DevProTalk

DevProTalk (http://www.devprotalk.com/index.php)
-   Opušteno (http://www.devprotalk.com/forumdisplay.php?f=16)
-   -   Pitanje ? (http://www.devprotalk.com/showthread.php?t=1237)

Ivan 14. 07. 2006. 11:00

Pitanje ?
 
S obzirom da ovde ima mnogo iskusnijih od mene zelim da iste pitam o nekim stvarima. Upoznati ste sa cime se bavim i pitanje je bas iz te oblasti.

Surfujuci sajtovima mogu da bez ikakvog alata primetim neke ogromne propuste, propuste kojima je moguce dobiti potpunu kontrolu nad sajtom.
Rekao sam bez alata jer su propusti i vise nego ocigledni i zato da se ne bi vratili na temu od pre oko samovoljnog skeniranja. Znaci odem na sajt primetim propust i to je to.

Sledeci korak je taj da posaljem e-mail administratoru i opisem ono sto sam pronasao i kakve posledice mogu biti u slucaju da neko drugi pronadje. Ponudim se da ispravim taj propust, mada u vecini slucajeva objasnim gresku tako da se uz malo truda moze ispraviti i bez mene. Prodje par meseci i greska i dalje stoji. I naravno nema reply.

Sta bi vi radili ? Da li bi ih obavestili ponovo ? Objavili propust negde ? Iskulirali ?

Moram da napomenem da su u pitanju veoma poznati sajtovi sa velikim brojem poseta dnevno.

Hvala

jablan 14. 07. 2006. 11:10

Zamisli na trenutak iduću situaciju: Umesto što surfuješ sajtovima, šetaš komšilukom i vidiš da neki komšija ne zaključava stan kad ide prekoputa po cigare. Na elegantan način obavestiš komšiju o njegovom sigurnosnom propustu, ali te on iskulira. Šta ćeš raditi?

Obavestiti ga ponovo? Tipovati ga sitnim krimosima iz kraja? Sam se uvući u stan i maznuti mu korpu sa prljavim gaćama iz kupatila? Ili ne raditi ništa nego gledati svoj posao?

Izbor je na tebi. Ja bih se lično opredelio za poslednju varijantu, ali možda nešto nije u redu sa mnom...

Ivan 14. 07. 2006. 11:21

Da i ja mislim da je zadnja opcija najbolja, to sam i radio sve vreme ...
Ali sa druge strane zelim da skrenem paznju na greske, zelim da nas web bude bolji. Isto kao sto se komentarise dizajn tako moze i ovo.
U pitanju su sajtovi koji ne bi smeli tako nesto sebi da dozvole.

Verovatno cu nastaviti da kuliram, ali ne mogu da verujem da oni mogu da iskuliraju tako nesto (mislim na to da im kazem gde su greske i da nista ne urade povodom toga).

Tema je pokrenuta da vidim da li neko mozda ima neku pametnu ideju ili bilo sta cime bi se skrenula paznja na sigurnost. Kao sto sam vec rekao ja sve lepo objasnim tako da to moze i laik da ispravi.

Sustina je da zelim da skrenem paznju na sigurnost. Pitanje je kako ?

zira 14. 07. 2006. 12:49

Koliko razumijem, tebe nervira to sto ti nadjes propust i administrator ti se ne zahvali i/ili ne ispravi propust?

Pa sta ces, takav je zivot :) Mislim, fino od tebe sto si ga obavijestio, a opet oni stvarno nisu u obavezi da ti se uopste javljaju. Lijepo bi bilo, ali ne moraju.

Ja bih ti se javio, mada svakako ne bhi bio odusevljen sto neko cacka po sajtu i pokusava da udje tamo gdje mu nije mjesto. Najbolje je kad si tako u nedoumici da postavis stvari na osnovu realnog zivota (sajt = kuca, e-shop = Pekabeta i slicno) pa ce ti vjerovatno biti jasnije.

