|
Korporacije VS. security researcheri
Ne znam da li sam pogodio topik, ako nisam neka ga moderatori premeste... :)
U poslednje vreme, koliko sam ja mogao da primetim, sve vise se u svetu pokrecu tuzbe protiv security researchera. S'obzirom da i kod nas postoji ovaj zakon to dovodi u pitanje samu sigurnost naseg ali i svetskog web auditorijuma. Neka misljenja kao sto su: Citat:
Citat:
Sto se tice mene, i ako primetim neki propust, nakon par procitanih tekstova, ne verujem da cu to prijaviti bilo kome, jer ipak rizikujem, iako sam "dobar momak", a ne "maliciozni kreten". S' obzirom da to ne radim u komercijalne svrhe, zasto bih uopste rizikovao da zaglavim zatvor ili ko zna sta... posto su kazne kod nas za neovlasceni pristup racunaru ili racunarskoj mrezi bruka velike... Da li bi ste vi tuzili nekog, ukoliko pronadje propust na vasem servisu i prijavi vam to (on ipak nije imao prava da to radi)? Ili mozda ne bi, vec bi ste mu se zahvalili? I koji je po vama najbolji nacin da kada neko primeti gresku, da prijavi to, a da ne reskira da ce ga sam vlasnik tuziti?!? |
Svakako bih mu se zahvalio, jer je pokazao dobru nameru.
To sto je on uradio (pronasao gresku) moze da uradi svaki klinac iz Pakistana, koji ti nece prijaviti, a kome ne mozes nista... |
Ja mislim da je cela frka nastala zato što zakon jednostavno ne može da se zamajava time da li je neko delo učinjeno iz dobre ili loše namere. Čim ti otkucaš sql injection string u search box nekog sajta, uradio si nešto što izlazi van njegove namene i niko zaista ne želi da se pogađa sa tobom da li si to uradio iz dobre ili loše namere.
Vlasnici veb sajtova treba da se pobrinu da su njihovi sajtovi sigurni, sami ili uz pomoć specijalizovanih konsultantskih firmi. A svi oni koji bi da se bave security ispitivanjem, čačkanjem i bušenjem, treba to da rade kroz te firme, isključivo na insistiranje klijenta. Ja lično ne bih tužio nikog za koga smatram da ima dobru nameru i zahvalio bih mu se na pronađenim propustima, ali to je zato što bih imao vremena, volje i znanja da prosuđujem. Ne mora da znači da bi svako reagovao na isti način, ali nisam siguran da je pametno isprobavati bilo čiju etiku na taj način. |
Off Topic: Citat:
Citat:
... ;) |
Ma da, čitate misli...
Imaš stranicu na kojoj su samo text box i submit dugme. Kako ćeš, majke ti, gledanjem da vidiš da li postoji neki sigurnosni propust ili ne? |
Citat:
sto se teme tiche, mislim da se ovi security experti previse femkaju... sumnjam da je bilo ko optuzen zato sto je slucajno otkrio bug i prijavio ga vlasniku sajta/sofwara bez dizanja medijske prasine, nego se radi o tome da ta ekipa koja zivi od security researcha, u svrhu samo-reklamiranja, ima obicaj da pravi buzz oko pronadjenih propusta, a time kvare posao firmama koje taj software prave, i naravno onda ih oni tuze... |
Kao i u svakom drugom poslu: ako te neko ne angazuje - ne radis. :)
U svakom slucaju kada mi neko prijavibilo kakav problem 9n e samo sigurnosni) ja mu se zahvalim i iskorsitim informaciju. Ali ako bi neko objavio neki sigurnosni propust n amom sajtu (bez obzira dali me je o propustu pre toga obavestio ili ne), to vec ne bih shvaao kao dobronamerno. E sad, imamo situacije kao sto je ova skorasnja sa pogodak.co.yu, gde je otkriven problem koji nije sigurnosni propust za sajt, nego sigurnosni propust na sajtu koji pogadja posetioce sajta. Tu je vec pitanje koga obavestiti o problemu. |
Citat:
|
Citat:
Zamislite da vam neko obija vrata, otvara prozore na autu ili kući.. i onda kaže da je to iz dobre namere? |
Bila je tu neka zavrzlama, cak je pravljen dokumentarac o tome krajem 90ih.
