Wszystko co związane z Naszą Klasą jest bardzo chwytnym i nośnym tematem, dlatego nic dziwnego, że od czasu do czasu pojawiają się sensacyjne informacje na temat serwisu.
Ostatnio Dziennik internautów (który bardzo cenię i codziennie czytuję) dał się niestety podpuścić serwisowi aukcje.org i napisał o kontrowersyjnym połączeniu profil Allegro z kontami na NK. Główne wątpliwości według DI związane są z:
Moim zdaniem absurdalnym zarzutem o tym, że Allegro namawia użytkowników do postępowania niezgodnie z własnym regulaminem serwisu – i co ciekawe Aukcje.org i DI wiedzą lepiej niż twórcy co on w praktyce oznacza:
Po pierwsze, mimo iż możliwość skorzystania z takiej opcji ogłosiło samo Allegro, pozostawianie loginu i hasła konta Allegro w innym serwisie jest sprzeczne z regulaminem platformy aukcyjnej. Punkt 2.13 tego regulaminu
Oraz z brakiem szyfrowania komunikacji miedzy NK a Allegro (a wszyscy wiemy jak takie plotki się szybko rozprzestrzeniają w internecie) – co brzmi dość poważnie i groźnie:
Na tym jednak nie koniec. Jak zauważa Jacek Strzebkowski z serwsu Aukcje.org, wysyłane poprzez Naszą-klasę dane dotyczące hasła do Allegro nie są szyfrowane
Generalnie cały artykuł jest mocno inspirowany na wpisie pochodzącym od Jacka Strzebkowskiego z aukcji.org. Przeważnie DI stara się zweryfikować, kontrowersyjne sytuacje u źródeł – nie wiem dlaczego tym razem redaktorzy tego nie zrobili?
Gdyby zapytali się o wyjaśnienie całej sytuacji NK dowiedzieli by się, że:
Co do zarzutu Pana Jacka a propos szyfrowania danych – odpowiada Joanna Gajewska (Rzecznik Prasowy NK):
Przypomnijmy dla porządku, w odniesieniu do procesu łączenia profilu nk z alle kontem:
„Twój login i hasło do allegro.pl nie będą zapisane w naszej bazie danych.
Służą do jednorazowego potwierdzenia tego, że jesteś właścicielem deklarowanego konta. (…)
By powiązać profil z kontem, przechowujemy jedynie Twój numer identyfikacyjny z allegro.pl”Proces łączenia (czyli jedyny moment, w którym na nk potrzebne jest hasło do konta na allegro) odbywa się przy wykorzystaniu protokołu ssl: https://ssl.nasza-klasa.pl/allegro/bind
Próba pominięcia protokołu jest niemożliwa (gdyby ktoś chciał wykasować ssl z url i próbował skończyć operację w ten sposób, automatycznie, ponownie zostałby przeniesiony na: https://ssl.nasza-klasa.pl/allegro/bind)
Co się tyczy pozostałych zarzutów, wypowiadał się Patryk Tryzubiak – rzecznik Allegro
Lista współpracujących z nami serwisów nie istnieje. Powodem jest brak serwisów, które stanowiłyby wyjątek od punktu 2.13. Wszystkie tzw. coobrandy kierują logowania do naszych serwerów. Jak widać, Użytkownicy nie przekazują haseł żadnym zewnętrznym podmiotom.
Jeżeli chodzi o naszą-klasę.pl – login i hasło do Allegro nie są zapisywane w bazie danych tego serwisu. Nie mają do niego również dostępu pracownicy naszej-klasy.pl. Służą jedynie do jednorazowego potwierdzenia, iż osoba próbująca połączyć profil i konto Allegro jest ich właścicielem. Do powiązania konta z profilem potrzebny jest jedynie numer identyfikacyjny pochodzący od nas.
W przypadku każdego coobrandu podpisywana jest z partnerem stosowna umowa. Reguluje ona również problem haseł i logowania. Nasi partnerzy są takimi umowami ograniczeni w kwestii logowań. Poza tym – nie mają dostępu do takich danych jak hasła.
Jak widać, na tę chwilę nie ma potrzeby umieszczania odpowiedniego załącznika w regulaminie.
