És akkor egy pár szóban a katedrálisról, a bazárról, meg a hibakezelésről az előző blogos poszt kapcsán. Előre bocsátanám, hogy hivatalosan nem értek sem a sebezhetőség-menedzsmenthez, sem más kapcsolódó területhez, a leírtak csak a saját tapasztalataimat és gondolataimat összegzik, támaszkodva néhány, nálam sokkal tapasztaltabb szakember hasonló okfejtésére.

Bizonyára mindenki, aki ide kommentel felfedezte már, hogy a blog.hu admin felületén van egy nagy, narancsságra "Bugreport" gomb (mailto:), amit lehet nyomogatni, ha valakinek baja van, ezen kívül ott a Gépház blog és egy általános kontakt e-mail cím a főoldalon a nem regisztrált felhasználók számára. A Postr-en a lap alján van egy Írjon Nekünk! link, ami átdob az origo.hu-ra, ahonnan egy webes formon keresztül küldhetünk üzenetet, Origo címlap tárgymegjelöléssel, miután megoldunk egy CAPTCHA-t - ez a form mellesleg pár hónapja szintén SQL errort dobott ha jól rémlik.

A blog.hu-nak küldött e-mailemre 2:03 perc után kaptam választ, majd kicsivel később kértek, hogy írjam le a kihasználás pontos módját, hogy tudják ellenőrizni az addigra elkészült javításukat, valamint megkértek, hogy ne publikáljak semmit, amíg mindent le nem ellenőriztek.

Ha ugyanezt az Origo felületéről indulva akartam volna eljátszani, akkor nem tudtam volna elrakni az eredeti e-mailem, és fogalmam sem lett volna arról, hogy egyáltalán történt-e valami a túloldalon - a Mailer-Daemon bácsi ezzel szemben hasznos infókkal tud szolgálni a legtöbb esetben. Szerencsére annak idején pont a Postr kapcsán beszélgettünk egy origo-s illetékessel, akin keresztül (2 hopon át...) el tudtam juttatni a fejlesztőkhöz az információt.

Aztán két nap múlva írtam egy türelmetlen e-mailt, hogy mi a vihar van, mert a site ugyanúgy áll bugosan. Mint a válaszból megtudtam, a fejlesztők már kijavítottak valamit, de azért jó lenne ha küldenék támadási mintákat, hogy ellenőrizzék magukat. Ezen kívül a frissítési folyamat a Magenta Óriás gyomrában nem triviális, 1-2 napnál hamarabb nem tudnak kikerülni a javítások. 

Igen, elfeledkeztem róla, hogy a Postr kiadója az Origo, akit pedig bezony a Magyar Telekom tart kézben az egész blogszolgáltatás meg integrálva van az iWiW-vel, a Videával és a Freemaillel is. Bazárt feltételeztem ott, ahol már rég katedrális áll, az pedig mint tudjuk, nehezen mozdul meg.

A történet egyik tanulsága tehát az, hogy nem szabad ugyanúgy hozzáállni egy hatalmas multihoz, mint egy olyan céghez, ahol közvetlenül lehet levelezni a fejlesztőkkel. Türelmesnek kell lenni, mert a belső szabályzatok és a vállalati hierarchia a legtettrekészebb emberek kezét is megkötheti - nincs kétségem affelől, hogy a Postr munkatársai lehetőségeikhez képest a leghatékonyabban jártak el ebben a szituációban.

De az eset ugyanakkor a technikai segítségnyújtás prüszkölő állatorvosi lova is, álljon hát itt néhány tanács azok számára, akik szeretnének hatékonyan reagálni a kívülről érkező hibajelentésekre:

• Ne nehezítsük meg a hibajelentést! Legyen legalább egy közvetlen technikai kontakt e-mail cím a weboldalon, minimum az impresszumban, mert a magunkfajta nem fog telefonálni, levelet írni, faxot, vagy füstjeleket küldeni, meg önmagát CAPTCHA-kkal szívatni, mikor a hibajavítás kizárólag a szolgáltató érdeke. Nagy fejlesztők esetében általában egy security@ fiók létezése is elvárás. Spamszűrő meg legyen.
• A technikai kapcsolat címére küldött e-mailek lehetőleg ne a PR-osztályon landoljanak, mert ott nem tudják, hogy mit kell kezdeni vele.
• A bejelentővel közöljük, hogy várható-e javítás, és ha igen, mikorra. Ezzel kapcsolatban ezt a levelet tudom ajánlani. 
• Szerezzünk meg a bejelentőtől minden javításhoz szükséges információt mihamarabb, nem tudjuk mikor válik köddé az illető.

Akinek ez mániája, írhat erre valami szabályzatot is :)