Ako pocnem da detaljisem nesto cu da slazem jer se nesecam tacno kako je to islo. Uglavnom svojevremeno bio je veliki problem u sigurnosti mobilnih telefona neke poznate svetske marke, covek koji je dosao to tog otkrica je postovao na internetu sve detalje. Naravno usledila je tuzba, ali je glatko pala, nesto kao informacija te vrste nije poverljiva itd Sto se tice komentara da je to kao kada ti neko obija vrata, nije. Kada ti neko obija vrata cini ti direktnu materijalnu stetu. Kada neko trazi rupe u tvom softveru, sajtu etc on samo dolazi do informacija koje su mu javno dostupne (ako zna gde i kako da pogleda) kao servis, time ne cini nikome materijalnu stetu, marketinsku, mozda ali direktnu materijalnu ne. Neko ko zna gde i kako da gleda je uocio i scenu kada avion prolece u filmu Troja, zar neko treba da tuzi njega zato sto je ovo video? budite sigurni da je nekome iz ekipe filma zboj ovoga ucinjena kolika tolika marketinska steta. Cak sta vise veoma je pozitivno sto se svojevremeno pojavila informacija o pojavi Trojanaca na win sistemima jer MS iako je znao za pomenuti problem korisnike nije ni obavestio niti je bilo sta preduzeo mesecima, za to vreme su korisnici makar mogli da dodju do informacije i koliko toliko se zastite. Slican je slucaj i sa web sajtovima, zamisli recimo tebi Blues neko otkrije sigurnosni problem u Romance Cafe koji bi dopustio ljudima da gledaju tudje privatne podatke. Potpuno je legalno da ljudi budu obavesteni o tome kako bi mogli sebe da zastite, opet, koliko toliko. Takodje je realno da ti snosis "marketinsku" odgovornost za ovaj propust. Cena ove odgovornosti je proporcijonalna vremenu za saniranje/kolicini podataka koji su kompromitovani. PS. bez namere da prozivam bluesmana, samo mi je to privi servis koji mi je pao napamet u vlasnistvu nekoga od clanova :P |
Da, zaista neradi se o dobrim ili losim namerama... vec jednostavno o cinjenici da se propusti u tvom softveru ili servisu neticu samo tebe vec svih tvojih korisnika kojima moze biti ugrozena privatnost (u najmanju ruku) ili cak i finansije.
To sto bi vecina zelela sve propuste da prikrije, pa ih onda sredi iza zatvorenih vrata zarad reputacije je potpuno pogresno! |
Jedina prava stvar koju možeš da uradiš kada se otkrije sigurnosti propust u nečemu što si napravio je da propraviš i objaviš patch što je pre moguće. Ukoliko je softver u pitanju, ne mora nužno nova verzija, ako ništa bar instrukcije kako da se propust zakrpi.
Naravno, kasnije daš do znanja ko je propust našao i zahvališ mu se... Nikako ne odobravam situaciju gde "ekspret" javno objavljuje propust samo da bi sebi digao cenu ili bez konsultacije sa autorom softvera / vlasnikom sajta. |
Citat:
Ako ja imam znanje da obijam brave (bez izazivanja štete), da li to znači da smem da otključavam bilo koja vrata i vršljam po stanovima drugih ljudi. Onako, malo razgledam... Nema materijalne štete, zar ne? Pa čak i da ništa ne obijam, da nemam dupli ključ i slično, čak i da je stan otključan, teško da smem da ulazim i vršljam po tuđem, zar ne? Čisto kao informacija, ovde nije dozvoljenu uzeti fotoaparat i slikati kuću komšije bez njegove dozvole. Naravno, možeš to da uradiš i verovatno se neće ništa desiti, ali mogao bi i da te tuži i da budeš kažnjen. |
koliko god imao dobru nameru, ipak ce te vecina gledati ispod obrve kad im prijavis propust...
