DevProTalk

Forumi IT profesionalaca
web development, web design, e-business, SEO


Idite nazad   DevProTalk > Poslovanje, održavanje i marketing > e-Business
Želite da se reklamirate ekskluzivno na ovoj poziciji? Javite se

e-Business Elektronsko poslovanje, e-Commerce, poslovanje uopšteno. Sponzor: www.poslovnaznanja.com

Odgovori
 
Alati teme Način prikaza
Staro 18. 06. 2007.   #1
LiquidBrain
Milan Cvejic
Wrote a book
 
Avatar LiquidBrain
 
Datum učlanjenja: 05.09.2006
Lokacija: Beograd
Poruke: 1.241
Hvala: 32
73 "Hvala" u 56 poruka
LiquidBrain će postati "faca" uskoro
Pošaljite poruku preko Yahoo za LiquidBrain
Exclamation Korporacije VS. security researcheri

Ne znam da li sam pogodio topik, ako nisam neka ga moderatori premeste...

U poslednje vreme, koliko sam ja mogao da primetim, sve vise se u svetu pokrecu tuzbe protiv security researchera. S'obzirom da i kod nas postoji ovaj zakon to dovodi u pitanje samu sigurnost naseg ali i svetskog web auditorijuma. Neka misljenja kao sto su:
Citat:
“ Keep (vulnerabilities) to yourself--being a good guy gets you prosecute. I can say honestly that I am no longer interested in assisting anyone with their vulnerabilities. ”

Eric McCarty, a security professional charged with computer intrusion
ili
Citat:
“ Any Web security researcher that has been around long enough will notice vulnerabilities without doing anything. When that happens, I don't tell anyone, rather than risk reputational damage to myself and my company. ”

Jeremiah Grossman, chief technology officer, WhiteHat Security
jasno govore sta svetski security reseacheri misle. Sta vi mislite o tome?

Sto se tice mene, i ako primetim neki propust, nakon par procitanih tekstova, ne verujem da cu to prijaviti bilo kome, jer ipak rizikujem, iako sam "dobar momak", a ne "maliciozni kreten". S' obzirom da to ne radim u komercijalne svrhe, zasto bih uopste rizikovao da zaglavim zatvor ili ko zna sta... posto su kazne kod nas za neovlasceni pristup racunaru ili racunarskoj mrezi bruka velike...

Da li
bi ste vi tuzili nekog, ukoliko pronadje propust na vasem servisu i prijavi vam to (on ipak nije imao prava da to radi)? Ili mozda ne bi, vec bi ste mu se zahvalili? I koji je po vama najbolji nacin da kada neko primeti gresku, da prijavi to, a da ne reskira da ce ga sam vlasnik tuziti?!?
__________________
http://weevify.com

Poslednja izmena od LiquidBrain : 18. 06. 2007. u 10:42.
LiquidBrain je offline   Odgovorite uz citat
Staro 18. 06. 2007.   #2
srdjan
xyz
Grand Master
 
Datum učlanjenja: 25.10.2006
Poruke: 893
Hvala: 87
346 "Hvala" u 163 poruka
srdjan ima spektakularnu aurusrdjan ima spektakularnu aurusrdjan ima spektakularnu aurusrdjan ima spektakularnu auru
Default

Svakako bih mu se zahvalio, jer je pokazao dobru nameru.

To sto je on uradio (pronasao gresku) moze da uradi svaki klinac iz Pakistana, koji ti nece prijaviti, a kome ne mozes nista...
srdjan je offline   Odgovorite uz citat
Staro 18. 06. 2007.   #3
jablan
VD IT Direktora
Invented the damn thing
 
Avatar jablan
 
Datum učlanjenja: 08.06.2005
Lokacija: Beograd
Poruke: 2.118
Hvala: 503
1.307 "Hvala" u 282 poruka
jablan je pravi dragi kamenjablan je pravi dragi kamenjablan je pravi dragi kamenjablan je pravi dragi kamenjablan je pravi dragi kamenjablan je pravi dragi kamenjablan je pravi dragi kamenjablan je pravi dragi kamenjablan je pravi dragi kamenjablan je pravi dragi kamen
Default

Ja mislim da je cela frka nastala zato što zakon jednostavno ne može da se zamajava time da li je neko delo učinjeno iz dobre ili loše namere. Čim ti otkucaš sql injection string u search box nekog sajta, uradio si nešto što izlazi van njegove namene i niko zaista ne želi da se pogađa sa tobom da li si to uradio iz dobre ili loše namere.

