A w niej naprawiony błąd źle działających linków w Deklaracji Dostępności.
MegaBIP to program (CMS) do tworzenia i prowadzenia strony podmiotowej BIP.
Jest zgodny z przepisami i bezpłatny w podstawowej wersji.
Publikuję dziś wersję 5.12, z której zostały usunięte wszystkie cechy, które potencjalnie mogły powodować zgłaszanie różnego rodzaju „podatności”. Program został przetestowany także przez zewnętrznych, niezależnych specjalistów.
Opublikowane przez CERT podatności: CVE-2024-1577, CVE-2024-1576, CVE-2024-1659 nie są w MegaBIP obecne.
Nie będę powtarzać tego, co już dwukrotnie pisałem. Na koniec dodam tylko kilka uwag natury ogólnej – dla zainteresowanych tematem. A zatem o nowościach:
Po pierwsze wersja 12 nie jest niestety („jeszcze” więc nil desperandum) wyposażona we wszystkie nowości, które były zaplanowane. Z uwagi na zamieszanie związane ze wspominaną już „rekomendacją” część prac musiała zostać odsunięta w czasie, chcieliśmy jak najszybciej wydać wersję wolną od wątpliwości i ew. błędów.
I tak nowa wersja wyposażona jest w szyfrowanie danych dostępowych do bazy. Dane te muszą być (oczywiście) dostępne dla skryptu i są przechowywane w plikach na serwerze. Za limitowanie dostępu do tych plików odpowiada w zasadzie usługodawca (administrator serwera). Ale MegaBIP jest wyposażony w dodatkowe zabezpieczenie, szyfrowanie tych danych. Zatem nawet jeśli ktoś nieprawnie wejdzie w ich posiadanie, nie będzie mógł z nich skorzystać.
Został dodany także miernik siły hasła, żeby ułatwić redaktorom dobór bezpiecznego hasła. Od wersji 5.12 program przypomina i informuje o sile wybranego hasła. Hasło powinno mieć minimum 8 znaków, małe i duże litery, cyfry oraz znaki specjalne. To zalecenie, nie wymóg programu. Czyli program nie zablokuje próby zapisania słabszego hasła.
Wprowadziliśmy też szereg usprawnień i dodatkowych zabezpieczeń, których szczegóły pozostaną poufne.
Zostały także naprawione błędy – ogłoszenia o przetargach wyświetlały się z nieprawidłowymi danymi osoby, która je publikowała.
Kwestie formalno-prawne
Wystosowaliśmy pismo do Pełnomocnik Rządu ds. Cyberbezpieczeństwa p. Krzysztof Gawkowskiego – będę Państwa informował.
Tło całej sprawy
Ataki na MegaBIP trwają od jesieni zeszłego roku. Atakowany jest program, nasze serwery, nasze konta w mediach społecznościowych i ja personalnie (sic!). Straszeni są nasi klienci! Zachęcani do przejścia na inne platformy. Zdumiewa mnie fakt, że tak bardzo zaangażowany w to wszystko jest CERT. Chciałbym wyraźnie podkreślić, że nigdy nie twierdziłem, że moje programy nie mają błędów czy wad. Zresztą wystarczy prześledzić historię publikowanych na megabip.pl wiadomości, żeby się przekonać, że błąd zawsze jest podawany do publicznej wiadomości i naprawiany.
Wspominałem już wcześniej, że zrównywanie SmodBIP i MegaBIP nosi znamiona złej woli. Twierdzenie, że skoro SmodBIP ją miał jakąś dziurę dziesięć lat temu to „należy wnioskować, że MegaBIP też ją ma", jest tak samo zasadne jak twierdzenie, że w nowej wersji Mercedesa nie działają poduszki powietrzne, bo wozy drabiniaste 50 lat temu ich nie miały. To absurd, a jednak podany publicznie przez instytucję.
MegaBIP to program, który każdy klient dostaje w pełnej wersji i sam instaluje gdzie zechce. Nie trzeba nawet być klientem, żeby program pobrać. Stosunkowo łatwo jest więc poddać go wszelkim analizom, na wszelkie możliwe sposoby. I stosunkowo trudno jest go zabezpieczyć – przecież program musi działać wszędzie i jego obsługa musi być możliwa bez względu na poziom wiedzy i doświadczenia osób, które go instalują i używają.
Oczywiście nie da przewidzieć każdej możliwej konfiguracji, każdej chmury i sprzętu, nie da się przyjąć założenia, że każdy administrator serwera zna się na swojej pracy. Także każda kolejna wersja MegaBIP musi być kompatybilna w dół, bo nie można założyć że każdy użytkownik przeprowadzi każdą kolejną aktualizację swojego programu. Zwracam uwagę, że od wersji 4 do aktualizacji nie jest potrzebny instalator, a wersja 5 ma automatyczny aktualizator.
W rezultacie każda kolejna wersje MegaBIP wymaga wielokrotnie więcej pracy, testów, zabezpieczeń i – niestety – kompromisów. Z tego między innymi względu nie ma w programie automatycznej kopii bezpieczeństwa opartej na CRON (jest inne, nieco mniej wygodne rozwiązanie).
Widać więc gołym okiem, że MegaBIP osiągnął sukces i komuś on bardzo przeszkadza. MegaBIP jednak sam doskonale się broni – powstał na bazie już niemal 20 lat doświadczeń, tysięcy wdrożeń, dziesiątek tysięcy przedyskutowanych godzin. Powstał w odpowiedzi na rzeczywiste potrzeby użytkowników i we współpracy z nimi.
Czy MegaBIP jest wolny od błędów? Oczywiście nie można wykluczyć, że nie. Jednak stało się już tradycją, że błędy są lokalizowane i usuwane.
Na nieetyczne działania konkurencji wkrótce przygotowuję stosowną odpowiedź. Będziemy też z uwagą przyglądać się działaniom CERT związnym z innymi producentami programów do BIP.
Poprzednie informacje w tym temacie:
https://megabip.pl/index.php?id=24,121
https://megabip.pl/index.php?id=24,126
Jeszcze kilka drobnych poprawek
Accesibility/Ułatwienia dostępu na dużo wyższym poziomie
Wersja 5.14 - proszę przeczytaj...