jedino da si neki njihov poslovni prijatelj/saradnik, onda ce to biti protumaceno kao skroz dobro delo... ili si pak neko od poznatijih likova, sa reputacijom, cije namere niko nece dovesti u pitanje. imao sam priliku da dobijem 'dojavu' o propustu na sajtu jednog od mojih sponzora. osecao bih se odgovornim da NISAM prijavio. prijavio sam, i najnormalnije mi se ljudi zahvalili. jedino sto propust i posle godinu ipo nije ispravljen :D samo sto je to ostalo izmedju mene i njih, dakle nikom nisam rekao niti igde publikovao propust... jer ne vidim zasto bih to ucinio, sve i da ih uopste ne poznajem. |
Citat:
Ako propust omogucava da se steta nanese samo sajtu, ili vlasniku sajta onda je to jedna stvar jer ako vlasnik sajta ne preduzme nista da se zastiti, sam snosi rizik. U ovom slucaju mislim da nikako ne bi trebalo objavljivati propust, vec samo o tome obavestiti vlasnika sajta. Ako propust omogucava da se nanese steta posetiocima sajta to je nesto drugo jer ako vlasnik sajta ne otkloni propust, onda on ugrozava svoje korisnike. Korisnici imaju pravo da znaju da su ugrozeni. Problem u ovom drugom slucaju je taj sto bi, s jedne strane, korisnici trebalo da znaju da su ugrozeni, ali bi ih, sa druge strane, objavljivanje propusta jos vise ugrozilo. Tu je dilema. |
Po meni, kako sam ja to radio, prvo pokusas da stupis u kontakt sa vlasnikom sajta i prijavis mu gresku i ako nisi u guzvi objasnis mu kako da se zastiti ili makar sta da kaze onom koji ce popraviti, koja je vrsta ranjivosti i gde.
Samo sto te kada pokusas da pomognes ljudima vlasnik kulira, ne odgovara na mailove, i sl. Ali ako je u pitanju neka rasprostranjena aplikacija u kojoj si pronasao ranjivost, objavis je kako bi mogli ostali da se zastite jer te autor kulira, dobijes tuzbu? Logika? :1052: To je sto se tice objavljivanja propusta, a sto se tice nalazenja, Cvele je dao dobro poredjenje sa avionom u filmu. Nemoze te neko tuziti jer si pronasao nesto ako nisi iskoristio da naneses bilo kakvu stetu vlasniku/autoru sajta/aplikacije. Ali da treba prvo kontaktirati autora, treba. |
Citat:
Jedna je stvar naći propust nekim normalnim korišćenjem, a druga je ako uzmeš namerno da npr. ukucavaš u textbox-ove stvari tipa: '; DELETE FROM ... <script>.... To je očigledno onda šta se radi.. ne verujem da u tom slučaju ne bi mogao neko da te tuži. Misliš da smeš tek tako da odeš na sajt npr. fbi.gov i počneš da ukucavaš takve stvari? Šta misliš koliko dugo bi to radio, ako si još nastanjen u USA, a da neko ne zakuca na vrata da malo porazgovara sa tobom šta to radiš? Pa zamisli da neko tako dođe oko tvoje kuće pa probava - da li su vrata zaključana, da li su prozori zatvoreni, itd? Da li je to OK? I šta bi bilo kad bi neko pozvao policiju i panduri dođu, a tip kaže kao: "Ma to sam ja samo probavao alarm u kući kod tih ljudi.. nisam ništa oštetio..?" :) Samo tetki da odnesem lek :D |
Pa kakva je pravna strana toga, šta zakon kaže o pronalasku i prijavama propusta. Sama etika je drugo, ako neko prijavi propust vlasniku sajta vlasnik može to gleti kao uslugu ali i kao nešto zlonamerno. Drugo ako taj propust može da ugrozi i inkrimiše korisnike sajta etički je i ukazati im na to. Ali opet zakon može sasvim drugačije biti koncipiran i gledati sve to sa određenog stanovišta.
