MegaBIP
program do zakładania i prowadzenia stron podmiotowych BIP
bezpłatny w podstawowej wersji
Na nowe bazy
21.02.2024
Wersja 5.11 rozwiązuje problemy, które mogły wystąpić z niektórymi bazami.
Nowy instalator i inne nowości
19.02.2024
W wersji 5.10 można przetestować automatyczny aktualizator i automatycznie blokować panel.
Digital Services Act a publikacja BIP
11.02.2024
17 lutego wchodzi w życie DSA (Akt o Usługach Cyfrowych) i... nic nie musisz robić.
MegaBIP to program (CMS) do tworzenia i prowadzenia strony podmiotowej BIP.
Jest zgodny z przepisami i bezpłatny w podstawowej wersji.
Incydent bezpieczeństwa MegaBIP i inne fantasmagorie
10.02.2024
Oświadczenie
Na stronie https://www.cve.org/cverecord?id=CVE-2023-5378 został opublikowany wpis o rzekomej podatności MagaBIP. Są to nieprawdziwe informacje. Zwróciłem się o ich sprostowanie. Tymczasem słowo wyjaśnienia.
Jesienią 2023 dostałem informację od Klientki, że ktoś straszy ją rzekomymi wadami bezpieczeństwa MegaBIP. W październiku otrzymałem anonimową (nie podpisaną przez nikogo – sic!) informację z CERT, że SmodBIP i MegaBIP są podatne CVE-2023-4837 i 5378. Już wówczas informowałem, że to nieprawda. Zapis o rzekomej podatności zawiera informację o dwóch kompletnie różnych programach. Jeden z nich od dekady (sic!) nie jest ani aktualizowany, ani rozwijany, ani wspierany. Klienci o tym wiedzą. Zresztą program ten zawsze był bezpłatny i OpenSource.
Drugi to MegaBIP. Kompletnie inny program, który tyle ma wspólnego ze SmodBIP, że oba mają jednego autora i oba służą do publikacji stron podmiotowych. Już wówczas informowałem, że to co wypisuje CERT to nieprawda. A podany „przykładowy scenariusz ataku” niczego niewłaściwego nie powoduje. Co więcej każda próba jest precyzyjnie odnotowywana w logach – zgodnie z przepisami – kto, kiedy, co i jak próbował. Zwróciłem się do autorów tamtej wiadomości o szczegóły na temat rzekomej podatności. Nie otrzymałem żadnej odpowiedzi. Nigdy.
Co więcej – zostałem poinformowany, że CERT „zakłada” (sic!) że błąd występuje. Nikt nie wziął odpowiedzialności za to niepoważne pomówienie. Mimo deklaracji nikt też nie odpowiedział na moje próby kontaktu. Zgaduję, że nikt też nie sprawdził tych „scenariuszy ataku”.
Przypominam, że w Polsce wciąż obowiązuje trzeci (z czterech) poziom ochrony infrastruktury krytycznej. Choć stronę BIP trudno uznać za taką infrastrukturę to całe "zaplecze" już można...
MegaBIP w wersji 5 jest dostępny od 13 miesięcy, notatka o „podatności” dotyczy wersji 4.36.2. Pomijając fakt, że to stara wersja – program jest na bieżąco aktualizowany i każdy ma dostęp do bezpłatnej aktualizacji, to jest to informacja zwyczajnie nieprawdziwa.
Publikacja ta i milczenie w (braku) odpowiedzi na prośbę o podanie jakichś szczegółów nosi znamiona działania na szkodę tak moją, jak i moich klientów. Zwróciłem się o sprostowanie.
Każdą informację o wadzie przyjmuję z pokorą. Nie uważam, że jestem nieomylny, ani że program jest całkowicie wolny od błędów. Ale jeśli pojawi się błąd – jest on priorytetowo naprawiany. A bezpieczeństwo wraz z wygodą użytkowania programu, zawsze były dla nas najważniejsze. Trudno mi jednak przyjmować poważnie anonimowe zgłoszenie. Do tego dotyczące wyimaginowanych problemów, które "są zakładane". Potrzebne są konkrety.
Państwa BIP jest bezpieczny.
Jan Syski
Bądźmy w kontakcie
Aktualności na temat MegaBIP znajdziesz też na naszym profilu FB
Nowy instalator i inne nowości
Digital Services Act a publikacja BIP