Script yazdıran ve yazanlar lütfen bakar mısınız?

Arkadaşlar az önce değer verdiğim biriyle tatsız bir olay yaşadım ve sizlere olgusal olarak bu olaydan bahsetmek istiyorum (yorumlarınızı almak için)

Bu forumda tanıştığım ve dürüstlüğünü takdir ettiğim bir arkadaşımızın
resim sitesi vardı.
site tamamen html üzerine kuruluydu.
resme tıklandığında (ufak resme) yeni bir pencerede açılıyordu.
dolayısı ile reklam gösterimi yoktu (resimlerin büyük haliyle)

benden isteneni (ücret yada siteden reklam hizmeti karşılığında yada ikisi karışık şu an için inanın hatırlamıyorum) o gün için yaptım.
bütün html dosyalarını php ye dönüştürdüm.

resim gösterimi için bir sayfa hazırladım
ufak resme tıklandığında gidilen php sayfasında hangi resim GET ile geliyorsa o resim gösteriliyor şekildeydi.

arkadaşın gösterim sayısı epey arttı bu düzenleme ile

bir yıl sonra birinden bir email almış ve sitesinde açık olduğuna dair.
kişi GET ile giden parametreyi adrese farklı birşeyler yazabiliyor ve bunu site sahibine hatırlatmış.

sen iyi bir programcısın nasıl açık bırakırsın tavrıyla zorunda bırakma çabası beni rahatsız etti. Zorunda olmadığım halde ilgili düzenlemeyi yaptım.

olay bu sizlerden şunu istiyorum.

Program yazan birisi iseniz (yazdığınız programın sürekli arkasında durma sorumluluğunuz var mı? bakım anlaşması yapmadığınız halde)

program yazdırıyorsanız program yazandan sürekli desteği satın almadan (sadece program ücreti ödeyerek) sürekli destek alma hakkınız olduğunu düşünür müsünüz?

(bu desteğin script yazıldıktan hemen sonraki 1-2 aylık sürede demiyorum: sürekli yazdığınızın arkasında olmak olarak diyorum)

Ben bunu kesinlikle o arkadaşa yönelik sormuyorum.
Bu işin mantığı sizce ne olmalı diye soruyorum.
Olayı kişiselleştirmeden yorumlarınızı yaparsanız sevinirim.
yani o böyle yapmalıydı yada sen şöyle yapmalıydın gibi yorumlar istemiyorum.
Bunu olgusal ele almayacaksanız lütfen yazmayın.

Yazan programcılara ve program yazdıranlara teşekkür ederim.

Anlaşma yapılmadıysa bakım yapmak durumunda değilsin. Bir ağa bağlı hiçbir bilgisayarın ya da program tam olarak güvende değildir. Açığın tipine göre değişir, çok basit birşeyse ben de nasıl gözden kaçırabildin diyebilirim, ama onun dışında hepimiz insanız. Hepimiz hata yapıyoruz. Kaldı ki benim bildiğim bizim piyasamızda işler pazarlıkla ve saçma ücretlere yaptırılıyor. Sonra da gelip işte kötü muamelede görüyorsunuz.

ben bir kaç script yazdırdım ve ileride sorunla karşılaştığım zaman durumu anlattığımda yardımcı oldular çünkü sonuçta onların hatası , eksik yapmışsa düzeltecek.ha herkes böyle olmak zorunda değil tabiki ama ben böyle kişilerle çalışıyorum.

Angelo' Alıntı:

Anlaşma yapılmadıysa bakım yapmak durumunda değilsin. Bir ağa bağlı hiçbir bilgisayarın ya da program tam olarak güvende değildir. Açığın tipine göre değişir, çok basit birşeyse ben de nasıl gözden kaçırabildin diyebilirim, ama onun dışında hepimiz insanız. Hepimiz hata yapıyoruz. Kaldı ki benim bildiğim bizim piyasamızda işler pazarlıkla ve saçma ücretlere yaptırılıyor. Sonra da gelip işte kötü muamelede görüyorsunuz.

Genişletmek için tıkla ...

Programcı olduğunuz için olayın detayını verebilirim.

baliklar.html dosyası:

.......................
.......................
<a href="balik-buyuk-resim.jpg"><img src="balik-kucuk-resim.jpg"></a>
...............................
.......................

