Forum eDziecko edziecko Książki dziecięce, młodzieżowe
ZMIEŃ
    Dodaj do ulubionych

    Wklejanie linków do Merlina - wazne!!!

    28.05.08, 14:54
    Własnie jedna z koleżanek zwrócila mi uwage, że weszła w mój link do
    ksiązki z merlina i widzi cala zawartośc mojego koszyka i w ogóle
    moje imie i nazwisko etc.

    ja nie za bardzo dowierzałam, ale to samo stało sie gdy weszłam w
    link merlinowy z watku jednej z mam z ostatnich postów (nie pisze
    nicka świdomie).

    Trzeba by to chyba do merlina zgłosic, szwankuje ich polityka
    prywatności - acha, wcale nie tzreba byc zalogowanym aby we
    wklejonym linku zostały przekazane Wasze osobiste dane :(
    Obserwuj wątek
      • lunatica Noo... 28.05.08, 14:59
        ...albo trzeba pamiętać, żeby wklejać linki z Merlina, kiedy się jest
        wylogowanym, a nie ze swojego konta.
        • pa_yo Re: Noo... 28.05.08, 16:38
          ano widzisz nie jestem zalogowana, komputer rozpoznaje mnie
          automatycznie i nie pozwala zrobic zakupów etc. temu kto otowrzy
          taki link, ale kosztyk i nazwisko widac...
      • i2h2 Re: Wklejanie linków do Merlina - wazne!!! 28.05.08, 16:01
        Dajcie mi linki na gazetową pocztę, to wygaszę te wypowiedzi, w
        których to szwankuje.
      • i2h2 KOMUNIKAT !!! 28.05.08, 19:46
        Odnośnie tego, co pa_yo powyżej napisała, uczulam na nie linkowanie
        Merlina. Problem pojawiał się już wcześniej. Działa to ostatnio
        różnie, nie zawsze widać, co się podlinkowało, więc bardzo proszę
        tytuł i nazwisko autora podawać ZAMIAST linku!!!
        • mamalilki Re: KOMUNIKAT !!! 28.05.08, 20:50
          To moj link ten felerny, prawda? Dzieki za wygaszenie, u mnie to nigdy tak nie
          dzialalo (nie moglam podgladac cudzych koszykow, chociaz to bardzo ciekawe :-).
          • i2h2 Re: KOMUNIKAT !!! 28.05.08, 21:04
            Twój też :-) Szkopuł w tym, że teoretycznie to trudno sprawdzić
            samodzielnie, bo cooki same znajdują użytkownika. Chyba muszę z
            cudzego komputera wszystkie linki merlinowe posprawdzać... Masochizm?
            • mamalilki Re: KOMUNIKAT !!! 28.05.08, 22:20
              Moj maz twierdzi, ze nalezaloby to podeslac do jakiegos pisma iformatycznego.
              Oni sprawdzą, na czym polega blad i to opisza. Mysle ze najlepiej bylo by wyslac
              to wprost do merlina, a jesli nie zareagują to dalej. To ewidentna dziura w
              systemie.
              • i2h2 Re: KOMUNIKAT !!! 28.05.08, 23:07
                Dziura jak byk! Przy czym wszystko wskazuje na to, że "działa" już
                od jakiegoś czasu (co najmniej dwa tygodnie). Chyba do nich po
                prostu zadzwonię.
                NB jak zobaczycie zamarkowane posty, to właśnie efekty mojego
                przeglądania wątków.
                • pa_yo Re: KOMUNIKAT !!! 29.05.08, 07:37
                  napisałam do nich wczoraj ok 16 maila (na ten mail bezpieczeństwo
                  cos tam).
              • kotpstrot Re: KOMUNIKAT !!! 29.05.08, 10:03
                A pamiętasz jak Ci powrzucałam swoje książki do koszyka, bo myślałam że to mój a
                potem nie mogłam zrozumieć jak to się mogło stać? Może właśnie jakoś tak...
                Nieźli są!!!
          • pa_yo mamalilki 29.05.08, 07:40
            no a ja teraz wiem co masz w koszyku - hehehe
            no i jak sie nazywasz, tzn. juz zapomniałam bo sobie nie zapisałam :)
      • i2h2 UWAGA !!! 28.05.08, 23:08
        UWAGA! Jeśli ktoś zobaczy w jakimś wątku nietypowo długi link
        merlinowy, zawierający "jsessionid", proszę o kontakt na maila.
      • alistar1 Czy merlin ustosunkował się już do tej sprawy?? 29.05.08, 10:12
        n/t
        • pa_yo Re: Czy merlin ustosunkował się już do tej sprawy 29.05.08, 10:29
          ja nie mam odpoweidzi na wczoraj wysłanego maila :(
          • i2h2 Re: Czy merlin ustosunkował się już do tej sprawy 29.05.08, 11:32
            No cóż, jeśli Merlin nie odpowie, to trzeba będzie tym kogoś innego
            zainteresować. Sprawdziliśmy wczoraj: linki co jakiś czas nie są
            haszowane (jak to się pisze?!) i po takim linku daje się wejść nie
            tylko do koszyka, ale też i do zaległych zamówień, a tam dostaje się
            jak na talerzu adres dostawy... Oraz spis wszystkiego, co dana osoba
            w Merlinie kupiła. Po zamknięciu okna bez wylogowania sesja sobie
            wisi i wisi - powinno być tak (i tak jest w większości witryn), że
            np. po 10 minutach bez aktywności na stronie sesja jest zamykana, a
            klient wylogowywany. Tutaj ten mechanizm nie działa.
            Logowałam się w czasie sprawdzania trzy razy od nowa: dwa z tych
            trzech były niezabezpieczone...
      • siostraheli Re: Wklejanie linków do Merlina - wazne!!! 29.05.08, 13:05
        Dzięki ci pa_yo, że to odkryłaś!
        • pa_yo Re: Wklejanie linków do Merlina - wazne!!! 29.05.08, 13:06
          to nie ja, to moja znajoma z innego forum dała mi cynk, ja to tylko
          potem potwierdziłam i tu na forum u innego uzytkownika (czyli jakby
          to rzec - empirycznie) :)
      • mika_p Re: Wklejanie linków do Merlina - wazne!!! 29.05.08, 16:25
        A jak już kogoś przyciśnie, to niech utnie link po .html - dotąd jest adres
        strony produktu. To co dalej to dane sesji właśnie.
      • pa_yo nadal w skrzynce emailowej odpoweidzi z Merlina br 30.05.08, 07:36
        brak (miało byc, ale sie nie zmiesciło)
        • pa_yo no to mam sygnał nr 1 z Merlina 30.05.08, 10:26
          Dnia 30 maja 2008 9:00 A R <AR@merlin.pl> napisał(a):