Jeśli chodzi o sam proces łączenia kont, odbywa się on za pośrednictwem bezpiecznych połączeń. Nasza-klasa.pl spełnia nasze oczekiwania jeśli chodzi o proces weryfikacji loginu Użytkownika Allegro, jak również ogólny poziom bezpieczeństwa serwis
Nie chcę wychodzić na obrońcę naszej klasy – natomiast zarzuty czy też ujmując to bardziej dyplomatycznie wątpliwości jakie w swoim artykule (który pojawił się później na gazeta.pl) zawarł DI wydały mi się tak absurdalne, że postanowiłem je zweryfikować u przedstawicieli NK (i naprawdę nie trwało do długo, następnego dnia po napisaniu maila do rzecznika NK dostałem odpowiedz).
Witaj, nazywam się Grzegorz Marczak i jestem autorem tego bloga. Piszę tutaj o serwisach społecznościowych, nowych technologiach i nowych trendach w internecie.
Grzegorz, wiesz jak jest;) Nikt nie lubi sukcesu innych dla tego tez powstają takie bzdurne informacje. Fakt, faktem jednak, ze głupio dawać się tak podpuszczać.
@Paweł – nie podejrzewam DI o takie motywacje.
Mnie interesuje tylko jedna rzecz … a mianowicie ile allegro zapłaciło za taką formę promocji.
Pozdrawiam
no popatrz! Nie trudne, prawda? A ile trzeba bylo sie naprosic:) dobra tendencja, moze innych blogersow to czegos nauczy.
Nie widzę sensu autoryzacji celem potwierdzenia, że jest się właścicielem danego konta Allegro – przecież Allegro ma na celu reklamę, a ma ją bez względu na to, czy użytkownik NK będzie miał swoje czy cudze aukcje w profilu. Nie widzę także powodu, dla którego dany użytkownik miałby powiązywać czyjeś aukcje ze swoim profilem na NK
Nie widzę także żadnego sensu [prócz marketingowego ze strony Allegro] na powiązanie tych dwóch platform, a w szczególności prezentowania aukcji znajomym.
Nie zgadzam się ze stwierdzeniem, że Allegro łamie własny regulamin. Śmiem wątpić, czy każdy pracownik interpretuje go jednakowo. Tak w ogóle administracja Allegro interpretuje zapisy regulaminu pod daną sytuację. Do tej pory nie można było sprzedawać znajomym – teraz już można, bo podpisali umowę z NK i zapis regulaminowy “obowiązuje”, a może nie.. sam nie wiem.
Ostatnio na czterech moich aukcjach zalicytował (pseudo)hacker po włamaniu się na konto jednego z Allegrowiczów [a będzie się to działo coraz częściej jeśli będą takie (pseudo)dodatki jak opisywany na NK]. Co prawda zwrócili prowizję od sprzedaży [w przyspieszonym tempie, ponieważ sami uznali, że sytuacja tego wymaga], ale ze zwrotem kosztów wystawienia aukcji zasłaniają się regulaminem – że “Koszty wystawienia aukcji nie podlegają zwrotowi, nawet gdy transakcja nie zostanie sfinalizowana.”. Zrozumiałbym to, gdyby faktycznie była jakaś odwołana transakcja :)
No to koledzy i koleżanki. Szykujcie się na “kopertki” [bo też mogą już licytować, mimo blokady w Panelu Administracyjnym konta Allegro] i na (pseudo)hackerów [być może pracowników Allegro, którym klient żali się podając hasło do swojego konta], którzy będą wam licytować na aukcjach, a Wy będziecie _zmuszeni_ płacić ogromne prowizje [99 zł od aukcji jeśli jest wystawiona z opcją strony głównej] bo Allegro nie poczuwa się do odpowiedzialności za takie sytuacje ;)
Pozdrawiam
Hazan, w momencie publikowania tekstu na DI tego SSL-a tam nie bylo (sprawdzalem). Polaczenie przez SSL zostalo wprowadzone pozniej.
