(od razu mówię, że sprawa nie ma związku z aferą euroweek)
TL;DR - Krótki opis:
Błąd polega na tym że obrazki dodane do wpisów nie są usuwane z serwerów w momencie kiedy wpis jest usuwany przez autora lub moderację. Publiczne linki do obrazków są dostępne dla każdego nawet jeśli zostaną usunięte, bo nie są zgodne z regulaminem lub ich rozpowszechnianie jest karane przez prawo. Mogą być widoczne w google i/lub przekazywane z rąk do rąk.
Przykładowy, (safe for work) link do obrazka z usuniętego przeze mnie wpisu -
wykop.pl/cdn/c3201142/comment_j9m5FrFFsUxg0yYrYKCXKxqQJP51Bqjv.jpg
(Jeżeli nie działa to czytaj dalej)
Dlaczego piszę o tym dzisiaj? Bo dzisiaj na nocnej zmianie gdzieś około 1 w nocy przez co najmniej godzinę ktoś spamował dziecięcą pornografią, która nie była usuwana przez moderację bo pewnie spali, ale to że spali nie jest temat tego wpisu, nie szkaluję tutaj w ogóle moderacji, raczej administrację - kiedy moderacja przyszła do pracy to jednak usunęli te WPISY, ale usunięcie wpisów nie powoduje usunięcia obrazków i są one nadal UPUBLICZNIONE pod linkiem w domenie wykop.pl
Nie chodzi o 16 latki głaskane po głowie tylko twardą pornografię z około 8 letnimi dziećmi.
Zanim opiszę jakie są tego konsekwencje w praktyce (choć powinny być oczywiste) muszę zaznaczyć, że ten błąd zgłosiłem prawie 2 miesiące temu 26 września przez formularz kontaktowy wykopu oraz przez prywatną wiadomość do @a__s i ponownie 12 października. W odpowiedzi z formularza dostałem:
> dziękujemy za kontakt. Aktualnie mocno pracujemy nad nową wersja wykopu, po to, żeby serwis działał sprawnie i bez problemów. Skupiamy się przede wszystkim na tym: //www.wykop.pl/ramka/4411...
Od @a__s odpowiedzi nie dostałem
Tak więc jeżeli wykop nie uważa że sytuacja, którą opisałem jest błędem (bo w sumie jest tylko cechą systemu) i nie zamierza tego poprawiać to wydaje mi się że mogę ten opis upublicznić.
W ramach testu dodałem wpis z obrazkiem. Screen wpisu wygląda tak: (link https://imgur.com/a/xzTgqJb )
Jak widać po kliknięciu w link zaznaczony strzałkami zostaje otwarte źródło obrazka którzy wrzuciłem na wykop czyli w tym przypadku - wykop.pl/cdn/c3201142/comment_j9m5FrFFsUxg0yYrYKCXKxqQJP51Bqjv.jpg
Ten obrazek jest już permanentnie zapisany na serwerach wykopu. Jeżeli ja lub moderacja usuniemy ten wpis to obrazek nadal będzie dostępny pod tym linkiem.
W tym przypadku jakieś 10 minut po dodaniu wpisu usunąłem go. Był dostępny pod linkiem - https://www.wykop.pl/wpis/3756...
Jak widać wpisu nie ma a obrazek nadal istnieje.
Zanim po raz pierwszy zgłosiłem błąd to przeglądając mirko w późnych godzinach nocnych zauważyłem typowy dla nocnej content - zdjęcie znanego youtubera bez ubrania - wiedziałem że wpis zostanie usunięty przed moderację więc link do wpisu i obrazka skopiowałem żeby sprawdzić czy faktycznie obrazek zostanie na serwerze. Oczywiście wpis został szybko usunięty ale dzisiaj po dwóch miesiącach zdjęcie nadal wisi na wykopie i mam do niego działający link.