          > Witam,
          > Czy mógłbym otrzymać od Pani dokładną kopię linku który przekazała
          Pani
          > znajomym ?
          >
          > Pozdrawiam
          > AR

          Imie i nazwisko Pana zmieniłam na inicjały
      • agata.czarnowska odpowiedź od Merlin.pl 30.05.08, 11:40
        Witajcie,

        Dziękujemy bardzo za zwrócenie uwagi na problem z linkowaniem. Problem, o którym piszecie dotyczy wszystkich serwisów, które wymagają zalogowania się. Jest to analogiczna sytuacja jak przy posługiwaniu się kartą kredytową przy płatnościach online czy korzystaniu z bankowości elektronicznej. Przy wszystkich tego typu transakcjach zawsze przekazanie linku bez wylogowania się z sesji oznacza publiczne ujawnienie poufnych informacji o sobie (numer konta, numer karty itp.).

        Na stronie Merlin.pl w dziale pomocy informujemy o tym, że dla zachowania bezpieczeństwa danych po zakończeniu sesji należy wylogować się ze strony merlin.pl/info/help/security.html Szczególnie dotyczy to osób, które mają wyłączoną opcję obsługi cookies w swojej przeglądarce. Cookies wykorzystywane są do zapamiętywania informacji dotyczących identyfikacji danego użytkownika, który nawet po wyłączeniu komputera i ponownym wejściu na stronę internetową jest rozpoznawany.

        Aby bezpiecznie przekazywać linki, należy najpierw wylogować się ze strony i dopiero skopiować link. Jeśli wyłączycie okno przeglądarki bez kliknięcia w opcję "Wyloguj się", sesja będzie aktualna jeszcze przez jakiś czas. Samo wyłączenie okna przeglądarki nie jest równoznaczne z zakończeniem dokonanej operacji.

        Pozdrawiam,

        Agata Czarnowska
        Merlin.pl
        • pa_yo Re: odpowiedź od Merlin.pl 30.05.08, 12:16
          nie zgadzam sie, w Allegro.pl tak nie ma, mimo, że jestem zalogowana
          i wklejam linki to w zyciu nikt nie widzi mojego konta.
          • alistar1 Re: odpowiedź od Merlin.pl 30.05.08, 12:24
            I wyraźnie jest napisane, że dziewczyny przed zalinkowaniem
            wylogowały się!
            Jak więc- po wylogowaniu się- ich konta są nadal widoczne???
            • kogel5 Re: odpowiedź od Merlin.pl 30.05.08, 17:07
              Hmm, z tego co sie orientuję to nie jest za bardzo możliwe. Jeśli sie
              wylogowały, to w ich linkach nie mogą się pojawić jakiekolwiek informacje własne
              typu ID sesji logowania. Bardziej prawdopodobne jest, że wchodząc na stronę
              tylko się nie zalogowały, co wcale nie jest równoznaczne z brakiem zalogowania
              (często jest nastawione automatyczne logowanie, albo system sam rozpoznaje
              komputer i IP, które się łączy ze stroną).