önceden dosyanın hali bu dosyanın adı php olara değiştiriliyor. ve içindeki resimlere link olan yerleri de şu şekilde değiştiriliyor.

<a href="resim-secildi.php?resim=balik-buyuk-resim.jpg"><img src="balik-kucuk-resim.jpg"></a>

resim-secildi.php dosyasına para metre gönderiliyor.

resim-secildi.php dosyası ise şu şekilde:

<img src="<?=$_GET["resim"]?>">

şimdi açık olarak iletilen (bir yıl sonra iletilen) bilgi de şu şekilde

adam adres çubuğuna şunu yazıyor: www.falansite.com/resim-secildi.php?resim=http://www.baskabirsite.com/falan.jpg

açık denilen şey de bu
yani öbür taraftan gelen resmin direk img nin src sinde kullanılması durumu

15-20 bin tekilli bir site bu çalışmayı bir sene falan kullandıysa ve ardından çıkıp gelip böyle basit bir açık bırakılır mı derse ve yaptığının arasında olacaksın derse siz nasıl davranırdınız?

iş içinde devasa birşey almadınız: aldığınız siteden bir reklam hizmeti (şu anda hatırladığım bu)

Unutmam' Alıntı:

ben bir kaç script yazdırdım ve ileride sorunla karşılaştığım zaman durumu anlattığımda yardımcı oldular çünkü sonuçta onların hatası , eksik yapmışsa düzeltecek.ha herkes böyle olmak zorunda değil tabiki ama ben böyle kişilerle çalışıyorum.

Genişletmek için tıkla ...

Sizden rica etsem bir de program yazdırdığınız kişiler buraya yorumlarını yazabilir mi?

TRinsanRehberi' Alıntı:

olay bu sizlerden şunu istiyorum.

Program yazan birisi iseniz (yazdığınız programın sürekli arkasında durma sorumluluğunuz var mı? bakım anlaşması yapmadığınız halde).

Genişletmek için tıkla ...

profesyoneller olarak mecbur olmadığınız düşünülebilir, ben mecbur olunduğunu düşünüyorum. kişisel fikrimi geçersek, bu iyi niyettir, hoşgörüdür, bu insanlıktır. düzgün söylense sen de eminim buraya bunu yazma gereği hissetmezdin. ben henüz script teslim edip herhangi bir durumda destek vermeyen, veremem ya da ücretli veririm diyen birisiyle karşılaşmadım. şanslıyım denebilir. ama çoğu zaman daha sonra destek alma şıkkını önceden söylemişimdir. bu şıkka ücretli verebilirim ya da veremem diyenle de baştan ilişkiye girmemişimdir.

TRinsanRehberi' Alıntı:

iş içinde devasa birşey almadınız: aldığınız siteden bir reklam hizmeti (şu anda hatırladığım bu)

Genişletmek için tıkla ...

olaya böyle bakmamak lazım 10bin usd de , 20 ytl de sonuçta işin karşılığıdır. ya ben zaten 30 ytl aldım banane denemez. yani ücret farkı prensipleri değiştiremez.
daha sonra destek verme isteğiniz ve durumunuz yok ise bunu para almadan önce sizin mutlaka belirtmeniz gerekir diye düşünüyorum.
ama mesela sizden kaynaklanan bir güvenlik açığı oluşmuşsa bunu tartışmam bile. hatanızı düzeltmek zorundasınızdır.

Buna açık denilebilir mi bilmiyorum ya da bunu adres satırına yazan kişiye özgü birşey yani, site üzerinde belirli bir link takip edip bir hata oluşturmuyor anladığım kadarıyla. Bir çok sitede bu tarz şeyler yapılabilir.

@Pigeon
ücretin azlığı çokluğu mesele değil.
1) script yazılmış üzerinden 1 yıldan fazla zaman geçmiş ve arkasında duramayacağın şeyi niye yazdın yazıyorsun deniliyor. Tarafımdan ne kadara yazdıysam geri ödeyeyim bundan sonra kullanma yaklaşımı sergileniyor.

olayı çoklayın
bir programcı 100 kişiye program yazmış her biri farklı bir program.
onlardan anca yazmanın parası alınmış varsayın. teslimden sonra bir süre 2-3 ay söylenenler yapılıyor ve iş bitiyor (yapım bitiyor)

müşteriler 1-2 yıl sonra geliyor işte bunu sen yapmıştın düzgün yapmamışsın bunun şurasını şöyle yap diyor.

sizce bu programcı nasıl geçinecek ?
program hizmeti vermeyi nasıl sürdürecek
harcayacağı zamanı paraya dönüştüremesse programcı hayatını nasıl geçindirecek?