I na kraju, mnogi ljudi ne cijene besplatne savjete, pogotovo kada ih nisu ni trazili. Mozda bolje da napravis firmu pa nudis zastitu sajtova i pregled sigurnosti kao i rjesavanje problema, ako mislis da si sposoban. Cist racun, duga ljubav.

jablan 14. 07. 2006. 12:59

Da se razumemo, nije preterano realno da bez nekog radnog iskustva napraviš firmu i očekuješ da će svi pohrliti u nju... Ali zato nije nerealno da se zaposliš u nekoj firmi kao tester i/ili security developer, i tek sa dovoljnim iskustvom u branši možeš započeti da razmišljaš o privatnom biznisu, ako misliš da za to ima dovoljno potražnje na tržištu. Nažalost, treba napomenuti da je taj posao daleko manje interesantan nego neobavezni "čačkaj malo ovaj sajt, čačkaj malo onaj drugi" pristup.

Ivan 14. 07. 2006. 13:24

Hm, sve je to nekako povezano ... Shvatam da jos uvek nemam dovoljno ni resursa ni iskustva da bih zapoceo svoj privatni biznis. Kod nas nema gde da se zaposlim kao security developer. Mozda zbog svega toga i zelim da podignem svest o vaznosti zastite informacija i samim tim napravim trziste.

Radim u jednoj web dev firmi i za njih radim i security dev, ali jos uvek to nije kod nas toliko razvijeno. Previse zurim, izgleda da je to problem.

Hvala na odgovorima

Blood 14. 07. 2006. 14:57

Ja se ne slazem sa pricom "uporedi sa komsijom koji ostavlja otkljucan stan". Ako si nasao rupu, iskoristi je, stavi im do znanja da su ranjivi, ja bi im iskreno usao na site i dodao jednu vest(tipa, site vam je nesiguran, ako zelite to da ispravite, kontaktirajte me), tako ces im sigurno privuci paznju, a ne samo njima vec i njihovim sefovima koji ce te najverovatnije kontaktirati da ispravis propust njihovih developera ako to oni vec ne znaju, jer se meni cini da ovako oni samo zataskavaju svoje greske, a ne rade nista povodom toga da ih isprave...

Kako je Toma Nikolic nasao rupu u zakonu i iskoristio je(kad je kupio neki stan, kucu ili sta god vec).

I uopste se ne slazem sa tim sto su te "napali" sto si im skenirao site. Pa ljudi, bolje da Ivan to uradi i da vam ukaze na propuste(ako ih ima), nego neki napaljeni klinac, koji ne samo da nece da vam ukaze na propuste, vec ce da vam obrise sve zivo i da stavi svoj potpis, jer ce misliti da tako skuplja neke poene..

mungos 14. 07. 2006. 15:19

Citat:

Sustina je da zelim da skrenem paznju na sigurnost. Pitanje je kako ?
Paznju na sigurnost, ili na svoje usluge :)

Zaboravi domaći Web u security segmentu, ako si dovoljno dobar, snaćićeš se već napolju. A i sigurnije je po zdravlje.

Citat:

Ali sa druge strane zelim da skrenem paznju na greske, zelim da nas web bude bolji. Isto kao sto se komentarise dizajn tako moze i ovo.
Pazi ovako, da li je isto da stojiš na ulici i diviš se kući, fasadi, lavovima na ogradi... ili da proskočiš ogradu, uđeš u dvorište i provjeriš da li su kućna vrata zaključana, da li je ključ možda pod otiračem, ispod saksije, ili si u fazonu da provjeriš sa svojim setom ključeva i alata da li je bravar ugradio dovoljno kvalitetnu bravu.

Citat:

Moram da napomenem da su u pitanju veoma poznati sajtovi sa velikim brojem poseta dnevno.
Dosta ti je to nezgodna rabota vrlo je lako da možeš da popiješ gnjev administratora sajtova, u goroj varijanti da ti zakucaju drotovi na vrata... ili u najgoroj da ti neko polomi ruke i noge zbog gluposti.

Ako si već spreman da ideš dovoljno duboko što sa sobom nosi rizik onda ostavljaj podsjetnicu direktno na serveru, zaboravi mail (Warning: vlo lako možeš da se oklizneš na koru od banane i završiš u gipsu)

Javno pljuvanje sajtova koji posjeduju propuste nije preporučljivo.