              Dla bezpieczeństwa włączcie sobie obsługę cookies i nie będzie więcej takich
              problemów :)
              • alistar1 Re: odpowiedź od Merlin.pl 30.05.08, 21:48
                Dla bezpieczeństwa włączcie sobie obsługę cookies i nie będzie
                więcej takich
                > problemów :)

                A co to jest obsługa cookies? Może jakiś mały instruktaż krok-po-
                kroku? Ja na przykład niezbyt informatyczna, chyba, że reszta wie?
              • i2h2 Re: odpowiedź od Merlin.pl 30.05.08, 21:56
                Dla bezpieczeństwa to niech Merlin system uszczelni - przeczytaj
                sobie, co napisałam powyżej o nie ubijaniu sesji...
                To, że ktoś, kto nawet nie ma tam konta, może poruszać się z takiego
                linku po moim koncie, wkładać i wyjmować mi zakupy z koszyka, a na
                koniec wejść w opcję, gdzie widzi wszystkie moje dane, to chyba
                jednak powinno informatyków zainteresować... Sytuacja trwa od chyba
                dwóch miesięcy.
              • pa_yo Re: odpowiedź od Merlin.pl 31.05.08, 10:57
                problem lezy jak byk po stronie Merlina i koniec kropka.
                Niedopuszczalne jest aby takie dane osobowe wyciekały tylko przez
                to, że uzytkownik zapomniał sie wylogowac, spróbujcie na innych
                portalach, to tak nie działa jak w Merlinie:
                - jesli jestesic eczłonkami jakiegos forum prywatnego spróbujcie
                wkleić link do niego wtedy gdy jesteście zalogowane, żadna z
                nas 'nie uczestniczek' Waszego forum do tego linka nie wejdzie, od
                razu system bedzie prosił o zalogowanie, bez tego nic nie pokaże;
                - to samo jest na allegro.pl, wklejcie link do 'moje allegro' żadna
                z nas go nie otworzy bo od razu wyskoczy plansza z ppanelem do
                logowania.

                Merlin ma dziurę, możliwe, że cos z nia teraz po cichu zrobia, ale
                nam za dziabła nie przyznaja racji, wykręca sie sianem!

                A o to wyłaczenie cookies to ja tez poproszę.
                • pa_yo namiary 31.05.08, 10:59
                  kiedys w Tv słyszałam, że jest taka grupa hackerów, która szuka
                  nieszczelności systemów róznych portali, wykryli nagłosnili w Tv
                  nieszczelności na allegro.pl - tylko, że ja nie mam na nich
                  namiarów, może ktoś ma, wyslem im wtedy info o Merlinie.pl
                  • abepe Re: namiary 31.05.08, 22:11
                    Czy ja się nie mylę, że trzeba mieć włączone cookiesy, żeby się do
                    banku logować?
              • kotpstrot Re: odpowiedź od Merlin.pl 03.06.08, 23:50
                "Dla bezpieczeństwa włączcie sobie obsługę cookies i nie będzie więcej takich
                problemów :)"

                chyba wyłączcie a nie włączcie?
                tylko cookiesy są czasem niezbędne... niestety.
                • pa_yo jednym słowem... 04.06.08, 07:35
                  ...Merlin.pl cała gęba schodzi na 'psy' - a szkoda, zawsze ich
                  lubiłam, a teraz nawet postarac im sie nie chce :(
                  • alistar1 Re: jednym słowem... 04.06.08, 08:10
                    Jedno jest pewne- bezpowrotnie chyba stracili bezpłatną, forumową
                    reklamę ;-)
                    Po tym wszystkim nikt ich juz tu raczej nie podlinkuje...
                    • na-luzie Re: jednym słowem... 04.06.08, 14:56
                      Ej no bez przesady. Widziałam wiele wątków, w których ludzie dalej do Merlina
                      linkują. Mi się jeszcze nie zdarzyło, żebym wchodząc przez taki link czyjeś dane
                      widziała
                      • i2h2 Re: jednym słowem... 04.06.08, 15:01
                        Poczekamy, zobaczymy. Na razie sesje jak wisiały, tak wiszą.
                        • abepe naprawili? 11.06.08, 12:22
                          Dostałam od Katrio_ny link do jej koszyka w merlinie i nie mogę tam
                          zajrzeć. Czyżby bład naprawiono?
                          • pa_yo moim zdaniem nie naprawili :( 12.06.08, 08:41
                            Wycięło mnie z zalogowanej sesji na Merlinie kilka dni temu i do
                            dzis gdy wchodze na ich strone to z automatu pokazuje mnie i mój
                            koszyk, więc działało jak działa.
                            Gdy wchodze do koszyka to mantra 'jsessionid' cały czas w adresie
                            istnieje, czyli bez zmian.

                            A najsmieszniejsze jest to, że aby teraz zlikwidowac automatyczne
                            rozpoznawanie mojej osoby to musze sie zalogowac i wylogowac,
                            poniewaz w tej chwili nie mam opcji wyloguj się, jest tylko zaloguj
                            się - hehehe
    Inne wątki na temat:

    Najnowsze z forum Książki dziecięce, młodzieżowe

    Nie masz jeszcze konta? Zarejestruj się

    Nakarm Pajacyka
    Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną. Regulamin
    Treści z serwisów internetowych Grupy Wyborcza.pl oraz serwisu tokfm.pl prezentujemy w ramach komercyjnej współpracy z ich wydawcami: Wyborcza sp. z o.o. oraz Grupą Radiową Agory sp. z o.o.