Lek onthult mailadressen Marktplaats-adverteerders

En daarom moet je altijd een aparte email adres aanmaken waarbij het niet uitmaakt wat er mee gebeurt...

Ok, wat off-topic, maar lieve Marktplaats, hoe schrijf je bevestigingsemail eigenlijk? In ieder geval niet als "bevestings e-mail".

Marktplaats De winkel voor illegale windows versies snap niet dat ze daar niets aan doen.
Het mag schijnbaar allemaal op Marktplaats.

Wanneer de code die het e-mailadres van adverteerders blootlegde nu wordt toegevoegd aan een url, verschijnt nog steeds een bevestigingspagina. De mededeling dat er een bevestigingsmail verzonden is naar een bepaald mailadres, is echter vervangen door de tekst 'Wij hebben u een bevestings e-mail gestuurd'.

Het lek is dus nog NIET gedicht, ze hebben enkel de bevestigingspagina aangepast.

Ik ben het eens met Johnny....
Je kan mij niet vertellen dat hier goed is nagedacht over security anders was dit niet gebeurd....
Het kan natuurlijk ook zijn dat ze afweging hebben gemaakt van: wie gaat er op deze manier lopen hacken... en daar hebben ze natuurlijk ook wel een beetje gelijk in, maar het blijft slordig...

@Johnny B Goode.
Betweter. Als ik dat soort reacties lees (en die lees ik veel hier op webwereld) is de conclusie duidelijk: Scriptkiddo. Nerd. Denkt heel veel te weten, maar in heeft in de praktijk hoogst waarschijnlijk geen enkele ervaring. Je conclusie is ongefundeerd en getuigt van een onbegrensde naiviteit.
Let wel: het gaat me niet om marktplaats, maar om die betweterige reacties hier altijd waar ik echt doodmoe van word.

Ik heel veel weet over software-ontwikkeling, en ik hebbovenstaande geleerd heb uit jarenlange ervaring. Ik mag dan een betweter zijn, maar soms heeft iemand die status verdiend.
Wat heb je dan geleerd? Geen fouten maken?
De status betweter verdien je zeker, maar of je daar blij mee moet zijn? Zoek het eens op in het woordenboek...

Flebflab drukt zich ietwat bot uit, maar heeft in essentie gelijk natuurlijk. Het is bijzonder makkelijk om hele kluiten ontwikkelaars dom te noemen als er eens een keer een fout doorheen glipt. Maar met jarenlange ervaring leer je ook dat miljoenen gebruikers (zoals bij Marktplaats) dingen aan het licht kunnen brengen die door welk testschema dan ook kunnen glippen. Zeker als die fouten niet door 'normaal' gebruik en/of 'normale' foutmeldingen boven water gehaald kunnen worden.

Leuk om te zien dat het nu ook op Webwereld geplaatst is. Ik ben Willem-Aart van Dorpen, 19 jaar, woonachtig in Elim (Drenthe), doe MBO ICT niveau 4

Graag wil ik even een aantal dingen melden omtrent de discussie die hier gevoerd wordt. Uitgebreide test procedures en automatische foutdetectie klinkt allemaal erg rooskleurig, maar in feite was dit gewoon een "feature", en is er niet goed nagedacht over de gevolgen die deze met zich meebracht.

Als ik een bepaalde GET variabele veranderde via de URL werd er een melding getriggered waarin het emailadres te zien was. Deze melding krijg je ook te zien als je een advertentie aanmaakt. Het komt er dus gewoon op neer dat de input van de gebruiker niet afdoende gecontroleerd is, het had wel handig geweest als dit getoetst was aan de hand van IP's, of een cookie bijvoorbeeld. Maar dat is natuurlijk ook niet waterdicht.

Desalniettemin is het erg slordig om dan zo'n melding openbaar te maken.

Hier een videootje die laat zien wat er gebeurd,

http://video.google.nl/videoplay?docid=-7054617498653939479&hl=nl

Ik voer dus ?complete_ad=2 in, en dat triggered de melding. Eigenlijk heel simpel, daarom verbaasd het mij ook dat niemand hier achter is gekomen.

@michielonline Het lek is dus nog NIET gedicht, ze hebben enkel de bevestigingspagina aangepast.Typisch Marktplaats; Quick & dirty heet dit in vakjargon, overigens wel effectief in dit geval.

Ik ben het deels eens met Wowbagger en Flebflab dat betweterige IT-nerds op fora als deze loeiend irritant kunnen zijn. Ik heb er zelf ook een handje van af en toe.
Ik ben het echter ook hartgrondig met Johnny B. Goode eens, en ik zal jullie uitleggen waarom. Ik weet toevallig ook uit ervaring dat er simpelweg heel erg veel kansloze prutsers in de Internetbranche werkzaam zijn. Van het slag dat zich "Linux professional" noemt omdat ze een paar PHP statements kennen. Het slag dat "consultant" heet waarmee bedoeld wordt dat ze zelf niet kunnen programmeren en dus maar "adviseren". Dan kun je het aanmatigend vinden dat mensen als ikzelf en Johnny een hele groep ontwikkelaars op een kluitje gooien en ze afzeiken, maar in veel gevallen is dat ook gewoon terecht. Zeker in de wereld van PHP en ASP, omdat die talen nou eenmaal heel erg toegankelijk zijn, en de drempel om er ook wat mee te spelen heel laag is. Daarmee ben je natuurlijk nog geen goede programmeur, dat kost een aantal jaar ervaring, vaak op je bek gaan en daar lering uit trekken.
En ja, iedereen maakt fouten, sommige groot, sommige klein. Maar les 1 uit het webontwikkelaarshandboek is toch wel: NEVER TRUST USER INPUT. En ZEKER geen $_GET-variabelen. ALTIJD checken, checken, nog eens checken en dan nog een keer dubbelchecken voor de zekerheid. Als daar niet over is nagedacht is dat geen onoplettendheid, maar is er maar 1 conclusie mogelijk: de desbetreffende "programmeur" is een scriptkiddie, niet Johnny of ik. En ik maak mij druk over deze aantijging omdat ik het bijna dagelijks zie misgaan, en zeker opdrachtgevers zouden hier veel meer aandacht aan moeten besteden. Clubs die zo prutsen moesten gewoon geen opdrachten meer krijgen tot ze hun zaakjes op orde hebben. Zou een hoop internetellende schelen.

@Johnny B. Goode:
Testen toont alleen de aanwezigheid van fouten aan, NIET de afwezigheid van fouten

@michielonline

Het lek is dus nog NIET gedicht, ze hebben enkel de bevestigingspagina aangepast.
Leg eens uit op welke manier het lek nog niet dicht is, dan? Het lek bestond er toch in dat emailadressen zichtbaar konden worden gemaakt? Dat is nu niet meer het geval, door het aanpassen van de tekst van de bevestigingspagina.