Két év értelmetlen huza-vona után az egyetem Informatikai titkársága eljutott arra a pontra, hogy érdemben foglalkozzanak a kérésünkkel. Mi ugyanis akartunk venni egy szervert. Erre a titkárság azt mondta, itt egy asztali PC. Mi ismét elmondtuk, hogy szerver kell, mire a titkárság ismét mutatott egy asztali PC-t. Ez így ment két éven keresztül.
Végül eljutott a nagykutyák fülébe, hogy itt van egy szerencsétlen csoport, akik még mindig nem kapták meg, amit akartak. Egyébként onnan lehet tudni, hogy nagykutyák kerülnek a levelezésbe, hogy a másolatot kapók száma drasztikusan megnövekszik. Közben a főnökeim kezdtek beletörődni az elkerülhetetlenbe, és már azt mondták, hogy ha csak PC-t lehet szerezni, akkor legyen PC, csak történjen már valami előrelépés.
A nagykutyák megkérdezték, mégis mire kell nekünk a számítógép. Mi tételesen leírtuk. Erre jött egy kioktató válasz, hogy ezekre az igényekre egy szerver kell, erre nem jó a PC. Tényleg? Mit nem mondanak! Mintha valami ócska szitkomban lennénk.
A másik dolog, hogy ha nagykutyákkal tárgyal az ember, előbb-utóbb megbeszélés keveredik a dologból. Most is így történt. Bár már minden igényünket leírtuk 50 e-mailben, most mégis el kellett fáradnunk hozzájuk, hogy személyesen is elmondjuk az egészet.
Ott volt a beszerzési osztály egy tagja, az üzemeltetésért felelős személy, a titkárság helyettese, és még mi is. Kiderült, nem férünk be egy normál irodába, el kell mennünk a tárgyalóba. Elkezdtek beszélni az egész helyzetről. Az utóbbi két év teljesen kiölte belőlem az érdeklődést a projekt iránt, szóval csak fapofával hallgattam a sok süketelést. Sajnos a megbeszélés eljutott egy olyan pontra, ahol a szerveren futó programok kerültek elő, ami az én feladatom.
Mert egy adatbázis frontend is lesz rajta, amire a kooperációs partnerek feltölthetik a kísérleteik eredményét. Az összes eredmény nálunk lesz, és majd ebből kell statisztikákat számolni. Sajnos erre nincs kész megoldás, így fejleszteni kell egy viszonylag egyszerű weboldalt, hozzá egy viszonylag egyszerű adatbázissal. Mikor az üzemeltetésért felelős ember megtudta, hogy én készítem a frontendet, anélkül, hogy egyetlen sor kódot is látott volna, elkezdte mondani, hogy ez micsoda biztonsági rés, mert a kutatók nem képesek normális kódot írni, ő már most biztos benne, hogy nem lesz védve az SQL injection ellen. Mert már olyan dolgokat tudnak beírni a hekkerek a HTML mezőkbe, hogy még ő sem érti, nem ám én. Ha pedig az én weboldalamat feltörik, akkor átveszik az irányítást az azt futtató virtuális szerver felett. Következő lépésként kijutnak a virtuális gépből, megtámadják a többi virtuális gépet és az egész egyetemi infrastruktúra halála következik be.
Azt is meg kell értenem, hogy nekik nincs idejük, hogy az én kódomat ellenőrizzék, nem segítenek semmit a szerver adminisztrációba, ezért nekem kell majd a biztonsági frissítéseket felrakni. Hatalmas nyugalmat erőltettem magamra és azt mondtam, menni fog a frissítések felpakolása.
Elmondta, hogy komoly cégeknél biztonsági feltételeknek kell megfelelni egy weboldalnak, sőt, a kormányzati szerveknél még nemzetbiztonsági feltételek is vannak, amelyek még szigorúbbak. Ennek a monológnak amúgy nem értettem, mi volt a lényege, mert az egyetemnek nincs semmilyen ajánlása, előírása. Nincs audit, semmilyen ellenőrzés.
Aztán megint visszatért az SQL injectionra (mintha más támadási felület nem is létezne), hogy ha keretrendszert használnék, akkor sokkal biztonságosabb lenne a weboldal. Kértem tőle, hogy akkor mondjon egy biztonságos keretrendszert.
Elkezdett hadoválni, hogy egyik sem jó, mert ha megszűnik a keretrendszer támogatottsága, akkor nem jönnek ki hozzá frissítések. Meg sztorizgatott, hogy hogyan törnek Wordpress oldalakat. Megkérdeztem, hogy akkor a saját megoldás miért nem jó? Azt válaszolta, hogy az még több rést tartalmaz.
Mondtam, hogy rendben, én át tudom írni akármilyen keretrendszerre a frontendet, csak mondja meg, melyiket használjam. Megint jött a süketelés, hogy nem tud egyértelmű választ adni. És itt el is érkeztünk oda, miért utáltam meg ezt az embert. Fikázni bárki tud, ahhoz nem kell tudomány. Konkrét segítséget nyújtani már nehezebb, ahhoz érteni is kell a témához.
Megint nekiszegeztem a kérdést (talán kicsit indulatosabban a kelleténél), hogy akkor mi legyen, ha saját fejlesztést nem lehet, de keretrendszert sem tud ajánlani? Végül kinyőgte, hogy legyen Laravel, mert az nagyon jól véd az SQL injection ellen. Végül is igen, tavaly óta nincs újabb ismert SQL-hez köthető sebezhetőség. Helyette van cross-site scripting :-)
Kérdezte, mit fog futtatni a szerver. Mondtam Linuxot. Megrázta a fejét. Kiderült, a webkiszolgálóra volt kíváncsi. Mondtam nginx. Megint jött a fintorgás, hogy ha nem számítunk nagy forgalomra, akkor felesleges. Kérdeztem, akkor mi legyen? Azt felelte, ő valahogy mindig visszatért az Apache-hoz.
Zárásként mejegyzem, hogy nem ez az egyetlen egyetem, aminek a berkeiben szervert üzemeltetek. Érdekes, azokon a helyeken sokkal támogatóbb a csapat. Valamint, ki tudja, miért, de van idejük figyelni a hálózati forgalmat, és szólni, ha valami gyanúsat találnak. Nem fikázzák az ember munkáját, hanem gyakorlati tanácsokkal látják el. Ez az ember meg hárítja a felelősséget, kötekedik. Remélem többet nem találkozom vele.
