,
      3. tak, mam prawo wejść, bylebym tego samochodu nie zabrał i nie zaczął używać.
      Oczywiście powyższe odpowiedzi dotyczą tylko kwestii karnych (bo o tych mowa w artykule), cywilne zostawiam z boku.

      I słowo podsumowania – jak ja uwielbiam, jak laik zaczyna się wypowiadać w kwestiach prawnych :D Masz chłopie rozwinięte poczucie uczciwości i sprawiedliwości? Good for you and for all the people in the world! Tylko z łaski swojej nie opowiadaj bajek ludziom, którzy pytają, jakie jest prawo, bo jeszcze ci uwierzą, zrobią coś głupiego i będą mieć problemy…

  23. Czyli skontaktowaliście się z kimś na urlopie, kto być może był na jakichś hawajach albo bieszczadach, być może był nawet pijany (wolno mu – przecież jest na urlopie!) i macie pretensje do człowieka. Też mi sensacja.

    • Raczej czytal tak samo dokladnie jak ty :)

  24. Na Githubie jest podobna akcja, jeżeli ktoś ma nawyk podawania czyichś nickname z małpą z przodu i zrobi to w komentarzach do kodu to system automatycznie podepnie usera z taką nazwą konta. I nie ważne, że osoba o którą Ci chodziło w ogóle nie ma tam konta.

    • Miałem tak kiedyś na GitLabe. Miałem nazwe usera, która była moim imieniem. Dostawałem powiadomienia o zmianach w issues za każdym razem, jak ktoś mnie oznaczał (mimo, ze nie chodziło mu o mnie).
      Dostępu do repo i samego kodu chyba nie dostawałem, nie sprawdzałem tego w sumie

  25. Spoko spoko, ale zgłaszający też nie musiał być takim dupkiem. U adresata pojawił się odruch obronny.

  26. > Po tym zdarzeniu Nowa Era dokonała przeglądu użytkowników i uprawnień do wszystkich naszych repozytoriów.

    To Wy chyba też macie dość solidny problem :D

  27. Nie rozumiem, po co ta cała gowno burza w komentarzach. Każdy z delikwentow zareagowal zgodnie ze swoim sumieniem. Ciekaw jestem, jak wszyscy komentujący by się zachowali w takiej sytuacji. Teoretyzowac sobie można, ale dopiero życie by zweryfikowalo, co kto by zrobił na miejscu każdego z nich.
    Osobiście popieram każdą formę uczciwości i życzę każdemu, żeby w razie podobnych problemów zawsze znalazł się ktoś, jak Czytelnik, który wskaże błąd lub pomyłkę. Co z tym zrobicie, to już Wasza sprawa.
    Pozdrawiam

    • Po pierwsze urlop przede wszystkim polega na tym, że nie odbierasz telefonów i poczty. Bez tego to nie urlop tylko większa odległość od firmy w danym momencie. Ale jak ktoś lubi chodzić na korposzczurzej smyczy to jego problem.
      Po drugie zgłaszający mógł nie używać tego repo a na ew. powiadomienia nałożyć sobie filtr – czyjś problem z kontrolą dostępu to nie jego problem. A odbierający zgłoszenie zamiast się pieklić lub w ogóle odpisywać mógł tylko odbić powiadomienie do właściwej osoby w firmie i też się nie żołądkować czymś, co go nie dotyczy.

  28. @Lukasz032:
    Widzisz wlasnie w tym jest problem ze biznesy w Polsce sie wywodza z poprzedniego systemu, wszyscy sie przyzwyczaili ze robia swietne interesy kosztem reszty spoleczenstwa (i jeszcze temu spoleczenstwu stara sie szkodzic) wiec nie wyjezdzaj mi tu z 300% pensji bo to ze ktos korzysta z pracy innego czlowieka i jego czasu zeby krecic swoj biznes jest wlasnie okupione kosztem ktory w normalnych krajach jest rozumiany, tylko elity komunistyczne i postkomunistyczne przyzwyczajone do swojej systemowej bezczelnosci i wyzysku to uwiera. Zreszta polityka jednej odpowiedzi obowiazujaca na niebezpieczniku sama za siebie mowi.

  29. Pushnąć z forcem puste repo to na pewno zauważą :D

  30. Lol, pojawiło się na Security SE: https://security.stackexchange.com/q/174082/108649

  31. Odpowiedzi pracownika jak najbardziej poprawne – “jestem na urlopie od 2 tygodni, czy to jest pilne?”. A ten obdarowany dostępem to jakaś buraczyna, która pewnie “ja tylko na minutkę zablokowałem ci samochód, bo ja mam tutaj NA PRAWDĘ PILNĄ sprawę do załatwienia”. Ot, kompleksy – na codzień nikt się z znim nie liczy, a tutaj mógł przykozaczyć “załatw to natychmiast albo ci pokażę”.

  32. na githubie tak samo jest

  33. Nie no, zdejmijcie ten zrzut rozmowy, bo czytać smutno. Gdyby do mnie ktoś się tak zwracał, momentalnie zamknąłbym okno rozmowy. Człowiek z wydawnictwa i tak miał dużo cierpliwości.

  34. Czy hostowanie bitbucketa na prywatnym serwerze nie rozwiazaloby problemu? Mysle ze firma typu Nowa Era moze sobie pozwolic na taki wydatek…

Odpowiadasz na komentarz starejdatyadmin

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: