@degojs: bas neces da razmislis o tome sto covek pokusava da kaze, moras da budes uvek u pravu...
Evo ti malo opipljiviji primer. Web portal. Powered by phpNuke. Default instalacija. Nepromenjena default admin/admin (ili neka slicna, ali dobro poznata) superuser login kombinacija. Admin login forma (po defaultu) javno dostupna svima preko linka u meniju. Nakon sto se uveris da pomenuta kombinacija funkcionise (dakle, NE sedis dva sata pokusavajuci da provalis neciji password), posaljes e-mail adminu sajta sa obavestenjem da bi to neko drugi mogao da uradi i da unisti portal, pa da ne bi bilo zgoreg da nesto preduzme, radi sopstvene sigurnosti i sigurnosti svojih korisnika. I ko je tu kriv? Necija logika bi bila, nemas sta da trazis na admin loginu. Zasto? Linkovan je sa glavne strane. Druga logika bi bila, zasto bi uopste pokusao da se ulogujes kroz admin login sajta koji ne posedujes? Mislim da bar 3 coveka sa ovog foruma mogu da posvedoce o tome sta su sve u stanju da urade pojedini korisnici iz neznanja (pa recimo i da se loguju sa svojim e-mail user/pass na forum na koji nikad nisu otisli...) Dakle? |
Neznanje nije opravdanje ni za jedno krivično delo. Ti si došao na tuđ sajt i neovlašćen upao u administrativni interfejs. Tačka.
Ako upadneš u tuđu kuću neće ti mnogo pomoći činjenica da je taj neko zaboravio da je zaključa. |
Ok.
Za li neko da li postoji neki zakon koji regulise obavezu postavljanja obavestenja na vidnom mestu o tome da je, recimo, neovlascen ulazak u admin panel kaznjiv zakonom? |
Citat:
Da li upadom u tvoju kucu ugrozavam privatnost nekoga drugog osim tebe? Sto se tice onog komentara "udji u banku pa radi security research"... postoje kompanije koje su usko specijalizovane za takve stvari. Cak se u 3-4 navrata desavalo da neke od kompanija obiju banku i udju u sef (usput se snimajuci) i pozovu direktora da im se pridruzi. Za dva sucaja znam jedan je neki casino u Vegasu, a drugi je banka u Klivlendu. Ti ljudi ne da nisu odgovarali, vec im se direktor javno zahvalio i dao goleme pare da naprave novi security plan. Dalje, web prostor i fizicki prostor su dve potpuno razlicite stvari. Razlike u sigurnosnim izazovima i njihovim posledicama su ogromne i nemaju dodirnih tacaka. |
Citat:
Citat:
Naravno da nećeš da tužiš ljude ako su oni to već uradili i ponudili ti rešenje za problem. Ali ti uzimaš 2 primera koja su uspela i gde ljudi nisu imali loše namere (da su i otišli na sud, možda ne bi bili ni osuđeni). Mislim, šta, ti ako vidiš nekog da ti obija sef, trebaš da ga pitaš: "Izvinite, da li vi to stvarno obijate sef ili samo testirate sigurnost?" :) Nemaš ti pravo da radiš takve stvari, generalno. Ni web sajt, ni banka, ni muzej, itd.. nije to tvoje vlasništvo. Vežbaj sigurnost na svom sajtu, otkud uopšte ideja da koristiš tuđu imovinu za vežbanje i slično? Citat:
|
Citat:
A sve skupa, ako zakonima i nije precizno definisano, budi siguran da će u budućnosti biti. Na šta bi to ličilo kad bi svi smeli da koriste tuđu imovinu da vežbaju: npr. student stomatologije ide ulicom pa ščepa nekog i krene da mu popravlja zub (bez odobrenja) :D:D:D |
Citat:
Primera radi, ako drzis neki community... recimo myspace, dpt, blogger itd Tada sajt jednostavno vise ne pripada samo tebi! Od celog tog sajta tebi pripada kod i dizajn baze, kompletan sadrzaj nije tvoj i pripada tvojim posetiocima. Svaki posetilac ima pravo da se uveri u to koliko su njegovi podaci bezbedni. Obicno se iz aviona vidi da li je neki sajt "busan" ili nije, a vecina "exploita" se postavljaju kao proof da je sajt busan ko sir, samim tim sluze kao upozorenje konzumentima, a ne tebi. Ajmo jos jedan primer, odakle tebi kao potrosacu pravo da proveravas da li je Carnex pasteta otrovna ili nije? Ako neznas sam da proveravas odakle pravo Ziki Petrovicu iz ulaza 21 pravo da ti kaze da je proveravao i da je otrovna? PS. pasteta je sa webom povezana koliko i kisna glista sa kvarom svemirske stanice mir, u istom su odnosu sef u banci i neciji online community ili korporativni sajt. |
Citat:
Elem da se vratimo na prizemnije stvari, meni se recimo cesto desava da u ssh otkucam pogresno domen (ispustim neko slovo i sl.), i zakacim se na pogresan server i onda pokusavam da se ulogujem kao root... i naravno da nema smisla da me neko hapsi zbog toga... ali sa druge strane stalno u logovima nailazim na likove koji pokusavaju da mi bruteforsuju roota preko ssh, i to definitivno "nije lepo" od njih... :) znaci prilicno je jasna podela da li je neko nesto slucajno uradio ili je npr pokrenuo brute force skriptui... sto se mene tice, cak iako to radi dobronamerno, on meni trosi resurse i puni mi log glupostima, i posto mu ja to nisam trazio, on to nema prava da radi.. i tacka... a narocito nema prava da to radi iz razloga iz kojih vecina security likova to radi, a to je sopstvena promocija i zarada... Ako je neko jako zabrinut za sigurnost mojih podataka i/ili klijenta sto mi lepo ne posalje mail i kaze ja bih voleo da u periodu od tad do tad, sa te i te IP adrese, besplatno, u promotivne svrhe, isprobam sigurnost vaseg sistema, i da vas onda obavestim o rezultatima... i ja (a i vecina drugih webmastera) bi pristali, sto da ne... To bi onda bio profesionali postupak, ovako je cisti hakeraj i sociopatija... EDIT: Usput, mnogi sistemi i software se u licencama stite da npr. nemas pravo da radis javni benchmark njihovih sistema, bez njihovog odobrenja... i to je naprosto tako, ako ti se ne svidja, nemoj da ga koristis... ja za sad nemam ni jedan community sajt, ali mozes da se kladis da cu kad ga budem pravio da ukljucim odgovarajucu klauzulu u ugovor, cisto zbog ovakvih prica... |
Citat:
Što se MySpace i sličnih tiče, zaista nemam pojma, ali pretpostavljam da kada otvaraš nalog negde klikćeš na "I AGREE" i pristaješ na neke uslove korišćenja? Ti jednostavno, nećeš da prihvatiš (ili vidiš) činjenicu da nemaš pravo da "drndaš" tuđu imovinu bez odobrenja. Nemaš pravo da koristiš tuđe resurse da bi se ti vežbao u bilo čemu, ako ti to taj vlasnik ne odobri. Ne znam kako tako jednostavna stvar može biti nejasna? Druga je stvar da li će da te tuži i slično, da li bi uvek tužbu dobio, itd. Pogledaš ispred kuće, a ono klinac uzeo da ti prčka po automobilu - vežba čovek za automehaničara??? Kako da ne.. |
Citat:
Momci, kriminal je kriminal i neovlašćeni upad bilo u tuđ infosistem (u šta spada i sajt) bilo u tuđ stan je kažnjiva stvar. BTW, "ne znaš" se piše odvojeno. |
Vreme je GMT +2. Trenutno vreme je 01:01. |
Powered by vBulletin® Verzija 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © DevProTalk. All Rights Reserved.