|
e-Business Elektronsko poslovanje, e-Commerce, poslovanje uopšteno. Sponzor: |
|
Alati teme | Način prikaza |
18. 06. 2007. | #11 |
Banned
Knowledge base
Datum učlanjenja: 01.07.2005
Poruke: 1.598
Hvala: 206
140 "Hvala" u 89 poruka
|
Da, zaista neradi se o dobrim ili losim namerama... vec jednostavno o cinjenici da se propusti u tvom softveru ili servisu neticu samo tebe vec svih tvojih korisnika kojima moze biti ugrozena privatnost (u najmanju ruku) ili cak i finansije.
To sto bi vecina zelela sve propuste da prikrije, pa ih onda sredi iza zatvorenih vrata zarad reputacije je potpuno pogresno! |
18. 06. 2007. | #12 |
Direktor Kombinata
Invented the damn thing
Datum učlanjenja: 07.06.2005
Poruke: 2.669
Hvala: 44
119 "Hvala" u 64 poruka
|
Jedina prava stvar koju možeš da uradiš kada se otkrije sigurnosti propust u nečemu što si napravio je da propraviš i objaviš patch što je pre moguće. Ukoliko je softver u pitanju, ne mora nužno nova verzija, ako ništa bar instrukcije kako da se propust zakrpi.
Naravno, kasnije daš do znanja ko je propust našao i zahvališ mu se... Nikako ne odobravam situaciju gde "ekspret" javno objavljuje propust samo da bi sebi digao cenu ili bez konsultacije sa autorom softvera / vlasnikom sajta. |
18. 06. 2007. | #13 | |
I'm a PC too.
Wrote a book
Datum učlanjenja: 05.06.2005
Lokacija: Kanada
Poruke: 1.354
Hvala: 82
130 "Hvala" u 89 poruka
|
Citat:
Ako ja imam znanje da obijam brave (bez izazivanja štete), da li to znači da smem da otključavam bilo koja vrata i vršljam po stanovima drugih ljudi. Onako, malo razgledam... Nema materijalne štete, zar ne? Pa čak i da ništa ne obijam, da nemam dupli ključ i slično, čak i da je stan otključan, teško da smem da ulazim i vršljam po tuđem, zar ne? Čisto kao informacija, ovde nije dozvoljenu uzeti fotoaparat i slikati kuću komšije bez njegove dozvole. Naravno, možeš to da uradiš i verovatno se neće ništa desiti, ali mogao bi i da te tuži i da budeš kažnjen.
__________________
Commercial-Free !!! Poslednja izmena od degojs : 18. 06. 2007. u 17:01. |
|
18. 06. 2007. | #14 |
Super Moderator
Knowledge base
Datum učlanjenja: 02.10.2006
Lokacija: Niš
Poruke: 1.618
Hvala: 263
275 "Hvala" u 104 poruka
|
koliko god imao dobru nameru, ipak ce te vecina gledati ispod obrve kad im prijavis propust...
jedino da si neki njihov poslovni prijatelj/saradnik, onda ce to biti protumaceno kao skroz dobro delo... ili si pak neko od poznatijih likova, sa reputacijom, cije namere niko nece dovesti u pitanje. imao sam priliku da dobijem 'dojavu' o propustu na sajtu jednog od mojih sponzora. osecao bih se odgovornim da NISAM prijavio. prijavio sam, i najnormalnije mi se ljudi zahvalili. jedino sto propust i posle godinu ipo nije ispravljen samo sto je to ostalo izmedju mene i njih, dakle nikom nisam rekao niti igde publikovao propust... jer ne vidim zasto bih to ucinio, sve i da ih uopste ne poznajem. Poslednja izmena od Peca : 18. 06. 2007. u 19:22. |
18. 06. 2007. | #15 |
Predrag Supurović
Grand Master
Datum učlanjenja: 24.01.2006
Lokacija: Užice
Poruke: 791
Hvala: 3
200 "Hvala" u 12 poruka
|
Ne bih rekao.
Ako propust omogucava da se steta nanese samo sajtu, ili vlasniku sajta onda je to jedna stvar jer ako vlasnik sajta ne preduzme nista da se zastiti, sam snosi rizik. U ovom slucaju mislim da nikako ne bi trebalo objavljivati propust, vec samo o tome obavestiti vlasnika sajta. Ako propust omogucava da se nanese steta posetiocima sajta to je nesto drugo jer ako vlasnik sajta ne otkloni propust, onda on ugrozava svoje korisnike. Korisnici imaju pravo da znaju da su ugrozeni. Problem u ovom drugom slucaju je taj sto bi, s jedne strane, korisnici trebalo da znaju da su ugrozeni, ali bi ih, sa druge strane, objavljivanje propusta jos vise ugrozilo. Tu je dilema.
__________________
Peđina beležnica (blog) - www.uzice.net - wireless.uzice.net - www.vokabular.org - www.vodic.net - forum.uzice.net |
18. 06. 2007. | #16 |
Rade Joksimović
Professional
Datum učlanjenja: 27.10.2006
Poruke: 220
Hvala: 0
1 "Hvala" u 1 poruci
|
Po meni, kako sam ja to radio, prvo pokusas da stupis u kontakt sa vlasnikom sajta i prijavis mu gresku i ako nisi u guzvi objasnis mu kako da se zastiti ili makar sta da kaze onom koji ce popraviti, koja je vrsta ranjivosti i gde.
