Huomasin just kun tulen laji.fi etusivulle niin oikean yläkulman profiilinimenä on hetken aikaa jonkun muun nimi ennen kuin se vaihtuu omakseni.
Näin näyttää tapahtuvan, on toisen käyttäjän nimi ensin, sitten vaihtuu omaksi. Firefox ja Mac käytössä täällä.
Ennen tätä kirjoitusta siinä oli erään miehen nimi ja nyt kun olen tätä lopettelemassa, niin siinä näkyy naisen nimi. Ja vielä kun tätä testasin uudemman kerran, niin näkyy taas miehen nimi, sama kuin ensimmäisenä ja sitten vihoviimeisenä näkyy vielä yhden uuden miehen nimi.
Kiitos ilmotuksesta, korjataan asia!
Asiasta ei kannata olla aivan erityisen huolissaan, vaikka ikävältä näyttääkin. Tähän ei liity mitään tietoturva-aukkoa.
Sivustolla on parin päivän sisällä otettu käyttöön sivustojen “taustarenderöinti”, joka tarkoittaa sitä, että sivuston ulkoasu tehdään valmiiksi taustalla ja lähetetään sitten käyttäjälle sen sijaan, että käyttäjän oma internetselain rakentaisi sivuston ulkoasun. Nämä esirenderöidyt sivut tallennetaan ja samoilla kriteereillä tuotetut sivut pidetään jonkin aikaa tallessa, että sisältö voidaan palauttaa nopeasti.
Tässä ei ole otettu huomioon sitä, että yläpalkin käyttäjäinfo on sellainen asia, jota ei pitäisi liittää taustalla tuotettuun sivuun, vaan se pitäisi liittää sivulle vasta käyttäjän omassa selaimessa.
Mutta siis korjaamme asian, mutta joutunee odottamaan maanantaihin koska tämä ei ole niin kriitinen asia
Otimme väliaiksesti pois tuon esirenderöinnin ja tutkimme alkuviikosta miten saisimme tuon parhaiten takaisin jälleen käyttöön.
Tämä ongelma on nyt korjattu, ja pistämme esirenderoinnin päälle mahdollisesti seuraavan päivityksen yhteydessä. Ongelman aiheutti käytetyn kirjaston ominaisuus, joka piti tiedot palvelimen muistissa vähän turhankin tehokkaasti. Tästä johtuen to klo 6 – pe klo 16 joidenkin käyttäjien nimet saattoivat näkyä sivulla kirjautumisen jälkeen. Tämä aukko mahdollisti periaatteessa juuri kirjautuneen käyttäjän personTokenin selvittämisen. Osaava murtautuja olisi voinut hyödyntää tätä käyttääkseen laji.fi:tä tämän käyttäjän nimissä tai nähdäkseen käyttäjän sähköpostiosoitteen. Itse käyttäjätunnukset tai salasanat eivät olleet vaarassa. Kävimme lokit läpi ongelman ajalta ja niiden mukaan aukko ei ollut kukaan yrittänyt hyödyntää. Varmuuden vuoksi kuitenkin kirjasimme ulos jokaisen personTokenin, joka tuona aikana annettiin.
Pahoittelemme virheestä mahdollisesti aiheutunutta haittaa, ja pyrimme varmistamaan, ettei vastaavaa pääse jatkossa tapahtumaan.