Стваральнік «Акавіты» патлумачыў, адкуль у лічыльніку ўзяўся шкодны код
Газэта «Наша ніва» знайшла шкодны код у лічыльніку «Акавіты» — беларускага сэрвісу для ацэнкі папулярнасьці сайтаў.
Стваральнік «Акавіты» Фёдар Караленка зазначыў Свабодзе, што ўсе праблемы зьвязаныя зь немагчымасьцю кантраляваць старую сыстэму, а абноўленая сыстэма ня мае шкоднага коду.
«Наша ніва»: празь лічыльнік «Акавіты» запампоўвалася нябачная карыстальніку рэкляма
Сайты могуць добраахвотна дадаваць на свае старонкі спэцыяльны код, каб «Акавіта» падлічыла, колькі людзей наведваюць сайт. Але ў кодзе «Акавіты», якім карысталася «Наша ніва», былі радкі, што рабілі непажаданыя для сайту дзеяньні. Кожны раз, калі карыстальнік адкрываў сайт «Нашай нівы», ён, таго ня ведаючы, спампоўваў і рэклямныя старонкі кітайскай гандлёвай пляцоўкі Aliexpress. Карыстальнік ня бачыў рэклямных старонак (дакладней, «бачыў» іх на адным квадратным піксэлі), але камусьці маглі налічвацца грошы за «нябачны» паказ рэклямы. Дзеяньні адбываліся праз староньні сайт, зарэгістраваны на імя стваральніка «Акавіты» Фёдара Караленкі.
«Наша ніва» пазбавілася ад шкоднага коду на сваім сайце.
Але падобны схаваны код можа ня толькі зарабляць грошы на паказах рэклямы, але і распаўсюджваць сярод карыстальнікаў сайту вірусы або красьці іхныя асабістыя зьвесткі. Верагодна, іншыя карыстальнікі «Акавіты» не зьвярнулі ўвагу на шкодныя радкі.
«Наша ніва» выявіла, што такі ж шкодны код выкарыстоўваецца на сайтах дзяржаўнага інфармагенцтва БелТА, Міністэрства фінансаў і Камітэту дзяржкантролю — хіба не паўсюль, дзе стаіць лічыльнік «Акавіты». Аказалася, што шкоднага коду ня мае толькі адзін карыстальнік «Акавіты» — сайт «Хартыі-97», які, паводле галоўнай рэдактаркі «Хартыі» Натальлі Радзінай, «злавіў» лічыльнік на шкодным кодзе.
Караленка: праблема ў старым кодзе; ужо ёсьць новы, а зламысьнік невядомы
Фёдар Караленка пракамэнтаваў Свабодзе праз электронную пошту публікацыю «Нашай нівы». Паводле яго, шкодныя радкі коду знаходзяцца ў старой вэрсіі лічыльніка («Наша ніва» сьцьвярджае, што ў новай, якую Караленка прасіў ужыць некалькі месяцаў таму).
«Сапраўды, названая праблема існавала, бо час ад часу пра гэта паведамлялі ўладальнікі сайтаў: пісалі пра падгрузку AliExpress. Але што «нічога не прадпрымаў», як пішуць у артыкуле, гэта няпраўда.
Наконт кожнага звароту праводзіўся разбор, і тое, што знаходзілі, выдалялася. Але цалкам вычысьціць сыстэму аказалася няпростай задачай, бо не ўдавалася вылічыць крыніцу.
Праблема ў тым, што існы код «Акавіты» надта стары, распрацаваны ў 1999–2000 гадах, з тых часоў на ім толькі нарастаў новы код, у якім сёньня ня можа разабрацца нават ягоны аўтар. І напісаны на састарэлай мове Perl, спэцыялістаў у якой сёньня фактычна не знайсьці. Менавіта таму, калі некалькі гадоў таму перастала працаваць статыстыка наведваньняў, нават не змаглі гэта адрамантаваць.
Адзіны варыянт — перапісаць усю сыстэму наноў, паводле сучаснай тэхналёгіі. Спробаў перапісаць сыстэму з нуля на розных тэхналёгіях рабілася больш за пяць за апошнія 10 гадоў, рознымі камандамі распрацоўшчыкаў, усе зь якіх мелі доступ да сэрвэру. Усе гэтыя спробы былі непасьпяховыя, бо задача аказвалася значна больш складанай, чым ацэньвалі распрацоўшчыкі, і ў нейкі момант яны сыходзілі. Хто зь іх мог пакінуць якія пралазы ў кодзе, на жаль, сказаць немагчыма.
Вырашыць праблему як бясьпекі, так і функцыяналу, сёньня можна толькі радыкальна — напісаўшы цалкам новую сыстэму, якая ня будзе мець нічога агульнага са старой.
Гэтым я і займаўся апошнія некалькі гадоў, ствараючы новы аналітычны праект, на гэты раз міжнародны. «Акавіту» плянавалася перавесьці на новую сыстэму, каб раз і назаўжды зьехаць з праблемнага старога коду і сэрвэру — менавіта таму я і слаў некаторым удзельнікам прапановы пратэставаць новую сыстэму, бо звароты ад карыстальнікаў сталі частымі і трэба было хутчэй пераяжджаць альбо ўвогуле закрываць сэрвіс.
А ў расьсьледаваньні НН чамусьці паставілі ўсё з ног на галаву, палічыўшы, што менавіта новая сыстэма дадае староньні код. Замест таго, каб задаць пытаньні наўпрост — гоняцца за сэнсацыямі, не зважаючы ні на што. Гэта ня прыклад журналістыкі, сябры.
Яшчэ раз: усе праблемы зьвязаны зь немагчымасьцю кантраляваць старую сыстэму. У новай сыстэме якраз ніякіх праблем няма — код цалкам новы, напісаны з нуля, кантралюецца і разьмешчаны на іншых сэрвэрах.
Тэставы пэрыяд плянавалася завершыць у сярэдзіне чэрвеня, цяпер па магчымасьці паскорым. Актуальны код, які выклікаецца без удзелу старога коду «Акавіты», можна атрымаць у асабістым кабінэце плятформы Nozo. Да гэтага моманту правіць код даводзіцца рукамі, бо крыніцу высьветліць, на жаль, не ўдалося».