Angelo' Alıntı:

Buna açık denilebilir mi bilmiyorum ya da bunu adres satırına yazan kişiye özgü birşey yani, site üzerinde belirli bir link takip edip bir hata oluşturmuyor anladığım kadarıyla. Bir çok sitede bu tarz şeyler yapılabilir.

Genişletmek için tıkla ...

Açığa dönüştürülme potansiyeli var @Angelo (özelden gönderiyorum) buradan yazmamın site sahipleri için uygun olmaz.

ben düşüncelerimi yazdım. yanlış anlaşılmasın lütfen. dediğim gibi tatlı dil..
eğer buna siz cevap vermiyorsanız, sizin görüşünüzdür. saygı duymak gerekir.
bunların önceden konuşulmasında fayda var herzaman. iki taraf yükümlülüklerini bilirse daha sağlıklı çalışılır.

burada bir güvenlik açığı var, 1 ay sonra 3 sene sonra farkedilmesi birşey değiştirmez ve bunu düzeltmeniz sizin yükümlülüğünüzdür diye tekrar ekleyeyim..
kodlu anlatım kısmını yeniden düzenlemeniz sanırım doğru olur. zira hangi site olduğu anlaşılıyor, yanlış şeyler yaşanmasın.

Şimdi bakın bir örnek vereyim;

PHP ile yapiyorsanız bu işi bildiginiz üzere php zırp pırt release olan bir yazilimdir. Her yeni versiyon yeni buglar getirebiliyor.

Senin sorunsuz bir şekilde teslim ettigin script 1 yil sonra yeni versiyondan olusan bir bug ile bir anda heklenebiliyor.

Başka bir örnek : php5 ile escape injection kutuphanesi geldi bir anda injection diye birşey kalmadi mesela.

Onun için ben bir kişi ile çalışırken şöyle yapıyorum.

scripti teslim ettikten sonra ileriki 6 ay için benden oluşan sorunlara ve kullanıcı bazlı sorunlara hiç bir ucret almadan yardımcı oluyorum. ama 6 aydan sonra oluşacak sorunlar için ayrıyetten teknik ücret istiyorum.

Yoksa bunun altından kalkılmaz. Müşteriye şurayı özellikle kurcalama diye söylüyorsun, fazla geçmiyor 3 gün sonra script göçtü diye azarlıyor bir bakıyorum dediğim yerleri kurcalamış ben sana kurcalama demedim mi diyorum. dedin ama bişey yapacaktım diyor.

Bu ülkede bu kadar bilinçsiz ve cahil insan varken gerçekten sınırsız destek vermek imkansız, çünkü herkes başkasını kullanmak için uğraşıyor.

dipnot: yanliz yukarıda bahsettiğin get ile gelen resmi image tagına veriyorum olayıda gerçekten çok güvensiz. biliyorsun php dosyalar image olarak gosterilebilir, buda injectiona yol açabilir. en azından base64 ile crypt edip src verirken decriypt edebilirdin.

Caesar' Alıntı:

dipnot: yanliz yukarıda bahsettiğin get ile gelen resmi image tagına veriyorum olayıda gerçekten çok güvensiz. biliyorsun php dosyalar image olarak gosterilebilir, buda injectiona yol açabilir. en azından base64 ile crypt edip src verirken decriypt edebilirdin.

Genişletmek için tıkla ...

str replace ile içinde olası dışsal dosya yüklemelerini iptal ettim sanırım sorun olmaz öyle değil mi?

ayrıca bu arkadaşa 10 yıl sonra bile olsa birşey demeden yardım edebileceğim bir arkadaş : yazdığım koddan dolayı yada değil.

benim sorunum yaklaşım sorunu.
yani arkasında duramayacağın - duracağın scripti yazma meselesi ...

yakan top gibi scripti eline tutuşturup para aldıktan sonra seni tanımıyorum davranışını kesinlikle yanlış buluyorum ben (bunu hiçkimseye göstermem)

Caesar' Alıntı:

Onun için ben bir kişi ile çalışırken şöyle yapıyorum.

scripti teslim ettikten sonra ileriki 6 ay için benden oluşan sorunlara ve kullanıcı bazlı sorunlara hiç bir ucret almadan yardımcı oluyorum. ama 6 aydan sonra oluşacak sorunlar için ayrıyetten teknik ücret istiyorum.

