Једног поподнева, у петак, у новембру 2012. године, лутајућа линија кода је пронађена у МедиаВикију, софтверу који подржава сајтове Викиједије и хиљаде других викија.
Ово је потенцијално утицало на све сајтове који су у власништву овог петог по посећености интернет „имања“, међу којима су Википедија, Викимедијина остава, ВикиРечник и друго. Овај безбедносни проблем је био лако поправљив, сао да су инжињери Викимедије били свесни проблема.
А нису били.
На другом сајту, ово би био проблем који би могао да створи хиљаде незадовољних корисника. Или горе.
Али у Задужбини Викимедије, чак и ван нормалног радног времена, овакав проблем се третира као баг и наводи као проблем одмах. И то не увек од стране програмера који раде за Задужбину.
У овом случају, корисник Википедије PleaseStand је приметио проблем и поднео извештај, који је затим прошао кроз ланац комуникација све до сигурносног тима. Баг је поправљен и пре него што је учињена икаква штета.
Сигурносни проблеми су пријављени као сигурносни багови на Bugzilla-и, или могу бити пријављени на security@wikimedia.org електронским путем. Ова два начина се стално користе.
Ово је, наравно, сан сваког администратора сајта – Добри Самарићанин тихо имарљиво показује сигурносне проблеме.Таква добра воља не постоји баш свуда.
“Ми се углавном не обраћамо директно волонтерима и не тражимо од њих да активно траже сигурносне проблеме,” каже Роан Катов, старији програмски инжињер Задужбине Викимедије, и главни програмер на МедијаВикију. “Углавном се они обраћају инжињерском тиму Задужбине. Он сада ради са волонтерима програмерима на поправљању кода МедијаВикија.
Он објашњава да програмери Задужбине Викимедије често добијају успутне извештаје” када неко пријави сигурносни проблем електронским путем. “Углавном, после тога их никада више не сретнемо,” каже Катов.
Међутим, неки корисници, као што је корисник Википедије који је открио грешку у Javascript-у, често пријављују грешке.
Ови корисници су веома важни.
С обзиром да овај софтвер одржава много сајтова, сигурност је веома важна, али поправљање проблема на сајтовима са толико различитих конфигурација може бити веома комплексан, а неки сајтови чак имају и могућност рада чак и са несигурном конфигурацијом да би задовољили своје кориснике.
Неки багови су озбиљнији од других, те стога у њиховом решавању заједница не учествује толико. Други сигурносни проблеми морају бити решени пре него што корисници добију прилику да их примете.
“Када би наш систем против платних превара био објављен негде јавно, са јасно исказаним свим могућим правилима и главним вредностима, преваранти би одмах променили своје понашање довољно да заобићу сва наша правила,” објашњава Кејти Хорн, главни програмер Инжињерског тима за прикупљање донација Задужбине Викимедије.
У оваквим случајевима, ослањање на помоћ корисника постаје проблематична. У случајевима када су преваре и крађе – два најчешћа сигурносна проблема – примећене од стране корисника, већ може бити касно.
Хорнова и њен тим морају стално бити свесни сигурносних проблема, све од ране фазе планирања пројекта за прикупљање средстава, па све до краја.
“Превара кроз донацију је константна претња нашем електронском систему плаћања,” каже она. “Највеће преваре чине људи који покушавају да нас користе као прелиминарни тест којим проверавају да су украдене кредитне картице још увек валидне пре него што изврше куповину негде другде.”
Необично својство које чини довод донација Задужбине Викимедије толиком метом јесте чињеница да донатори не морају да направе рачун. Захтевање да се направе рачуни би додало још један слој сигурности донацијама. Али, како Хорнова објашњава, то је баланс. “Обавезно стварање рачуна изазива притисак код наших донатора који је беспотребан, коју већински чине анонимни читаоци.”
Анонимност, међутим, не зауставља добијање добрих, искрених повратних информација; те повратне информације пристижу кроз различите канале који су постављени искључиво због потреба донатора.Донатори најчешће нису упознати са стандардним процесом пријаве багова на Викимедији, те су охрабрени кроз донаторски процес да пријаве проблеме на problemsdonating@wikimedia.org. Ове повратне информације помажу инжињерима за прикупљање средстава тако што има помажу да наслуте могуће сигурносне проблеме везане за донације, и на тај начин среди багове на време.
“На срећу, имамо малу групу људи који прочешљавају електронске повратне информације пристигле од донатора и проналазе праве проблеме, а тако преносе и вест о проблемима правим људима,” каже она. “Било би нам много теже да радимо наш посао да они нису ту.”
Одржавање сигурности МедијаВики сајтова је посао малог тима. Постоји између троје и петоро људи који раде на сигурности с времена на време, заједно са једним инжињером којем то представља стални посао.
Са армијом корисника која пријављује проблеме на security@wikimedia.org и друге канале, сигурност сајта ради како треба. Стога, ако приметите неки проблем, пријавите га овде.
Џошуа Ерет, волонтер за комуникације Задужбине Викимедије
са енглеског превела: Тања Милошевић