DevProTalk

Forumi IT profesionalaca
web development, web design, e-business, SEO


Idite nazad   DevProTalk > DevProTalk > Opušteno
Želite da se reklamirate ekskluzivno na ovoj poziciji? Javite se

Opušteno Trenutak za pauzu - Ćaskanje. Sponzor: blogodak

Odgovori
 
Alati teme Način prikaza
Staro 14. 07. 2006.   #1
Ivan
Psychedelictrance freak
Wrote a book
 
Avatar Ivan
 
Datum učlanjenja: 04.06.2006
Lokacija: Srbija, Beograd
Poruke: 1.008
Hvala: 325
933 "Hvala" u 34 poruka
Ivan će postati "faca" uskoroIvan će postati "faca" uskoroIvan će postati "faca" uskoroIvan će postati "faca" uskoroIvan će postati "faca" uskoroIvan će postati "faca" uskoroIvan će postati "faca" uskoroIvan će postati "faca" uskoro
Pošaljite poruku preko Skype™ za Ivan
Default Pitanje ?

S obzirom da ovde ima mnogo iskusnijih od mene zelim da iste pitam o nekim stvarima. Upoznati ste sa cime se bavim i pitanje je bas iz te oblasti.

Surfujuci sajtovima mogu da bez ikakvog alata primetim neke ogromne propuste, propuste kojima je moguce dobiti potpunu kontrolu nad sajtom.
Rekao sam bez alata jer su propusti i vise nego ocigledni i zato da se ne bi vratili na temu od pre oko samovoljnog skeniranja. Znaci odem na sajt primetim propust i to je to.

Sledeci korak je taj da posaljem e-mail administratoru i opisem ono sto sam pronasao i kakve posledice mogu biti u slucaju da neko drugi pronadje. Ponudim se da ispravim taj propust, mada u vecini slucajeva objasnim gresku tako da se uz malo truda moze ispraviti i bez mene. Prodje par meseci i greska i dalje stoji. I naravno nema reply.

Sta bi vi radili ? Da li bi ih obavestili ponovo ? Objavili propust negde ? Iskulirali ?

Moram da napomenem da su u pitanju veoma poznati sajtovi sa velikim brojem poseta dnevno.

Hvala
Ivan je offline   Odgovorite uz citat
Staro 14. 07. 2006.   #2
jablan
VD IT Direktora
Invented the damn thing
 
Avatar jablan
 
Datum učlanjenja: 08.06.2005
Lokacija: Beograd
Poruke: 2.118
Hvala: 503
1.307 "Hvala" u 282 poruka
jablan je pravi dragi kamenjablan je pravi dragi kamenjablan je pravi dragi kamenjablan je pravi dragi kamenjablan je pravi dragi kamenjablan je pravi dragi kamenjablan je pravi dragi kamenjablan je pravi dragi kamenjablan je pravi dragi kamenjablan je pravi dragi kamen
Default

Zamisli na trenutak iduću situaciju: Umesto što surfuješ sajtovima, šetaš komšilukom i vidiš da neki komšija ne zaključava stan kad ide prekoputa po cigare. Na elegantan način obavestiš komšiju o njegovom sigurnosnom propustu, ali te on iskulira. Šta ćeš raditi?

Obavestiti ga ponovo? Tipovati ga sitnim krimosima iz kraja? Sam se uvući u stan i maznuti mu korpu sa prljavim gaćama iz kupatila? Ili ne raditi ništa nego gledati svoj posao?

Izbor je na tebi. Ja bih se lično opredelio za poslednju varijantu, ali možda nešto nije u redu sa mnom...
jablan je offline   Odgovorite uz citat
Staro 14. 07. 2006.   #3
Ivan
Psychedelictrance freak
Wrote a book
 
Avatar Ivan
 
Datum učlanjenja: 04.06.2006
Lokacija: Srbija, Beograd
Poruke: 1.008
Hvala: 325
933 "Hvala" u 34 poruka
Ivan će postati "faca" uskoroIvan će postati "faca" uskoroIvan će postati "faca" uskoroIvan će postati "faca" uskoroIvan će postati "faca" uskoroIvan će postati "faca" uskoroIvan će postati "faca" uskoroIvan će postati "faca" uskoro
Pošaljite poruku preko Skype™ za Ivan
Default

Da i ja mislim da je zadnja opcija najbolja, to sam i radio sve vreme ...
Ali sa druge strane zelim da skrenem paznju na greske, zelim da nas web bude bolji. Isto kao sto se komentarise dizajn tako moze i ovo.
U pitanju su sajtovi koji ne bi smeli tako nesto sebi da dozvole.

Verovatno cu nastaviti da kuliram, ali ne mogu da verujem da oni mogu da iskuliraju tako nesto (mislim na to da im kazem gde su greske i da nista ne urade povodom toga).