|
^^Ja sam konkretno kada pominjes www.fbi.gov pronasao xss propust pre nekih godinu dana u jednom odeljku www.nasa.gov. Nisi mogao da ownas server nasa-e ili bilo sta ozbiljnije sa tim bugom, jedino zadovoljstvo sto si pronasao nesto u takvom jednom sajtu. Naravno odmah sam prijavio bug posle cega su bolje izfiltrirali formu. I da, niko mi nije kucao na vrata zbog toga :)
Ti ne zloupotrebis takve stvari, nije to kao sto je onaj englez pre par godina ownao neke .gov servere, sto znaci da je preuzeo root privilegije, imao uvid u mozda zasticene odseke koje ne bi smeo da vidi, pa ga tuzili i osudili, ako se dobro secam. Alarm u necijoj kuci da proveravas nije isto kao da gledas sajt jer je sajt javno dostupan. To bi bilo kao da je tastatura za sifru na alarmu predvidjena da ljudi kucaju po njoj, svi prolaznici da kucaju. I ti dodjes i ukucas neku kombinaciju i ispise ti da ako potvrdis dobices kljuc od te kuce. I ti se okrenes i odes i jos ostavis pismo ispred vrata sa opisom kako da srede ili makar sta. Ti saznas 'kombinaciju'(recimo RFI vuln) koja ne bi smela da prolazi, i ne iskoristis je, a mogao bi da ownas sistem sa njom, to nemoze da bude ilegalno. Mozda je moja logika pogresna, ali ja tu ne vidim nista ilegalno, cak dobrotvorni rad. |
Citat:
Citat:
|
@degojs: bas neces da razmislis o tome sto covek pokusava da kaze, moras da budes uvek u pravu...
Evo ti malo opipljiviji primer. Web portal. Powered by phpNuke. Default instalacija. Nepromenjena default admin/admin (ili neka slicna, ali dobro poznata) superuser login kombinacija. Admin login forma (po defaultu) javno dostupna svima preko linka u meniju. Nakon sto se uveris da pomenuta kombinacija funkcionise (dakle, NE sedis dva sata pokusavajuci da provalis neciji password), posaljes e-mail adminu sajta sa obavestenjem da bi to neko drugi mogao da uradi i da unisti portal, pa da ne bi bilo zgoreg da nesto preduzme, radi sopstvene sigurnosti i sigurnosti svojih korisnika. I ko je tu kriv? Necija logika bi bila, nemas sta da trazis na admin loginu. Zasto? Linkovan je sa glavne strane. Druga logika bi bila, zasto bi uopste pokusao da se ulogujes kroz admin login sajta koji ne posedujes? Mislim da bar 3 coveka sa ovog foruma mogu da posvedoce o tome sta su sve u stanju da urade pojedini korisnici iz neznanja (pa recimo i da se loguju sa svojim e-mail user/pass na forum na koji nikad nisu otisli...) Dakle? |
Neznanje nije opravdanje ni za jedno krivično delo. Ti si došao na tuđ sajt i neovlašćen upao u administrativni interfejs. Tačka.
Ako upadneš u tuđu kuću neće ti mnogo pomoći činjenica da je taj neko zaboravio da je zaključa. |
Ok.
Za li neko da li postoji neki zakon koji regulise obavezu postavljanja obavestenja na vidnom mestu o tome da je, recimo, neovlascen ulazak u admin panel kaznjiv zakonom? |
Citat:
Da li upadom u tvoju kucu ugrozavam privatnost nekoga drugog osim tebe? Sto se tice onog komentara "udji u banku pa radi security research"... postoje kompanije koje su usko specijalizovane za takve stvari. Cak se u 3-4 navrata desavalo da neke od kompanija obiju banku i udju u sef (usput se snimajuci) i pozovu direktora da im se pridruzi. Za dva sucaja znam jedan je neki casino u Vegasu, a drugi je banka u Klivlendu. Ti ljudi ne da nisu odgovarali, vec im se direktor javno zahvalio i dao goleme pare da naprave novi security plan. Dalje, web prostor i fizicki prostor su dve potpuno razlicite stvari. Razlike u sigurnosnim izazovima i njihovim posledicama su ogromne i nemaju dodirnih tacaka. |
Citat:
Citat:
Naravno da nećeš da tužiš ljude ako su oni to već uradili i ponudili ti rešenje za problem. Ali ti uzimaš 2 primera koja su uspela i gde ljudi nisu imali loše namere (da su i otišli na sud, možda ne bi bili ni osuđeni). Mislim, šta, ti ako vidiš nekog da ti obija sef, trebaš da ga pitaš: "Izvinite, da li vi to stvarno obijate sef ili samo testirate sigurnost?" :) Nemaš ti pravo da radiš takve stvari, generalno. Ni web sajt, ni banka, ni muzej, itd.. nije to tvoje vlasništvo. Vežbaj sigurnost na svom sajtu, otkud uopšte ideja da koristiš tuđu imovinu za vežbanje i slično? Citat:
|
Citat:
A sve skupa, ako zakonima i nije precizno definisano, budi siguran da će u budućnosti biti. Na šta bi to ličilo kad bi svi smeli da koriste tuđu imovinu da vežbaju: npr. student stomatologije ide ulicom pa ščepa nekog i krene da mu popravlja zub (bez odobrenja) :D:D:D |
Citat:
Primera radi, ako drzis neki community... recimo myspace, dpt, blogger itd Tada sajt jednostavno vise ne pripada samo tebi! Od celog tog sajta tebi pripada kod i dizajn baze, kompletan sadrzaj nije tvoj i pripada tvojim posetiocima. Svaki posetilac ima pravo da se uveri u to koliko su njegovi podaci bezbedni. Obicno se iz aviona vidi da li je neki sajt "busan" ili nije, a vecina "exploita" se postavljaju kao proof da je sajt busan ko sir, samim tim sluze kao upozorenje konzumentima, a ne tebi. Ajmo jos jedan primer, odakle tebi kao potrosacu pravo da proveravas da li je Carnex pasteta otrovna ili nije? Ako neznas sam da proveravas odakle pravo Ziki Petrovicu iz ulaza 21 pravo da ti kaze da je proveravao i da je otrovna? PS. pasteta je sa webom povezana koliko i kisna glista sa kvarom svemirske stanice mir, u istom su odnosu sef u banci i neciji online community ili korporativni sajt. |
Citat:
Elem da se vratimo na prizemnije stvari, meni se recimo cesto desava da u ssh otkucam pogresno domen (ispustim neko slovo i sl.), i zakacim se na pogresan server i onda pokusavam da se ulogujem kao root... i naravno da nema smisla da me neko hapsi zbog toga... ali sa druge strane stalno u logovima nailazim na likove koji pokusavaju da mi bruteforsuju roota preko ssh, i to definitivno "nije lepo" od njih... :) znaci prilicno je jasna podela da li je neko nesto slucajno uradio ili je npr pokrenuo brute force skriptui... sto se mene tice, cak iako to radi dobronamerno, on meni trosi resurse i puni mi log glupostima, i posto mu ja to nisam trazio, on to nema prava da radi.. i tacka... a narocito nema prava da to radi iz razloga iz kojih vecina security likova to radi, a to je sopstvena promocija i zarada... Ako je neko jako zabrinut za sigurnost mojih podataka i/ili klijenta sto mi lepo ne posalje mail i kaze ja bih voleo da u periodu od tad do tad, sa te i te IP adrese, besplatno, u promotivne svrhe, isprobam sigurnost vaseg sistema, i da vas onda obavestim o rezultatima... i ja (a i vecina drugih webmastera) bi pristali, sto da ne... To bi onda bio profesionali postupak, ovako je cisti hakeraj i sociopatija... EDIT: Usput, mnogi sistemi i software se u licencama stite da npr. nemas pravo da radis javni benchmark njihovih sistema, bez njihovog odobrenja... i to je naprosto tako, ako ti se ne svidja, nemoj da ga koristis... ja za sad nemam ni jedan community sajt, ali mozes da se kladis da cu kad ga budem pravio da ukljucim odgovarajucu klauzulu u ugovor, cisto zbog ovakvih prica... |
Citat:
Što se MySpace i sličnih tiče, zaista nemam pojma, ali pretpostavljam da kada otvaraš nalog negde klikćeš na "I AGREE" i pristaješ na neke uslove korišćenja? Ti jednostavno, nećeš da prihvatiš (ili vidiš) činjenicu da nemaš pravo da "drndaš" tuđu imovinu bez odobrenja. Nemaš pravo da koristiš tuđe resurse da bi se ti vežbao u bilo čemu, ako ti to taj vlasnik ne odobri. Ne znam kako tako jednostavna stvar može biti nejasna? Druga je stvar da li će da te tuži i slično, da li bi uvek tužbu dobio, itd. Pogledaš ispred kuće, a ono klinac uzeo da ti prčka po automobilu - vežba čovek za automehaničara??? Kako da ne.. |
Citat:
Momci, kriminal je kriminal i neovlašćeni upad bilo u tuđ infosistem (u šta spada i sajt) bilo u tuđ stan je kažnjiva stvar. BTW, "ne znaš" se piše odvojeno. |
Od kada se bavim community sajtovima imao sam prilično često priliku da raspravljam o tome "šta je čije i na šta ko ima prava". Ono što najčešće nisu mogli da shvate je da im to što plaćaju pristup ne daje za pravo da rade šta hoće. Da bih im plastičnije objasnio, poredio sam sa kupovinom karte za autobus, to što si je platio ne znači da možeš da pišaš po podu.
Elem, od ovoga što sam pročitao najbliži sam ovome što reče degojs (valjda?) da kada vidiš nekoga da obija sef nećeš da ga pitaš da li obija sef ili samo testira sigurnost. Mislim da za početak treba odvojiti bar 2 zarličita slučaja 1. Kada korisnik "slučajno" otkrije grešku, preko operacija na strani 2. Kada korisnik "traži" grešku i pokušava razne exploite. To može da se uporedi sa: 1. Kada ti komšija pozvoni na vrata i kaže "mister, ostala su ti otključana vrata od stana" 2. Kada ti komšija gura kalauz u bravu, pa ako ne prođe - pokušava sa širim arsenalom. Kao što autobus nije vlasništvo putnika koji se voze tako i web sajt nije vlasnistvo clanova koji ga posecuju. Ne vidim tu ništa problematično. |
Aman :) ne morate iskoristiti bug da se ulogujete u sistem da bi znali da postoji. Postoji mnogo bezazlenih query-ja koje mozete pokusati koji ce vam potvrditi da postoji ova ili ona ranjivost. Nema potrebe da trosite resurse servera, gadjate server maljem i sl. :)
Sto znaci da mu to dodje kao da gadjate zrnima peska komsijina vrata, i ako se odbije daleko ostavis mu pismo u sanduce da ima rupu u ulaznim vratima 128cm vertikalno, 24cm horizontalno jer se zrno odbilo na tom mestu i da bi bilo pametno sa njegove strane da zakrpi to. Svako normalan ce ti se najljubaznije zahvaliti. Nije potrebno koristiti zolju :) trositi resurse, niti narusavati bezbednost sajta kada radite 'usputni audit'.. PS. Da se ne bi pogresno protumacilo, preopterecivanje resursa, koriscenje exploita radi dobijanja admina/roota, brute force napad, i sl. niko ne treba odobravati, nego sankcionisati. Ali ono o cemu sam ja pisao je malo drugacije. |
Ne razumem psihologiju ljudi koji dođu na neki sajt, vide formular i pomisle "gle, formular, daj da probam neki exploit".
Čemu sve to? Da bi posle pričao ortacima uz piwo kako je "haker"? Na žalost, većinu (ako je uopšte i jedan) od tih expliota nije on smislio nego neki "pravi hacker"... Da pomogneš nekome da mu bude bezbedniji sajt? Uz izvinjenje na vulgarnosti, šta te boli **** za njegov sajt i da li je bezbedan ili ne? Da bi zaradio pare tako što ćeš da ga ucenjuješ? Da mu srušiš server iz zezanja? Get a life. Da mu deface-uješ sajt? To mora da ima neke veze sa fetišima, što bi rekli "tell me something about your childhood..." ... Ne znam, baš bih voleo da saznam porive za tako nešto, neka mi neko objasni kao da imam 6 godina. |
Mnogo decurlije koja cim vide "powered by" jure da nadju 'exploit'. Licno sam protiv toga. I to su ti koji to rade da bi ispali 'xakepu', face, ili sta znam vec sta jos o kojima si ti upravo pricao, ali na takve se ne treba ni obazirati. Ono sto ja podrzavam je dobrovoljna light provera bez nanosenja stete u bilo kom vidu vlasniku sajta, bez ikakvih skrivenih motiva (citaj: ucena, hvaljenje, uzdizanje u ocima slicnih gubitnika, etc.).
Ja to vidim kao dobro delo, mozda gresim.. Edit: Nije bas da me je bas briga ako znam da moze da dodje neko od te sorte koju si ti naveo i da mu 'srusi sajt iz zezanja'. Ako vidis nekog slepog coveka da ce upasti u saht, da li bi mu rekao da pripazi i pomogao mu da ga zaobidje, ili bi ga iskulirao i sutradan citao o tome u novinama? :) |
Rece bluesman da mu nije jasno zasto bi to neko radio...