Tak jak mówiłem dzisiaj od około 1 w nocy był wysyp dziecięcej pornografii. Tym razem linków oczywiście NIE zapisywałem żeby sprawdzić czy zdjęcia zostaną po usunięciu przez moderację bo aż tak daleko w dziennikarstwo śledcze nie mam zamiaru brnąć, a jeszcze po kliknięciu w pierwszy link który wyglądał tak: [zobacz xyz.jpg] bo dodała go zielonka, nie wiedząc co tam jest musiałem kasować historię i inne cache coby mnie FBI nie dopadło (dziękuję wykop). Przez godzinę zielonka wrzucała swoje materiały których nie otwierałam ale po dziesiątkach czy setkach wpisów mirków na ten temat domyślam się że były bardzo ciężkie, potem poszedłem spać. Moderacji akurat nie było choć tak jak mówiłem na pewno później to pousuwali (i mam nadzieję zgłosili gdzie trzeba) więc to nie ich wina chociaż wykop mógłby jeszcze jeden etat dołożyć na nocną zmianę, cała nocna może to potwierdzić bo wszyscy o tym pisali. Może wykop.pl po tym moim wpisie usunie akurat te zdjęcia z serwerów (zamiast tylko usunąć wpisy), a może nie. Wiem że są tutaj hostowane zdjęcia z dawno usuniętych wpisów które co prawda nie są dziecięcą pornografią bo takich bym nie zapisał ale mimo to nielegalne jest ich hostowanie a jednak nadal są upubliczniane.
Jakie są konsekwencje takiej sytuacji:
1. Obrazki których przechowywanie i rozpowszechnianie jest w tym kraju nielegalne są teraz udostępnione publicznie na wykopie. Zdarza się że ktoś wrzuca naprawdę ciężkie materiały. Moderacja usuwa wpisy, ale nie obrazki. Linki mogą być rozpowszechniane pomiędzy zainteresowanymi. Mogą też zostać zaindeksowane przez google lub inne crawlery. Nawet jeżeli moderacja działa szybko to wystarczy że wpis zostanie otworzony przez osobę, która ma zainstalowany toolbar google lub binga i taki obrazek może zostać zaindeksowany przez wyszukiwarkę nawet jeżeli robot google nie zdążył odwiedzić tej strony.
2. Obrazki które naruszają dobra osobiste również są hostowane na wykopie. Widziałem tu różne rzeczy, w tym roku ktoś zaczął w środku dnia spamować nagimi zdjęciami jakiegoś młodego nieszczęśnika, na oko z 18 lat, na zdjęciach oprócz tej osoby w negliżu były wklejone linki do fb, zdjęcie dowodu osobistego, adres, nazwa szkoły itd. - jakaś prywatna chora zemsta. Wpisy były kasowane w ciągu paru minut ale przez 15 minut ktoś je co chwilę wrzucał z 1-minutowych kont. Te zdjęcia też pewnie są nadal hostowane przez wykop. To był zresztą pierwszy raz kiedy potwierdziłem istnienie tego buga przy wpisach usuniętych przez moderację (otworzyłem obrazek w osobnej zakładce i odświeżałem po tym kiedy wpis został usunięty). Linków do tego zdjęcia oczywiście nie przechowuję i nie chciałbym ich mieć.
Zdarzają się sytuacje gdzie wizerunek jest o wiele bardziej naruszony niż przy okazji ostatniej afery.
3. Możliwy jest następujący scam - jeżeli jesteś koneserem nielegalnych zdjęć a chcesz się z nimi podzielić z kolegami, wystarczy że zadbasz o prywatność połączenia. Wrzucisz zdjęcia na wykop o 4 nad ranem kiedy moderacja jest bardzo opieszała i masz pewność, że wrzucisz dużo materiału zanim wyłapiesz bana. Po czym usuwasz wpis lub czekasz aż moderacja to zrobi a z działającymi linkami możesz robić co chcesz.
4. Inny scam - prosisz kogoś żeby wrzucił twoje zdjęcia na wykop. Zgłaszasz do wykopu żądanie usunięcia tego wcześniej się weryfikując. Wykop usuwa wpisy a zdjęcia zostają - po jakimś czasie pozywasz wykop.pl o to że cię okłamali mówiąc że je skasowali i hostują twoje zdjęcia przez ten cały czas.