Tema je pokrenuta da vidim da li neko mozda ima neku pametnu ideju ili bilo sta cime bi se skrenula paznja na sigurnost. Kao sto sam vec rekao ja sve lepo objasnim tako da to moze i laik da ispravi.

Sustina je da zelim da skrenem paznju na sigurnost. Pitanje je kako ?
Ivan je offline   Odgovorite uz citat
Staro 14. 07. 2006.   #4
zira
Vladan Zirojević
Grand Master
 
Datum učlanjenja: 09.06.2006
Lokacija: Beograd/Trebinje
Poruke: 903
Hvala: 106
183 "Hvala" u 82 poruka
zira ima spektakularnu auruzira ima spektakularnu auruzira ima spektakularnu auru
Pošaljite ICQ poruku za zira Pošaljite poruku preko Skype™ za zira
Default

Koliko razumijem, tebe nervira to sto ti nadjes propust i administrator ti se ne zahvali i/ili ne ispravi propust?

Pa sta ces, takav je zivot Mislim, fino od tebe sto si ga obavijestio, a opet oni stvarno nisu u obavezi da ti se uopste javljaju. Lijepo bi bilo, ali ne moraju.

Ja bih ti se javio, mada svakako ne bhi bio odusevljen sto neko cacka po sajtu i pokusava da udje tamo gdje mu nije mjesto. Najbolje je kad si tako u nedoumici da postavis stvari na osnovu realnog zivota (sajt = kuca, e-shop = Pekabeta i slicno) pa ce ti vjerovatno biti jasnije.

I na kraju, mnogi ljudi ne cijene besplatne savjete, pogotovo kada ih nisu ni trazili. Mozda bolje da napravis firmu pa nudis zastitu sajtova i pregled sigurnosti kao i rjesavanje problema, ako mislis da si sposoban. Cist racun, duga ljubav.
__________________
Donesi.com SrediMe
zira je offline   Odgovorite uz citat
Staro 14. 07. 2006.   #5
jablan
VD IT Direktora
Invented the damn thing
 
Avatar jablan
 
Datum učlanjenja: 08.06.2005
Lokacija: Beograd
Poruke: 2.118
Hvala: 503
1.307 "Hvala" u 282 poruka
jablan je pravi dragi kamenjablan je pravi dragi kamenjablan je pravi dragi kamenjablan je pravi dragi kamenjablan je pravi dragi kamenjablan je pravi dragi kamenjablan je pravi dragi kamenjablan je pravi dragi kamenjablan je pravi dragi kamenjablan je pravi dragi kamen
Default

Da se razumemo, nije preterano realno da bez nekog radnog iskustva napraviš firmu i očekuješ da će svi pohrliti u nju... Ali zato nije nerealno da se zaposliš u nekoj firmi kao tester i/ili security developer, i tek sa dovoljnim iskustvom u branši možeš započeti da razmišljaš o privatnom biznisu, ako misliš da za to ima dovoljno potražnje na tržištu. Nažalost, treba napomenuti da je taj posao daleko manje interesantan nego neobavezni "čačkaj malo ovaj sajt, čačkaj malo onaj drugi" pristup.
jablan je offline   Odgovorite uz citat
Staro 14. 07. 2006.   #6
Ivan
Psychedelictrance freak
Wrote a book
 
Avatar Ivan
 
Datum učlanjenja: 04.06.2006
Lokacija: Srbija, Beograd
Poruke: 1.008
Hvala: 325
933 "Hvala" u 34 poruka
Ivan će postati "faca" uskoroIvan će postati "faca" uskoroIvan će postati "faca" uskoroIvan će postati "faca" uskoroIvan će postati "faca" uskoroIvan će postati "faca" uskoroIvan će postati "faca" uskoroIvan će postati "faca" uskoro
Pošaljite poruku preko Skype™ za Ivan
Default

Hm, sve je to nekako povezano ... Shvatam da jos uvek nemam dovoljno ni resursa ni iskustva da bih zapoceo svoj privatni biznis. Kod nas nema gde da se zaposlim kao security developer. Mozda zbog svega toga i zelim da podignem svest o vaznosti zastite informacija i samim tim napravim trziste.

Radim u jednoj web dev firmi i za njih radim i security dev, ali jos uvek to nije kod nas toliko razvijeno. Previse zurim, izgleda da je to problem.