Pazi kada dodjem na neku stranu i vidim gresku pracenu sa sql query... pa 5 FBI-a i 10 MUP-ova me nebi sprecilo da probam da isprintam drugi result set ili promenim naslov sajta sa "Test!" u "Test?"... to je jednostavno nesto sto je zabavno. Ako ima jos nekoga koga zanima o mom detinjstvu, samo recite ljudi... da vidimo koliko vas ima. Ko zna? mozda bi bila dobra knjiga :P Sto se tice vlasnistva sajta... slozicemo se da sadrzaj cini sajt. Sadrzaj pripada autorima, dakle najvazniji deo sajta pripada autorima. Ali na stranu to sto je ovaj post moja intelektualna svoina(:P) mnogo je delikatniji primer mog email-a (posto imamo i clanova zenskog pola, cak i godiste mozemo da podvedemo pod ovo :P :D). Ja jednostavno zelim da znam da su moji podaci sigurni, odnosno da mi se nece desiti da neki kiddie dodje do njih i iskoristi ih za moju "kompromitaciju". (nemojte da ulazimo u to kako moze da ih iskoristi, zato sto mi se ovo vec desilo u poroslosti i ne zelim da navoidim sajt niti situaciju... neki od clanova znaju o cemu pricam) Sto se tice cuvenog "I AGREE" jednom sam pri uclanjenju na sajt u uslove koje clanovi prihvataju stavio da se obavezuju da mi licno i personalno do kraja meseca uplate svoju celokupnu platu na devizni racun (cak sam i racun ukljucio). Nazalost nisam dobio ni cent! (buuu) Mislite da imam pravo da ih tuzim ? Mislim ako mogu to da uradim, what the hell am I doing here! odoh na Bali! :) Mnogo smo se ovde odaljili od teme... tako blizu a toooliko daleko. |
Evo me opet, zaboravih jos nesto da napomenem.
Ovde vodimo pricu o nalazenju rupa na sajtu, a ne o deface, rusenju sajta ili sta vec. Dve razlicite stvari. Nije tanka linija izmedju dolazenja do informacija i nacina koriscejna tih informacija. Citat:
|
Off Topic: Citat:
nego, primecujem da cesto imas slicna poredjenja za svakakve situacije, daj saberi to i stavi na blog il dpt osim sto je :1065: , moze biti i korisno :1095: |
Citat:
I filmove gledaju ljudi, da nema ljudi - filmovi bi propali, da li onda i ti filmovi pripadaju ljudima koji ih gledaju samo zato što ih gledaju? Jesi ti išao nekada da tražiš "svoj deo" zato što si gledao neki film? I jesi dobio? :) Ne, web sajt je jedan proizvod, neko ga je napravio, uložio nešto i pozvao ljude da ga posete (da gledaju film). Ako je web sajt (film) dobar - više ljudi ga posećuje (gleda), ako ne valja - džaba ste krečili. Malo si pomešao definicije svojine. |
Ili, ako novinar objavi tekst u novinama, onda on polaže neka prava na samu tu izdavačku kuću? (Ne računamo tu honorar za tekst ako je dogovoren, itd.)
Ili, glumac u filmu posle polaže neka prava na taj filmski studio (tj. ili producentsku kuću) koji je izdao film ili na bioskop koji je prikazao film? Ili, ostaviš nešto u sefu u nekoj banci na čuvanje i sad šta - imaš pravo da isprobavaš sigurnost te banke? Svašta.. Pa ima odmah da te uhapse. Cvele je izgleda okoreli krimos :) Ne možeš nikako da ga odvratiš :) Citat:
|
Samo malo da pojasnim:
Rupa, propust, sta vec, ... je jedno tj greska u aplikaciji koja utice na sigurnost. I otkrivanjem iste se ne desava nista "lose" u sistemu. Izuzetak su rupe otkrivene bruteforce metodom. Exploit, exploatisanje, ... je iskoriscavanje pronadjenog propusta, svejedno u koje svrhe, i to jeste "lose". "Lose" je jer se koriste delovi aplikacije koji nisu predvidjeni za koriscenje. |
| Vreme je GMT +2. Trenutno vreme je 14:30. |
Powered by vBulletin® Verzija 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © DevProTalk. All Rights Reserved.