Pitanje ?

[Ivan]

S obzirom da ovde ima mnogo iskusnijih od mene zelim da iste pitam o nekim stvarima. Upoznati ste sa cime se bavim i pitanje je bas iz te oblasti.

Surfujuci sajtovima mogu da bez ikakvog alata primetim neke ogromne propuste, propuste kojima je moguce dobiti potpunu kontrolu nad sajtom.
Rekao sam bez alata jer su propusti i vise nego ocigledni i zato da se ne bi vratili na temu od pre oko samovoljnog skeniranja. Znaci odem na sajt primetim propust i to je to.

Sledeci korak je taj da posaljem e-mail administratoru i opisem ono sto sam pronasao i kakve posledice mogu biti u slucaju da neko drugi pronadje. Ponudim se da ispravim taj propust, mada u vecini slucajeva objasnim gresku tako da se uz malo truda moze ispraviti i bez mene. Prodje par meseci i greska i dalje stoji. I naravno nema reply.

Sta bi vi radili ? Da li bi ih obavestili ponovo ? Objavili propust negde ? Iskulirali ?

Moram da napomenem da su u pitanju veoma poznati sajtovi sa velikim brojem poseta dnevno.

Hvala

[jablan]

Zamisli na trenutak iduću situaciju: Umesto što surfuješ sajtovima, šetaš komšilukom i vidiš da neki komšija ne zaključava stan kad ide prekoputa po cigare. Na elegantan način obavestiš komšiju o njegovom sigurnosnom propustu, ali te on iskulira. Šta ćeš raditi?

Obavestiti ga ponovo? Tipovati ga sitnim krimosima iz kraja? Sam se uvući u stan i maznuti mu korpu sa prljavim gaćama iz kupatila? Ili ne raditi ništa nego gledati svoj posao?

Izbor je na tebi. Ja bih se lično opredelio za poslednju varijantu, ali možda nešto nije u redu sa mnom...

[Ivan]

Da i ja mislim da je zadnja opcija najbolja, to sam i radio sve vreme ...
Ali sa druge strane zelim da skrenem paznju na greske, zelim da nas web bude bolji. Isto kao sto se komentarise dizajn tako moze i ovo.
U pitanju su sajtovi koji ne bi smeli tako nesto sebi da dozvole.

Verovatno cu nastaviti da kuliram, ali ne mogu da verujem da oni mogu da iskuliraju tako nesto (mislim na to da im kazem gde su greske i da nista ne urade povodom toga).

Tema je pokrenuta da vidim da li neko mozda ima neku pametnu ideju ili bilo sta cime bi se skrenula paznja na sigurnost. Kao sto sam vec rekao ja sve lepo objasnim tako da to moze i laik da ispravi.

Sustina je da zelim da skrenem paznju na sigurnost. Pitanje je kako ?

[zira]

Koliko razumijem, tebe nervira to sto ti nadjes propust i administrator ti se ne zahvali i/ili ne ispravi propust?

Pa sta ces, takav je zivot Mislim, fino od tebe sto si ga obavijestio, a opet oni stvarno nisu u obavezi da ti se uopste javljaju. Lijepo bi bilo, ali ne moraju.

Ja bih ti se javio, mada svakako ne bhi bio odusevljen sto neko cacka po sajtu i pokusava da udje tamo gdje mu nije mjesto. Najbolje je kad si tako u nedoumici da postavis stvari na osnovu realnog zivota (sajt = kuca, e-shop = Pekabeta i slicno) pa ce ti vjerovatno biti jasnije.

I na kraju, mnogi ljudi ne cijene besplatne savjete, pogotovo kada ih nisu ni trazili. Mozda bolje da napravis firmu pa nudis zastitu sajtova i pregled sigurnosti kao i rjesavanje problema, ako mislis da si sposoban. Cist racun, duga ljubav.

[jablan]

Da se razumemo, nije preterano realno da bez nekog radnog iskustva napraviš firmu i očekuješ da će svi pohrliti u nju... Ali zato nije nerealno da se zaposliš u nekoj firmi kao tester i/ili security developer, i tek sa dovoljnim iskustvom u branši možeš započeti da razmišljaš o privatnom biznisu, ako misliš da za to ima dovoljno potražnje na tržištu. Nažalost, treba napomenuti da je taj posao daleko manje interesantan nego neobavezni "čačkaj malo ovaj sajt, čačkaj malo onaj drugi" pristup.

[Ivan]

Hm, sve je to nekako povezano ... Shvatam da jos uvek nemam dovoljno ni resursa ni iskustva da bih zapoceo svoj privatni biznis. Kod nas nema gde da se zaposlim kao security developer. Mozda zbog svega toga i zelim da podignem svest o vaznosti zastite informacija i samim tim napravim trziste.