Vlasnici veb sajtova treba da se pobrinu da su njihovi sajtovi sigurni, sami ili uz pomoć specijalizovanih konsultantskih firmi. A svi oni koji bi da se bave security ispitivanjem, čačkanjem i bušenjem, treba to da rade kroz te firme, isključivo na insistiranje klijenta.

Ja lično ne bih tužio nikog za koga smatram da ima dobru nameru i zahvalio bih mu se na pronađenim propustima, ali to je zato što bih imao vremena, volje i znanja da prosuđujem. Ne mora da znači da bi svako reagovao na isti način, ali nisam siguran da je pametno isprobavati bilo čiju etiku na taj način.
jablan je offline   Odgovorite uz citat
Staro 18. 06. 2007.   #4
Ivan
Psychedelictrance freak
Wrote a book
 
Avatar Ivan
 
Datum učlanjenja: 04.06.2006
Lokacija: Srbija, Beograd
Poruke: 1.008
Hvala: 325
933 "Hvala" u 34 poruka
Ivan će postati "faca" uskoroIvan će postati "faca" uskoroIvan će postati "faca" uskoroIvan će postati "faca" uskoroIvan će postati "faca" uskoroIvan će postati "faca" uskoroIvan će postati "faca" uskoroIvan će postati "faca" uskoro
Pošaljite poruku preko Skype™ za Ivan
Default

Off Topic:
Citat:
Originalno napisao jablan
... Čim ti otkucaš sql injection string u search box nekog sajta, uradio si nešto što izlazi van njegove namene ...
Citat:
Originalno napisao Jeremiah Grossman
... Any Web security researcher that has been around long enough will notice vulnerabilities without doing anything. ...

...
Ivan je offline   Odgovorite uz citat
Staro 18. 06. 2007.   #5
jablan
VD IT Direktora
Invented the damn thing
 
Avatar jablan
 
Datum učlanjenja: 08.06.2005
Lokacija: Beograd
Poruke: 2.118
Hvala: 503
1.307 "Hvala" u 282 poruka
jablan je pravi dragi kamenjablan je pravi dragi kamenjablan je pravi dragi kamenjablan je pravi dragi kamenjablan je pravi dragi kamenjablan je pravi dragi kamenjablan je pravi dragi kamenjablan je pravi dragi kamenjablan je pravi dragi kamenjablan je pravi dragi kamen
Default

Ma da, čitate misli...

Imaš stranicu na kojoj su samo text box i submit dugme. Kako ćeš, majke ti, gledanjem da vidiš da li postoji neki sigurnosni propust ili ne?
jablan je offline   Odgovorite uz citat
Staro 18. 06. 2007.   #6
ivanhoe
Ivan Dilber
Sir Write-a-Lot
 
Avatar ivanhoe
 
Datum učlanjenja: 18.10.2005
Lokacija: Bgd
Poruke: 5.320
Hvala: 104
2.344 "Hvala" u 583 poruka
ivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svimaivanhoe je ime poznato svima
Pošaljite poruku preko Skype™ za ivanhoe
Default

Citat:
Originalno napisao jablan Pogledajte poruku
Ma da, čitate misli...

Imaš stranicu na kojoj su samo text box i submit dugme. Kako ćeš, majke ti, gledanjem da vidiš da li postoji neki sigurnosni propust ili ne?
ako ti kaze morace da te ubije

sto se teme tiche, mislim da se ovi security experti previse femkaju... sumnjam da je bilo ko optuzen zato sto je slucajno otkrio bug i prijavio ga vlasniku sajta/sofwara bez dizanja medijske prasine, nego se radi o tome da ta ekipa koja zivi od security researcha, u svrhu samo-reklamiranja, ima obicaj da pravi buzz oko pronadjenih propusta, a time kvare posao firmama koje taj software prave, i naravno onda ih oni tuze...
__________________
Leadership is the art of getting people to want to do what you know must be done.
ivanhoe je offline   Odgovorite uz citat
Staro 18. 06. 2007.   #7
Pedja
Predrag Supurović
Grand Master
 
