Można włączyć pobierania całej treści strony za jednym zamachem.
A w niej naprawiony błąd źle działających linków w Deklaracji Dostępności.
MegaBIP to program (CMS) do tworzenia i prowadzenia strony podmiotowej BIP.
Jest zgodny z przepisami i bezpłatny w podstawowej wersji.
Oświadczenie
Na stronie https://www.cve.org/cverecord?id=CVE-2023-5378 został opublikowany wpis o rzekomej podatności MagaBIP. Są to nieprawdziwe informacje. Zwróciłem się o ich sprostowanie. Tymczasem słowo wyjaśnienia.
Jesienią 2023 dostałem informację od Klientki, że ktoś straszy ją rzekomymi wadami bezpieczeństwa MegaBIP. W październiku otrzymałem anonimową (nie podpisaną przez nikogo – sic!) informację z CERT, że SmodBIP i MegaBIP są podatne CVE-2023-4837 i 5378. Już wówczas informowałem, że to nieprawda. Zapis o rzekomej podatności zawiera informację o dwóch kompletnie różnych programach. Jeden z nich od dekady (sic!) nie jest ani aktualizowany, ani rozwijany, ani wspierany. Klienci o tym wiedzą. Zresztą program ten zawsze był bezpłatny i OpenSource.
Drugi to MegaBIP. Kompletnie inny program, który tyle ma wspólnego ze SmodBIP, że oba mają jednego autora i oba służą do publikacji stron podmiotowych. Już wówczas informowałem, że to co wypisuje CERT to nieprawda. A podany „przykładowy scenariusz ataku” niczego niewłaściwego nie powoduje. Co więcej każda próba jest precyzyjnie odnotowywana w logach – zgodnie z przepisami – kto, kiedy, co i jak próbował. Zwróciłem się do autorów tamtej wiadomości o szczegóły na temat rzekomej podatności. Nie otrzymałem żadnej odpowiedzi. Nigdy.
Co więcej – zostałem poinformowany, że CERT „zakłada” (sic!) że błąd występuje. Nikt nie wziął odpowiedzialności za to niepoważne pomówienie. Mimo deklaracji nikt też nie odpowiedział na moje próby kontaktu. Zgaduję, że nikt też nie sprawdził tych „scenariuszy ataku”.
Przypominam, że w Polsce wciąż obowiązuje trzeci (z czterech) poziom ochrony infrastruktury krytycznej. Choć stronę BIP trudno uznać za taką infrastrukturę to całe "zaplecze" już można...
MegaBIP w wersji 5 jest dostępny od 13 miesięcy, notatka o „podatności” dotyczy wersji 4.36.2. Pomijając fakt, że to stara wersja – program jest na bieżąco aktualizowany i każdy ma dostęp do bezpłatnej aktualizacji, to jest to informacja zwyczajnie nieprawdziwa.
Publikacja ta i milczenie w (braku) odpowiedzi na prośbę o podanie jakichś szczegółów nosi znamiona działania na szkodę tak moją, jak i moich klientów. Zwróciłem się o sprostowanie.
Każdą informację o wadzie przyjmuję z pokorą. Nie uważam, że jestem nieomylny, ani że program jest całkowicie wolny od błędów. Ale jeśli pojawi się błąd – jest on priorytetowo naprawiany. A bezpieczeństwo wraz z wygodą użytkowania programu, zawsze były dla nas najważniejsze. Trudno mi jednak przyjmować poważnie anonimowe zgłoszenie. Do tego dotyczące wyimaginowanych problemów, które "są zakładane". Potrzebne są konkrety.
Państwa BIP jest bezpieczny.
Jan Syski
Pobieranie całej treści - 5.18
Jeszcze kilka drobnych poprawek
Accesibility/Ułatwienia dostępu na dużo wyższym poziomie