.

Genişletmek için tıkla ...

ya da herşeyden önce bunu konuşup bu yolu izleyeceksiniz..

yaklaşım sorununuzla hemfikirim, daha önce de belirtmiştim. kişinin sorunlarını halledin, hallederken hemen sezar vari bir şıkkı da koyun ortaya, bu yaklaşımı bir daha yaşamamak için de uzak durun.. derim

pigeon' Alıntı:

burada bir güvenlik açığı var, 1 ay sonra 3 sene sonra farkedilmesi birşey değiştirmez ve bunu düzeltmeniz sizin yükümlülüğünüzdür diye tekrar ekleyeyim..

Genişletmek için tıkla ...

size bu noktada bir tavsiyede bulunmak istiyorum.

program yazdırdığınız kişiden programcılığı bırakmayacağı (bırakırsa bir başkasını yerine görevlendirmesini) vs.. isteyin.

çünkü insan 3 yada 6 aydan sonrasında o işi yapabileceğini bile bilemez. Zaten sınırsız destek sözüyle çokça iş yapan insan bir süre sonra para kazanmadan mesai yapmak gibi bir zorunluluğun içine istemeden düşecektir.

eğer sınırsız desteği verebilen programcı varsa bunu nasıl başardığını cidden merak ediyorum: paylaşırlarsa sevinirim.

Yazılımdan para kazanma konusunda en öncü firmayı ele alalım.
Şu anda windows 98 'in Desteğini durdurdu. Siz işletim sistemini kısıtlı bir iş için kullanıyorsanı ve size o şekilde yetiyorsa bile ya başka bir ürün satın almak zorundasınız yada açıklarına rağmen eski sistemi kullanmak zorundasınız.

evet baştan mutlaka konuşmak gerekiyor. ama türk webmasterlarda şöyle bir hata var genellikle aldığı işi dinlemeden alıyor, alırken de "yaparız abi ederiz abi, sen bana bırak abi" türü yaklaşımlar sergiliyorlar.

amaç sadece para kazanmak olduğu için "yapamasam bile forumda sora sora bulurum nasılsa hazır kod veren çok" mantalitesi içindeler.

phpogreniyorum.info da bile bir çok ornek verirken adamlar "bunu aynen koydum ama çalışmadı" şeklinde yorumlar gönderebiliyorlar. insanlar mysql ayarlarını bile değiştirmekten acizler.

durum böyle olunca müşteri haklı çıkıyor tabii ki. gözlerimle şahit olduğum bir olayı size anlatacağım:

bir kişi php script yaptırmak istiyor bana geliyor. ben o kişiye atıyorum 500 ytl fiyat veriyorum. adam fiyatı pahalı buluyor ama bana belli etmeden "ben size döneceğim" yalanı ile uzaklaşıyor.

aradan 2 hafta geçiyor bir kişi 200 ytl ye yapacağını söylüyor ve anlaşıyorlar. daha sonra o anlaştığı kişi rastlantı ile bana geliyor diyor ki;

böyle böyle bir iş aldım sadece 1 kişi de değil 7 tane sipariş aldım sen 1 tanesini yapıver, ben tasarımı değiştirip her birisine farklı tasarım yapıp vereceğim diyip ne kadar yapacağımı soruyor.

ben yine 500 diyorum kabul ediyor ve yaptırıyor.

arada 3 hafta geçiyor ben işi teslim edip 500 ytl yi aliyorum. cocuk scripti 7 kişiye farklı tasarımla veriyor ve 1400 ytl para kazanıyor.

ileriki zamanda ilk başta bana gelip pahalı bulan kişi bir hışımla özelime geliyor ve "abi adam beni kazıkladı aynı script 4 adreste daha var" diyor.

güler misin? yoksa ağlar mısın?

bizim insanımız bilinçsiz. bu beleşe kaçma arzusu yüzünden her zaman bu şekilde kazıklanmaya devam ediyor.

inanirmisiniz bir çok php coderim diye artistlik yapanlar (isim vermiyorum bu yazim yuzunden kesin bana kin besleyecekler ama) aldıkları işleri beceremeyip bir şekilde benim kapımı çalıyorlar.