5. Kolejny efekt tego błędu - chciałbym napisać, że sytuacją absurdalną jest fakt że mogę dostać bana za to że teraz podałbym link do jakiegoś zdjęcia hostowanego publicznie przez wykop.pl ale jak wiemy w sumie bana można dostać za wklejenie zdjęcia lub przeklejenie treści nawet z NIE usuniętego wpisu, którego zgłoszenie moderacja odrzuca i uznaje za zgodny z regulaminem, więc ten punkt jest najmniej zaskakujący :)
Na początku podałem link (sfw) do obrazka z usuniętego wpisu - wykop.pl/cdn/c3201142/comment_j9m5FrFFsUxg0yYrYKCXKxqQJP51Bqjv.jpg
Jeżeli obrazek teraz nie jest dostępny oznacza to że administracja usunęła go ręcznie w reakcji na to znalezisko. Linki które zapisałem kilka miesięcy temu nadal są aktywne. Można to sprawdzić samemu kasując swój własny wpis lub jak ktoś jest odważniejszy to może wrzucić coś co moderacja usunie.
Po co robię to znalezisko? Nie dlatego że chcę dopiec administracji czy moderacji chociaż uważam że powinni ujednolicić regulamin i stosować go równomiernie zarówno do tych których poglądy są zgodne z ich poglądami jak i do reszty, ale nie to jest tematem tego wpisu. Tak jak wspomniałem wykop w swojej odpowiedzi 2 miesiące temu dał mi do zrozumienia że ma inne rzeczy na głowie i to nie jest warte ich uwagi. Sporo afer słusznych i niesłusznych kręci się na wykopie bez widocznego skutku. Mam nadzieję że tym razem będzie inaczej bo wiem że po pierwsze nie trzeba jakoś bardzo dużo pracy włożyć żeby zaimplementować rozwiązanie które będzie usuwać lub przynajmniej usuwać z publicznej domeny zdjęcia które są usuwane przez użytkowników i moderację, a po drugie leży to przecież w interesie nie tylko użytkowników ale też administracji. Proszę o nagłośnienie i niech nas usłyszą w słusznej sprawie bez podziałów.
Dodatkowo po napisaniu tej ściany tekstu zauważyłem, że znalezisko z ponad 1500 wykopów opisujące dzisiejszą inbę na nocnej zmianie zostało oznaczone przez moderację jako info nieprawdziwe i usunięte z głównej strony wykopu co nie jest fajne. Informacja tam podana jest prawdziwa. Wpisy leżały na wykopie dłużej niż godzinę tak jak to opisał OP więc dlaczego niby oznaczać to jako informacja nieprawdziwa? Poniżej screen.
Komentarze (147)
najlepsze
ten bug nazywa się MODERACJA
na to panie nic nie poradzisz ( ͡° ͜ʖ ͡°)
@Vatos_Locos: To też ( ͡° ͜ʖ ͡°) ale w tym znalezisku chodzi głównie o to że nawet gdyby moderacja wykonywała swoją pracę idealnie w 100% to oni usuwają tylko wpisy i komentarze a zdjęcia zostają i nadal można wymieniać się linkami do nich.
Bondź konsekfentny.
Można też robić takie rzeczy w
@sprawca-calego-zamieszania: a od strony programistcznej domyslam sie, ze czyszcza baze i zostawiaja pliki na serwerze i po skaskowaniu komentarza nie wiedza ktory to plik byl :D No ale to tylko domysly.
@kamdz: Teraz w weekendy i święta nic nie zrobisz, bo admini mają wolne, a mode ma spotkania grupy wsparcia dla ludzi z dodatkowym chromosomem ( ͡° ͜ʖ ͡°)
dałbym tu jakieś mądre rady dla moderacji ale wątpie by je chociaż przemyśleli ( ͡° ͜ʖ
1. Naming conventions
2. Cache invalidation
3. Off by one errors