Gruja 14. 07. 2006. 15:36

Ubedljivo najbolji nacin bi bio da postanes poznati security expert, pa da klijenti jure tebe a ne ti njih. To sigurno nije lako postici, a pogotovo ne preko noci. Radi jos na svom blogu, objavljuj te propuste koje nadjes na sajtovima (ali bez pominjanja konkretnog sajta), pisi clanke za CodeProject, ponudi clanke domacim casopisima, itd. Potrebne su godine da bi izgradio ime ali si posle toga u dosta dobrom polozaju. Posto si mlad, isplati se ulagati u buducnost. Zamisli samo sta bi hteo da budes za 5 godina i onda radi na tome.

ivanhoe 14. 07. 2006. 16:10

A sto javno pljuvanje nije preporucljivo ?

ja bih na tvom mestu pokrenu blog sa listom sajtova koji imaju propuste, naravno uz obavezu da prvo bar nedelju dana ranije obavestis admina o tome, eventualno cak da im ponudis patch... To tako radi masa security experata (setite se samo svih MS exploita koji su publikovani), i po meni je to skroz ok.. naravno isplativije je to raditi za strance, jer sam siguran ako napravis opciju Donate, da bi ti mnogi ameri iz zahvalnosti uplatili neku kintu, i verovatno te kontaktirali posle za savete. Kod nas samo mozes neprijatnosti da ocekujes...

naravno, samo ceprkanje po tudjim sajtovima je vrlo pipava stvar, za razliko od situacije kad kupis svoje windowse, pa ih onda testiras na svojoj masini do mile volje, cackanje sajtova moze da ima razne posledice. Nikako nemoj da menjas sadrzaj sajtova i slicne stvari koje su ovde spominjali jer je to kaznjivo. I onaj englez sto je haknuo nato sisteme se branio na sudu kako je samo proveravao sigurnosne rupe, ali slaba mu vajda od toga..:)


Vreme je GMT +2. Trenutno vreme je 01:00.

Powered by vBulletin® Verzija 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © DevProTalk. All Rights Reserved.

Mišljenja, saveti, izjave, ponude ili druge informacije ili sadržaji nastali na Sajtu su vlasništvo onoga ko ih je kreirao, a ne DevProTalk.com, tako da ne morate da se oslanjate na njih.
Autori poruka su jedini odgovorni za ovakve sadržaje. DevProTalk.com ne garantuje tačnost, kompletnost ili upotrebnu vrednost informacija, stavova, saveta ili datih izjava. Ne postoje uslovi pod kojima bi mi bili odgovorni za štetu ili gubitak koji je posledica bilo čijeg oslanjanja na nepouzdane informacije, ili bilo kakve informacije nastale kroz komunikaciju između registrovanih članova.
Web sajt može sadržavati linkove na druge web sajtove na Internetu ili neke druge sadržaje. Ne kontrolišemo niti podržavamo te druge web sajtove, niti smo pregledali bilo kakve sadržaje na takvim sajtovima. Mi nećemo biti odgovorni za legalnost, tačnost ili prikladnost bilo kog sadržaja, oglasa, proizvoda, usluga ili informacije lociranim na ili distribuiranih kroz druge web sajtove, niti za bilo kakvu štetu nastalu kao posledica takvih informacija. DevProTalk.com drži i čuva druga prava vlasništva na web sajtu. Web sajt sadrže materijale zaštićene copyright-om, zaštitne znakove i druge informacije o pravu vlasništva ili softver. Članovi mogu poslatu informacije zaštićene pravima vlasništva njihovih nosilaca i ona ostaju zaštićena bez obzira da li su oni koji prenose te informacije to naveli ili ne. Osim informacija koje su u javnom vlasništvu ili za koje dobijete dozvolu, nemate pravo da kopirate, modifikujete ili na bilo koji način menjate, objavljujete, prenosite, distribuirate, izvršavate, prikazujete ili prodajte bilo koju informaciju zaštićenu pravima vlasništva. Slanjem informacija ili sadržaja na bilo koji deo DevProTalk.com, Vi automatski dozvoljavate i predstavljate garanciju da imate pravo da dozvolite DevProTalk.com ili članovima DevProTalk.com bespovratnu, kontinualnu, neograničenu, globalnu dozvolu da koriste, kopiraju, izvršavaju, prikazuju i distribuiraju takve informacije i sadržaje i da iz takvih sadžaja koriste bilo koji deo u bilo koje svrhe, kao i pravo i dozvolu da koriste gore navedene sadržaje. Svi zaštitni znakovi (trademarks), logotipi, oznake usluga, firme ili imena proizvoda koji se pominju na ovom web sajtu su vlasništvo kojim raspolažu njihovi vlasnici.