Samo sto te kada pokusas da pomognes ljudima vlasnik kulira, ne odgovara na mailove, i sl. Ali ako je u pitanju neka rasprostranjena aplikacija u kojoj si pronasao ranjivost, objavis je kako bi mogli ostali da se zastite jer te autor kulira, dobijes tuzbu? Logika? To je sto se tice objavljivanja propusta, a sto se tice nalazenja, Cvele je dao dobro poredjenje sa avionom u filmu. Nemoze te neko tuziti jer si pronasao nesto ako nisi iskoristio da naneses bilo kakvu stetu vlasniku/autoru sajta/aplikacije. Ali da treba prvo kontaktirati autora, treba. |
18. 06. 2007. | #17 | |
I'm a PC too.
Wrote a book
Datum učlanjenja: 05.06.2005
Lokacija: Kanada
Poruke: 1.354
Hvala: 82
130 "Hvala" u 89 poruka
|
Citat:
Jedna je stvar naći propust nekim normalnim korišćenjem, a druga je ako uzmeš namerno da npr. ukucavaš u textbox-ove stvari tipa: '; DELETE FROM ... <script>.... To je očigledno onda šta se radi.. ne verujem da u tom slučaju ne bi mogao neko da te tuži. Misliš da smeš tek tako da odeš na sajt npr. fbi.gov i počneš da ukucavaš takve stvari? Šta misliš koliko dugo bi to radio, ako si još nastanjen u USA, a da neko ne zakuca na vrata da malo porazgovara sa tobom šta to radiš? Pa zamisli da neko tako dođe oko tvoje kuće pa probava - da li su vrata zaključana, da li su prozori zatvoreni, itd? Da li je to OK? I šta bi bilo kad bi neko pozvao policiju i panduri dođu, a tip kaže kao: "Ma to sam ja samo probavao alarm u kući kod tih ljudi.. nisam ništa oštetio..?" Samo tetki da odnesem lek
__________________
Commercial-Free !!! Poslednja izmena od degojs : 18. 06. 2007. u 23:12. |
|
18. 06. 2007. | #18 |
član
Certified
Datum učlanjenja: 07.08.2005
Poruke: 67
Hvala: 15
0 "Hvala" u 0 poruka
|
Pa kakva je pravna strana toga, šta zakon kaže o pronalasku i prijavama propusta. Sama etika je drugo, ako neko prijavi propust vlasniku sajta vlasnik može to gleti kao uslugu ali i kao nešto zlonamerno. Drugo ako taj propust može da ugrozi i inkrimiše korisnike sajta etički je i ukazati im na to. Ali opet zakon može sasvim drugačije biti koncipiran i gledati sve to sa određenog stanovišta.
__________________
Online prodavnica rukotvorina |
19. 06. 2007. | #19 |
Rade Joksimović
Professional
Datum učlanjenja: 27.10.2006
Poruke: 220
Hvala: 0
1 "Hvala" u 1 poruci
|
^^Ja sam konkretno kada pominjes www.fbi.gov pronasao xss propust pre nekih godinu dana u jednom odeljku www.nasa.gov. Nisi mogao da ownas server nasa-e ili bilo sta ozbiljnije sa tim bugom, jedino zadovoljstvo sto si pronasao nesto u takvom jednom sajtu. Naravno odmah sam prijavio bug posle cega su bolje izfiltrirali formu. I da, niko mi nije kucao na vrata zbog toga
Ti ne zloupotrebis takve stvari, nije to kao sto je onaj englez pre par godina ownao neke .gov servere, sto znaci da je preuzeo root privilegije, imao uvid u mozda zasticene odseke koje ne bi smeo da vidi, pa ga tuzili i osudili, ako se dobro secam. Alarm u necijoj kuci da proveravas nije isto kao da gledas sajt jer je sajt javno dostupan. To bi bilo kao da je tastatura za sifru na alarmu predvidjena da ljudi kucaju po njoj, svi prolaznici da kucaju. I ti dodjes i ukucas neku kombinaciju i ispise ti da ako potvrdis dobices kljuc od te kuce. I ti se okrenes i odes i jos ostavis pismo ispred vrata sa opisom kako da srede ili makar sta. Ti saznas 'kombinaciju'(recimo RFI vuln) koja ne bi smela da prolazi, i ne iskoristis je, a mogao bi da ownas sistem sa njom, to nemoze da bude ilegalno. Mozda je moja logika pogresna, ali ja tu ne vidim nista ilegalno, cak dobrotvorni rad. Poslednja izmena od zark0vac : 19. 06. 2007. u 01:48. |
19. 06. 2007. | #20 | ||
I'm a PC too.
Wrote a book
Datum učlanjenja: 05.06.2005
Lokacija: Kanada
Poruke: 1.354
Hvala: 82
130 "Hvala" u 89 poruka
|
Citat:
Citat:
__________________
Commercial-Free !!! Poslednja izmena od degojs : 19. 06. 2007. u 03:25. |
||
|
|
Slične teme | ||||
Tema | Početna poruka teme | Forum | Odgovori | Poslednja poruka |
Sigurnost i zastita informacija, na jednom mestu | Ivan | Opušteno | 13 | 05. 07. 2008. 20:54 |
Skolski e-dnevnik i sigurnost?! | salebab | Opušteno | 59 | 17. 10. 2007. 15:40 |
Sigurnost i poslovna politika... | LiquidBrain | Web Hosting, web serveri i operativni sistemi | 11 | 06. 05. 2007. 01:25 |
ptt i sigurnost | nixa | Opušteno | 5 | 23. 03. 2007. 15:50 |
Firefox i sigurnost | Ilija Studen | Web aplikacije, web servisi i software | 43 | 04. 03. 2006. 23:24 |