Druga rzecz – dla tzw. “zwyklego uzytkownika” wiarygodne moga byc naprawde bardzo rozne serwisy. A przed wyslaniem danych wcale nie musi wiedziec, ze dane ida prosto do Allegro.
@Wilk – chcesz powiedzieć, że NK i Allegro wprowadziło SSL-a po tym jak ich o to zapytałem? :)
dla allegro Polska jest juz za ciasna, ciezko znalezc nowy kanal dotarcia do nowych uzytkownikow i chyba go znalezli
moge sie zalozyc jak kiedys mamy i babcie uczyly sie klikac w myszke aby zobaczyc zdjecie kozanek sprzed lat teraz zaczna (no moze nie odrazu) sprzedawac drobne rzeczy lub kupowac – chyba taki zamysl byl pomyslodawcow wspolpracy
a co do watku poruszanego to dowiedzialem sie ze istneije cos takiego jak aukcje.org ;)
Fajnie, że napisałeś sprostowanie Grzegorz – ja starałem się to wytłumaczyć tak Strzembkowskiemu, jak i różnym innym betonom na DI (tak Wilk – do Ciebie też piję – SSL był tam od samego początku), ale ciężko coś wyjaśnić ludziom, dla których NK i Allegro to nic innego jak komercja, zuo i przyczyna głodu w Afryce, więc każdy news anty jest podchwytywany przez nich i radośnie powtarzany, mimo iż a) sami nie sprawdzą, b) nie mają o tym pojęcia.
Nie wiem, w ktorym dokladnie momencie, wiem tyle, ze gdy tekst byl puszczany w DI SSLa tam nie bylo. Tak wiec albo SSLa wprowadzono po publikacji tekstu/otrzymaniu pytan (z DI tez wysylalismy zapytania do Allegro, moj blad, ze nie dodalem zdania, ze po ich otrzymaniu tekst zostanie zaktualizowany) albo byla to chwilowa przerwa (tyle, ze Jacek z Aukcje.org tez juz wczenisej zauwazyl problem).
@wilk – a to wy z tych co najpierw bija a potem pytaja…
@dago – no wybacz, ale o wysylaniu hasel w ten sposob to jednak imho trzeba bylo ostrzec. Jak widać poskutkowało, skoro wprowadzili SSL. Nawiasem mała prosba: jesli krytykujesz, to krytykuj konkretną osobe (w tym przypadku mnie), a nie całą redakcje.
no, a może byli w trakcie wprowadzania SSL i jedni załapali się na okres przed, a drudzy na po.
przy okazji odnoszę wrażenie, że ostatnio antyweb stał się nieco pro naszo-klasowy, wcześniej jak czytałem tutaj wpisy to był neutralny, a czasem nawet anty…
;)
Mogli byc w trakci, a mogli nie byc. Nie bylby to pierwszy raz, gdy jakis serwis sygnowany przez Allegro wprowadzil SSL dopiero jak zaczeto o tym mowic. Podobnie bylo z CoKupic i z aukcjami WOSP-owymi.
Zanim ktos sie bedzie czepiac slowek :) Oczywiscie w przypadku NK Allegro nie sygnuje serwisu, tylko wspolprace z nim :)
@Grzegorz Marczak
proszę, proszę, cały art i to dla odróżnienia napisany, a nie przepisany z zachodniego serwisu. Cieszę się, że to co robię zmusza do wysiłku umysłowego.
Do rzeczy:
Lista współpracujących z nami serwisów nie istnieje. Powodem jest brak serwisów, które stanowiłyby wyjątek od punktu 2.13. Wszystkie tzw. coobrandy kierują logowania do naszych serwerów. Jak widać, Użytkownicy nie przekazują haseł żadnym zewnętrznym podmiotom.
Lista serwisów, którym użytkownicy udostępniają loginy i hasła:
snip.pl
snajper.net
snip24.pl
aukcjoner.net
esnajper.pl
bidnapper.com
kokos.pl
finansowo.pl
swistak.pl
dawne polano.pl
allezoo.pl
i inne.
login i hasło do Allegro nie są zapisywane w bazie danych tego serwisu
Regulamin Allegro nie wspomina o “_zapisywaniu_ loginu i hasła w bazie danych serwisu”, a jest w nim mowa o “udostępnianiu”:
2.13.