Hvala na odgovorima
Ivan je offline   Odgovorite uz citat
Staro 14. 07. 2006.   #7
Blood
Boban Karišik
Expert
 
Avatar Blood
 
Datum učlanjenja: 05.11.2005
Lokacija: Beograd
Poruke: 556
Hvala: 36
186 "Hvala" u 21 poruka
Blood is on a distinguished roadBlood is on a distinguished road
Pošaljite poruku preko Skype™ za Blood
Default

Ja se ne slazem sa pricom "uporedi sa komsijom koji ostavlja otkljucan stan". Ako si nasao rupu, iskoristi je, stavi im do znanja da su ranjivi, ja bi im iskreno usao na site i dodao jednu vest(tipa, site vam je nesiguran, ako zelite to da ispravite, kontaktirajte me), tako ces im sigurno privuci paznju, a ne samo njima vec i njihovim sefovima koji ce te najverovatnije kontaktirati da ispravis propust njihovih developera ako to oni vec ne znaju, jer se meni cini da ovako oni samo zataskavaju svoje greske, a ne rade nista povodom toga da ih isprave...

Kako je Toma Nikolic nasao rupu u zakonu i iskoristio je(kad je kupio neki stan, kucu ili sta god vec).

I uopste se ne slazem sa tim sto su te "napali" sto si im skenirao site. Pa ljudi, bolje da Ivan to uradi i da vam ukaze na propuste(ako ih ima), nego neki napaljeni klinac, koji ne samo da nece da vam ukaze na propuste, vec ce da vam obrise sve zivo i da stavi svoj potpis, jer ce misliti da tako skuplja neke poene..
__________________
Ako već nisi Anđeo, bar budi čovek...
Blood je offline   Odgovorite uz citat
Staro 14. 07. 2006.   #8
mungos
Knowledge base
Wrote a book
 
Datum učlanjenja: 09.06.2005
Poruke: 1.123
Hvala: 26
319 "Hvala" u 22 poruka
mungos is on a distinguished roadmungos is on a distinguished roadmungos is on a distinguished roadmungos is on a distinguished road
Default

Citat:
Sustina je da zelim da skrenem paznju na sigurnost. Pitanje je kako ?
Paznju na sigurnost, ili na svoje usluge

Zaboravi domaći Web u security segmentu, ako si dovoljno dobar, snaćićeš se već napolju. A i sigurnije je po zdravlje.

Citat:
Ali sa druge strane zelim da skrenem paznju na greske, zelim da nas web bude bolji. Isto kao sto se komentarise dizajn tako moze i ovo.
Pazi ovako, da li je isto da stojiš na ulici i diviš se kući, fasadi, lavovima na ogradi... ili da proskočiš ogradu, uđeš u dvorište i provjeriš da li su kućna vrata zaključana, da li je ključ možda pod otiračem, ispod saksije, ili si u fazonu da provjeriš sa svojim setom ključeva i alata da li je bravar ugradio dovoljno kvalitetnu bravu.

Citat:
Moram da napomenem da su u pitanju veoma poznati sajtovi sa velikim brojem poseta dnevno.
Dosta ti je to nezgodna rabota vrlo je lako da možeš da popiješ gnjev administratora sajtova, u goroj varijanti da ti zakucaju drotovi na vrata... ili u najgoroj da ti neko polomi ruke i noge zbog gluposti.

Ako si već spreman da ideš dovoljno duboko što sa sobom nosi rizik onda ostavljaj podsjetnicu direktno na serveru, zaboravi mail (Warning: vlo lako možeš da se oklizneš na koru od banane i završiš u gipsu)

Javno pljuvanje sajtova koji posjeduju propuste nije preporučljivo.
mungos je offline   Odgovorite uz citat
Staro 14. 07. 2006.   #9
Gruja
Dejan Grujic
Professional
 
Datum učlanjenja: 29.09.2005
Poruke: 380
Hvala: 9
64 "Hvala" u 40 poruka
Gruja is on a distinguished road
Default

Ubedljivo najbolji nacin bi bio da postanes poznati security expert, pa da klijenti jure tebe a ne ti njih. To sigurno nije lako postici, a pogotovo ne preko noci. Radi jos na svom blogu, objavljuj te propuste koje nadjes na sajtovima (ali bez pominjanja konkretnog sajta), pisi clanke za CodeProject, ponudi clanke domacim casopisima, itd. Potrebne su godine da bi izgradio ime ali si posle toga u dosta dobrom polozaju. Posto si mlad, isplati se ulagati u buducnost. Zamisli samo sta bi hteo da budes za 5 godina i onda radi na tome.
Gruja je offline   Odgovorite uz citat
Staro 14. 07. 2006.   #10
ivanhoe
Ivan Dilber
Sir Write-a-Lot
 
Avatar ivanhoe
 
Datum učlanjenja: 18.10.2005
Lokacija: Bgd
Poruke: 5.320
Hvala: 104
2.344 "Hvala" u 583 poruka
ivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svima
Pošaljite poruku preko Skype™ za ivanhoe
Default

A sto javno pljuvanje nije preporucljivo ?