@Ceaser
sizce bir programcı sonsuz destek sözü verebilir mi?
yada yazılan şeyin arkasında olmak sonsuz destek vermek midir?
(destek derken yapım için alınand ücretle sürekli desteği kasdediyorum)

Hayır tabii ki destek ayrı birşeydir. belirli bir süre o script fiyatı içinde destek verebilirsin ama ilerisi mümün değil. çünkü yaptığın scripti satın alıyorlar seni değil.

windows alirken bile prof lisansı olanın aldığı destek ile home lisansı olanın aldığı destek aynı değildir.

TRinsanRehberi' Alıntı:

size bu noktada bir tavsiyede bulunmak istiyorum.

program yazdırdığınız kişiden programcılığı bırakmayacağı (bırakırsa bir başkasını yerine görevlendirmesini) vs.. isteyin.

çünkü insan 3 yada 6 aydan sonrasında o işi yapabileceğini bile bilemez. Zaten sınırsız destek sözüyle çokça iş yapan insan bir süre sonra para kazanmadan mesai yapmak gibi bir zorunluluğun içine istemeden düşecektir.

eğer sınırsız desteği verebilen programcı varsa ben o kimsenin tecrübesizliğine veririm. Ya programcılıkla geçimini sağlamıyordur (hobi olarak yapıyordur) yada daha olayın başındadır.

Yazılımdan para kazanma konusunda en öncü firmayı ele alalım.
Şu anda windows 98 'in Desteğini durdurdu. Siz işletim sistemini kısıtlı bir iş için kullanıyorsanı ve size o şekilde yetiyorsa bile ya başka bir ürün satın almak zorundasınız yada açıklarına rağmen eski sistemi kullanmak zorundasınız.

Genişletmek için tıkla ...

ama fikir istemişsiniz, fikirlerime saygı göstermiyorsunuz.
spesifik örnekler vermişsiniz. elbette 3 ay sonra msni değiştirirse vs. nereden bulacaksınız da söyleyeceksiniz. ama yanı başınızdaysa 3 sene sonra da yükümlülüğünüz devam eder. belli ki baştan gerekecek destekle ilgili birşey de konuşmamışsınız.

ben hepinizin de bildiği profesyonellerle çalışıyorum. 3-4 sene önce yaptığı scriptten hala o sorumludur. o sorumluluğu ben vermedim ona, kendileri aldı ve sahiplendi kendi yaptığı işi.. ha siz tecrubesiz olarak adlandırıyorsanız ona da birşey diyemem. herkes kendinden sorumludur.

son yazınız için de vermek zorunda olmayabilirsiniz ama bunu deklere etmek zorundasınız! deklere etmeden daha sonra banae, ben vermem derseniz bu olmaz.

pigeon' Alıntı:

ama fikir istemişsiniz, fikirlerime saygı göstermiyorsunuz.

Genişletmek için tıkla ...

Özel mesajla sorup cevap aldığım konu hakkında düzelte yaptım.

pigeon' Alıntı:

son yazınız için de vermek zorunda olmayabilirsiniz ama bunu deklere etmek zorundasınız! deklere etmeden daha sonra banae, ben vermem derseniz bu olmaz.

Genişletmek için tıkla ...

Destek sözü verilmedi. ama şu kadar süre destek verilir diye de belirtilmedi.
yani destek kesinlikle hiçbir şekilde konuşulmadı.
iş ufak bir iş olduğu için (spesifik olmadığı) için bunların konuşulma gereği hissedilmedi bile.

TRinsanRehberi' Alıntı:

iş ufak bir iş olduğu için (spesifik olmadığı) için bunların konuşulma gereği hissedilmedi bile.

Genişletmek için tıkla ...

Iş ufak da olsa, baştan konuşmanız gerekir diye düşünüyorum. Çünkü ileride bu tür sorunlar yaşanabilir. Eger konuşulmadıysa, ve bu size tatlı dil ile iletildiyse düzeltme mecburiyetiniz doğar. Kaldı ki, scripti yazdıran kişi sizden extra bir özellik istemiyor. Sadece yaptıgınız işte eksik olan bir bölümün tamamlanmasını istiyor. Aradan geçen süre önemli değil bence. Sizi bulamasaydı başkasına sorabilirdi. Ama sizi bulmuşsa, sizin bu soruna çözüm bulma zorunluluğunuz doğar diye düsünüyorum.