Użytkownikowi nie wolno korzystać z Kont innych Użytkowników oraz udostępniać swojego Konta innym osobom, z wyjątkiem przypadków udostępnienia Konta Firmowego osobom należycie umocowanym przez Użytkownika do działania w jego imieniu. Użytkownik powinien zachować w tajemnicy hasło do Konta. Konta są niezbywalne.
Nasza-klasa.pl spełnia nasze oczekiwania jeśli chodzi o proces weryfikacji loginu Użytkownika Allegro, jak również ogólny poziom bezpieczeństwa serwis
Niestety, nie potwierdzają tego dwie niezależne firmy oraz dociekliwy Internauta:
http://technologie.gazeta.pl/technologie/1,82011,5776703,Luka_w_Nasza_klasa_pl___sa_powody_do_obaw_.html
Tyle jeśli chodzi o rzecznika, którego słowa przekonały Cię. Na tym polega jego praca. Ze mną Allegro kilkukrotnie próbowało sztuczki pt. “jest coś, czego nie było”. Kiedy dwa lata temu powiadomiłem allegro, aukcje24.pl oraz ebay.pl o luce XSS, Michał Klar z Allegro po miesiącu napisał że “wg (jego) informacji dokładnie ten zestaw skryptów nie powinien zadziałać”. Nie zauważył przy okazji, że wymagany zestaw znaczników był obecny na stronie innego administratora.. i działał. Natomiast łatanie zrobiono na tyle nieudolnie, że przez cały 2006 i 2007 rok w serwisach roiło się od doniesień o podatności XSS i CSRF w Allegro. Tyle mniej-więcej znaczą słowa pracownika średniego szczebla z Allegro.
Jedźmy dalej. Regulamin Nasza-Klasa:
6.7. Zabrania się wykorzystywania Serwisu w sposób sprzeczny lub niewłaściwy z jego celem społecznościowym. (…) Zabrania się również rozsyłania spamu i niezamówionej informacji handlowej oraz uprawiania działalności komercyjnej, reklamowej, promocyjnej itp.
A teraz Pomoc Allegro, definiująca “nieuczciwe zawyżanie kwot oferowanych w licytacji” z Regulaminu:
Osoby powiązane ze sobą w jakikolwiek sposób (np. rodzina, współpracownicy, sąsiedzi, znajomi) nie mogą składać ofert między swoimi kontami. Zakaz dotyczy wszystkich formatów sprzedaży i obowiązuje nawet w przypadku odwołania oferty przez Sprzedającego. Jeśli jesteś właścicielem konta firmowego, poinformuj o tej zasadzie swoich pracowników.
Kwestii zgodności z tymi punktami regulaminów i zasad – ani Ty, ani żaden z rzeczników jakoś nie poruszyliście… szkoda. Moje i Marcina “ale” – jak na razie zostały zbite zdaniem “wiedzą lepiej niż twórcy co on w praktyce oznacza”. Powinieneś wiedzieć, że Allegro było wielokrotnie i skutecznie pozywane o zapisy regulaminu i przegrało wszystkie znane mi sprawy w SOKIK – bo okazywało się, że jednak administratorzy wiedzą o swoich zasadach mniej niż zwykły użytkownik.
Spokojnego długiego weekendu.
Tak dla testów podłączyłem konto allegro do naszej klasy zaraz na początku gdy ta usługa została wprowadzona i nie zauważyłem aby proces autoryzacji był przeprowadzany poprzez SS a zwykle zwracam uwagę na to w jaki sposób realizowane jest połączenie.
Nie mogę nie zgodzić się ze stwierdzeniem @Azazello że antyweb jest pro NK. Ciekaw jestem co za tym stoi?
@RaPi
nie napisałem, że antyweb jest pro NK, miałem na myśli to, że ostatnio Grzegorz piszę troszkę bardzie subiektywnie o NK wcześniej było bardziej obiektywnie. To tylko moja osobista uwaga jako obserwatora mediów…
Proszę się nie doszukiwać negatywnych konotacji w moim rozumowaniu.