ja bih na tvom mestu pokrenu blog sa listom sajtova koji imaju propuste, naravno uz obavezu da prvo bar nedelju dana ranije obavestis admina o tome, eventualno cak da im ponudis patch... To tako radi masa security experata (setite se samo svih MS exploita koji su publikovani), i po meni je to skroz ok.. naravno isplativije je to raditi za strance, jer sam siguran ako napravis opciju Donate, da bi ti mnogi ameri iz zahvalnosti uplatili neku kintu, i verovatno te kontaktirali posle za savete. Kod nas samo mozes neprijatnosti da ocekujes...

naravno, samo ceprkanje po tudjim sajtovima je vrlo pipava stvar, za razliko od situacije kad kupis svoje windowse, pa ih onda testiras na svojoj masini do mile volje, cackanje sajtova moze da ima razne posledice. Nikako nemoj da menjas sadrzaj sajtova i slicne stvari koje su ovde spominjali jer je to kaznjivo. I onaj englez sto je haknuo nato sisteme se branio na sudu kako je samo proveravao sigurnosne rupe, ali slaba mu vajda od toga..
__________________
Leadership is the art of getting people to want to do what you know must be done.
ivanhoe je offline   Odgovorite uz citat
Odgovori


Alati teme
Način prikaza

Pravila pisanja
Možete ne započinjati nove teme
Možete ne slati odgovore
Možete ne slati priloge
Možete ne izmeniti svoje poruke
vB kôd je Uključen
Smajliji su Uključen
[IMG] kod je Uključen
HTML kôd je Isključen
Pogledajte forum

Slične teme
Tema Početna poruka teme Forum Odgovori Poslednja poruka
SEO - URL Pitanje Zizi Marketing i SEO 14 17. 07. 2009. 16:42
CSS pitanje mirko75 Sva početnička pitanja 2 02. 06. 2008. 00:01
PDO pitanje McChoban PHP 3 31. 08. 2007. 10:40
Teoretsko pitanje jana SQL baze podataka - Sponzor: Baze-Podataka.net 4 03. 12. 2006. 20:53


Vreme je GMT +2. Trenutno vreme je 12:02.


Powered by vBulletin® Verzija 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © DevProTalk. All Rights Reserved.
Mišljenja, saveti, izjave, ponude ili druge informacije ili sadržaji nastali na Sajtu su vlasništvo onoga ko ih je kreirao, a ne DevProTalk.com, tako da ne morate da se oslanjate na njih.
Autori poruka su jedini odgovorni za ovakve sadržaje. DevProTalk.com ne garantuje tačnost, kompletnost ili upotrebnu vrednost informacija, stavova, saveta ili datih izjava. Ne postoje uslovi pod kojima bi mi bili odgovorni za štetu ili gubitak koji je posledica bilo čijeg oslanjanja na nepouzdane informacije, ili bilo kakve informacije nastale kroz komunikaciju između registrovanih članova.
Web sajt može sadržavati linkove na druge web sajtove na Internetu ili neke druge sadržaje. Ne kontrolišemo niti podržavamo te druge web sajtove, niti smo pregledali bilo kakve sadržaje na takvim sajtovima. Mi nećemo biti odgovorni za legalnost, tačnost ili prikladnost bilo kog sadržaja, oglasa, proizvoda, usluga ili informacije lociranim na ili distribuiranih kroz druge web sajtove, niti za bilo kakvu štetu nastalu kao posledica takvih informacija. DevProTalk.com drži i čuva druga prava vlasništva na web sajtu. Web sajt sadrže materijale zaštićene copyright-om, zaštitne znakove i druge informacije o pravu vlasništva ili softver. Članovi mogu poslatu informacije zaštićene pravima vlasništva njihovih nosilaca i ona ostaju zaštićena bez obzira da li su oni koji prenose te informacije to naveli ili ne. Osim informacija koje su u javnom vlasništvu ili za koje dobijete dozvolu, nemate pravo da kopirate, modifikujete ili na bilo koji način menjate, objavljujete, prenosite, distribuirate, izvršavate, prikazujete ili prodajte bilo koju informaciju zaštićenu pravima vlasništva. Slanjem informacija ili sadržaja na bilo koji deo DevProTalk.com, Vi automatski dozvoljavate i predstavljate garanciju da imate pravo da dozvolite DevProTalk.com ili članovima DevProTalk.com bespovratnu, kontinualnu, neograničenu, globalnu dozvolu da koriste, kopiraju, izvršavaju, prikazuju i distribuiraju takve informacije i sadržaje i da iz takvih sadžaja koriste bilo koji deo u bilo koje svrhe, kao i pravo i dozvolu da koriste gore navedene sadržaje. Svi zaštitni znakovi (trademarks), logotipi, oznake usluga, firme ili imena proizvoda koji se pominju na ovom web sajtu su vlasništvo kojim raspolažu njihovi vlasnici.