|
e-Business Elektronsko poslovanje, e-Commerce, poslovanje uopšteno. Sponzor: |
|
Alati teme | Način prikaza |
|
18. 06. 2007. | #1 | ||
Milan Cvejic
Wrote a book
|
Korporacije VS. security researcheri
Ne znam da li sam pogodio topik, ako nisam neka ga moderatori premeste...
U poslednje vreme, koliko sam ja mogao da primetim, sve vise se u svetu pokrecu tuzbe protiv security researchera. S'obzirom da i kod nas postoji ovaj zakon to dovodi u pitanje samu sigurnost naseg ali i svetskog web auditorijuma. Neka misljenja kao sto su: Citat:
Citat:
Sto se tice mene, i ako primetim neki propust, nakon par procitanih tekstova, ne verujem da cu to prijaviti bilo kome, jer ipak rizikujem, iako sam "dobar momak", a ne "maliciozni kreten". S' obzirom da to ne radim u komercijalne svrhe, zasto bih uopste rizikovao da zaglavim zatvor ili ko zna sta... posto su kazne kod nas za neovlasceni pristup racunaru ili racunarskoj mrezi bruka velike... Da li bi ste vi tuzili nekog, ukoliko pronadje propust na vasem servisu i prijavi vam to (on ipak nije imao prava da to radi)? Ili mozda ne bi, vec bi ste mu se zahvalili? I koji je po vama najbolji nacin da kada neko primeti gresku, da prijavi to, a da ne reskira da ce ga sam vlasnik tuziti?!?
__________________
http://weevify.com Poslednja izmena od LiquidBrain : 18. 06. 2007. u 09:42. |
||
18. 06. 2007. | #2 |
xyz
Grand Master
Datum učlanjenja: 25.10.2006
Poruke: 893
Hvala: 87
346 "Hvala" u 163 poruka
|
Svakako bih mu se zahvalio, jer je pokazao dobru nameru.
To sto je on uradio (pronasao gresku) moze da uradi svaki klinac iz Pakistana, koji ti nece prijaviti, a kome ne mozes nista... |
18. 06. 2007. | #3 |
VD IT Direktora
Invented the damn thing
Datum učlanjenja: 08.06.2005
Lokacija: Beograd
Poruke: 2.118
Hvala: 503
1.307 "Hvala" u 282 poruka
|
Ja mislim da je cela frka nastala zato što zakon jednostavno ne može da se zamajava time da li je neko delo učinjeno iz dobre ili loše namere. Čim ti otkucaš sql injection string u search box nekog sajta, uradio si nešto što izlazi van njegove namene i niko zaista ne želi da se pogađa sa tobom da li si to uradio iz dobre ili loše namere.
Vlasnici veb sajtova treba da se pobrinu da su njihovi sajtovi sigurni, sami ili uz pomoć specijalizovanih konsultantskih firmi. A svi oni koji bi da se bave security ispitivanjem, čačkanjem i bušenjem, treba to da rade kroz te firme, isključivo na insistiranje klijenta. Ja lično ne bih tužio nikog za koga smatram da ima dobru nameru i zahvalio bih mu se na pronađenim propustima, ali to je zato što bih imao vremena, volje i znanja da prosuđujem. Ne mora da znači da bi svako reagovao na isti način, ali nisam siguran da je pametno isprobavati bilo čiju etiku na taj način. |
18. 06. 2007. | #4 | ||
Psychedelictrance freak
Wrote a book
|
Off Topic: Citat:
Citat:
...
__________________
Testiranje bezbednosti web aplikacija |
||
18. 06. 2007. | #5 |
VD IT Direktora
Invented the damn thing
Datum učlanjenja: 08.06.2005
Lokacija: Beograd
Poruke: 2.118
Hvala: 503
1.307 "Hvala" u 282 poruka
|
Ma da, čitate misli...
Imaš stranicu na kojoj su samo text box i submit dugme. Kako ćeš, majke ti, gledanjem da vidiš da li postoji neki sigurnosni propust ili ne? |
18. 06. 2007. | #6 | |
Ivan Dilber
Sir Write-a-Lot
|
Citat:
sto se teme tiche, mislim da se ovi security experti previse femkaju... sumnjam da je bilo ko optuzen zato sto je slucajno otkrio bug i prijavio ga vlasniku sajta/sofwara bez dizanja medijske prasine, nego se radi o tome da ta ekipa koja zivi od security researcha, u svrhu samo-reklamiranja, ima obicaj da pravi buzz oko pronadjenih propusta, a time kvare posao firmama koje taj software prave, i naravno onda ih oni tuze...
__________________
Leadership is the art of getting people to want to do what you know must be done. |
|
18. 06. 2007. | #7 |
Predrag Supurović
Grand Master
Datum učlanjenja: 24.01.2006
Lokacija: Užice
Poruke: 791
Hvala: 3
200 "Hvala" u 12 poruka
|
Kao i u svakom drugom poslu: ako te neko ne angazuje - ne radis.
U svakom slucaju kada mi neko prijavibilo kakav problem 9n e samo sigurnosni) ja mu se zahvalim i iskorsitim informaciju. Ali ako bi neko objavio neki sigurnosni propust n amom sajtu (bez obzira dali me je o propustu pre toga obavestio ili ne), to vec ne bih shvaao kao dobronamerno. E sad, imamo situacije kao sto je ova skorasnja sa pogodak.co.yu, gde je otkriven problem koji nije sigurnosni propust za sajt, nego sigurnosni propust na sajtu koji pogadja posetioce sajta. Tu je vec pitanje koga obavestiti o problemu.
__________________
Peđina beležnica (blog) - www.uzice.net - wireless.uzice.net - www.vokabular.org - www.vodic.net - forum.uzice.net |
|
|
Slične teme | ||||
Tema | Početna poruka teme | Forum | Odgovori | Poslednja poruka |
Sigurnost i zastita informacija, na jednom mestu | Ivan | Opušteno | 13 | 05. 07. 2008. 20:54 |
Skolski e-dnevnik i sigurnost?! | salebab | Opušteno | 59 | 17. 10. 2007. 15:40 |
Sigurnost i poslovna politika... | LiquidBrain | Web Hosting, web serveri i operativni sistemi | 11 | 06. 05. 2007. 01:25 |
ptt i sigurnost | nixa | Opušteno | 5 | 23. 03. 2007. 15:50 |
Firefox i sigurnost | Ilija Studen | Web aplikacije, web servisi i software | 43 | 04. 03. 2006. 23:24 |