Radim u jednoj web dev firmi i za njih radim i security dev, ali jos uvek to nije kod nas toliko razvijeno. Previse zurim, izgleda da je to problem.

Hvala na odgovorima

[Blood]

Ja se ne slazem sa pricom "uporedi sa komsijom koji ostavlja otkljucan stan". Ako si nasao rupu, iskoristi je, stavi im do znanja da su ranjivi, ja bi im iskreno usao na site i dodao jednu vest(tipa, site vam je nesiguran, ako zelite to da ispravite, kontaktirajte me), tako ces im sigurno privuci paznju, a ne samo njima vec i njihovim sefovima koji ce te najverovatnije kontaktirati da ispravis propust njihovih developera ako to oni vec ne znaju, jer se meni cini da ovako oni samo zataskavaju svoje greske, a ne rade nista povodom toga da ih isprave...

Kako je Toma Nikolic nasao rupu u zakonu i iskoristio je(kad je kupio neki stan, kucu ili sta god vec).

I uopste se ne slazem sa tim sto su te "napali" sto si im skenirao site. Pa ljudi, bolje da Ivan to uradi i da vam ukaze na propuste(ako ih ima), nego neki napaljeni klinac, koji ne samo da nece da vam ukaze na propuste, vec ce da vam obrise sve zivo i da stavi svoj potpis, jer ce misliti da tako skuplja neke poene..

[mungos]

Citat:

Sustina je da zelim da skrenem paznju na sigurnost. Pitanje je kako ?

Paznju na sigurnost, ili na svoje usluge

Zaboravi domaći Web u security segmentu, ako si dovoljno dobar, snaćićeš se već napolju. A i sigurnije je po zdravlje.

Citat:

Ali sa druge strane zelim da skrenem paznju na greske, zelim da nas web bude bolji. Isto kao sto se komentarise dizajn tako moze i ovo.

Pazi ovako, da li je isto da stojiš na ulici i diviš se kući, fasadi, lavovima na ogradi... ili da proskočiš ogradu, uđeš u dvorište i provjeriš da li su kućna vrata zaključana, da li je ključ možda pod otiračem, ispod saksije, ili si u fazonu da provjeriš sa svojim setom ključeva i alata da li je bravar ugradio dovoljno kvalitetnu bravu.

Citat:

Moram da napomenem da su u pitanju veoma poznati sajtovi sa velikim brojem poseta dnevno.

Dosta ti je to nezgodna rabota vrlo je lako da možeš da popiješ gnjev administratora sajtova, u goroj varijanti da ti zakucaju drotovi na vrata... ili u najgoroj da ti neko polomi ruke i noge zbog gluposti.

Ako si već spreman da ideš dovoljno duboko što sa sobom nosi rizik onda ostavljaj podsjetnicu direktno na serveru, zaboravi mail (Warning: vlo lako možeš da se oklizneš na koru od banane i završiš u gipsu)

Javno pljuvanje sajtova koji posjeduju propuste nije preporučljivo.

[Gruja]

Ubedljivo najbolji nacin bi bio da postanes poznati security expert, pa da klijenti jure tebe a ne ti njih. To sigurno nije lako postici, a pogotovo ne preko noci. Radi jos na svom blogu, objavljuj te propuste koje nadjes na sajtovima (ali bez pominjanja konkretnog sajta), pisi clanke za CodeProject, ponudi clanke domacim casopisima, itd. Potrebne su godine da bi izgradio ime ali si posle toga u dosta dobrom polozaju. Posto si mlad, isplati se ulagati u buducnost. Zamisli samo sta bi hteo da budes za 5 godina i onda radi na tome.

[ivanhoe]

A sto javno pljuvanje nije preporucljivo ?

ja bih na tvom mestu pokrenu blog sa listom sajtova koji imaju propuste, naravno uz obavezu da prvo bar nedelju dana ranije obavestis admina o tome, eventualno cak da im ponudis patch... To tako radi masa security experata (setite se samo svih MS exploita koji su publikovani), i po meni je to skroz ok.. naravno isplativije je to raditi za strance, jer sam siguran ako napravis opciju Donate, da bi ti mnogi ameri iz zahvalnosti uplatili neku kintu, i verovatno te kontaktirali posle za savete. Kod nas samo mozes neprijatnosti da ocekujes...

naravno, samo ceprkanje po tudjim sajtovima je vrlo pipava stvar, za razliko od situacije kad kupis svoje windowse, pa ih onda testiras na svojoj masini do mile volje, cackanje sajtova moze da ima razne posledice. Nikako nemoj da menjas sadrzaj sajtova i slicne stvari koje su ovde spominjali jer je to kaznjivo. I onaj englez sto je haknuo nato sisteme se branio na sudu kako je samo proveravao sigurnosne rupe, ali slaba mu vajda od toga..