Datum učlanjenja: 24.01.2006
Lokacija: Užice
Poruke: 791
Hvala: 3
200 "Hvala" u 12 poruka
Pedja is on a distinguished roadPedja is on a distinguished roadPedja is on a distinguished road
Default

Kao i u svakom drugom poslu: ako te neko ne angazuje - ne radis.
U svakom slucaju kada mi neko prijavibilo kakav problem 9n e samo sigurnosni) ja mu se zahvalim i iskorsitim informaciju. Ali ako bi neko objavio neki sigurnosni propust n amom sajtu (bez obzira dali me je o propustu pre toga obavestio ili ne), to vec ne bih shvaao kao dobronamerno.

E sad, imamo situacije kao sto je ova skorasnja sa pogodak.co.yu, gde je otkriven problem koji nije sigurnosni propust za sajt, nego sigurnosni propust na sajtu koji pogadja posetioce sajta. Tu je vec pitanje koga obavestiti o problemu.
Pedja je offline   Odgovorite uz citat
Staro 18. 06. 2007.   #8
LiquidBrain
Milan Cvejic
Wrote a book
 
Avatar LiquidBrain
 
Datum učlanjenja: 05.09.2006
Lokacija: Beograd
Poruke: 1.241
Hvala: 32
73 "Hvala" u 56 poruka
LiquidBrain će postati "faca" uskoro
Pošaljite poruku preko Yahoo za LiquidBrain
Default

Citat:
Originalno napisao Pedja Pogledajte poruku
E sad, imamo situacije kao sto je ova skorasnja sa pogodak.co.yu, gde je otkriven problem koji nije sigurnosni propust za sajt, nego sigurnosni propust na sajtu koji pogadja posetioce sajta. Tu je vec pitanje koga obavestiti o problemu.
Ja verujem da se oba slucaja svode na isto...
__________________
http://weevify.com
LiquidBrain je offline   Odgovorite uz citat
Staro 18. 06. 2007.   #9
degojs
I'm a PC too.
Wrote a book
 
Avatar degojs
 
Datum učlanjenja: 06.06.2005
Lokacija: Kanada
Poruke: 1.354
Hvala: 82
130 "Hvala" u 89 poruka
degojs će postati "faca" uskorodegojs će postati "faca" uskoro
Default

Citat:
Originalno napisao jablan
Ja mislim da je cela frka nastala zato što zakon jednostavno ne može da se zamajava time da li je neko delo učinjeno iz dobre ili loše namere.
Naravno, inače bi se svi izvlačili na taj fazon.

Zamislite da vam neko obija vrata, otvara prozore na autu ili kući.. i onda kaže da je to iz dobre namere?
__________________
Commercial-Free !!!
degojs je offline   Odgovorite uz citat
Staro 18. 06. 2007.   #10
cvele
Banned
Knowledge base
 
Avatar cvele
 
Datum učlanjenja: 01.07.2005
Poruke: 1.598
Hvala: 206
140 "Hvala" u 89 poruka
cvele ima spektakularnu aurucvele ima spektakularnu auru
Default

Bila je tu neka zavrzlama, cak je pravljen dokumentarac o tome krajem 90ih.
Ako pocnem da detaljisem nesto cu da slazem jer se nesecam tacno kako je to islo. Uglavnom svojevremeno bio je veliki problem u sigurnosti mobilnih telefona neke poznate svetske marke, covek koji je dosao to tog otkrica je postovao na internetu sve detalje. Naravno usledila je tuzba, ali je glatko pala, nesto kao informacija te vrste nije poverljiva itd

Sto se tice komentara da je to kao kada ti neko obija vrata, nije. Kada ti neko obija vrata cini ti direktnu materijalnu stetu. Kada neko trazi rupe u tvom softveru, sajtu etc on samo dolazi do informacija koje su mu javno dostupne (ako zna gde i kako da pogleda) kao servis, time ne cini nikome materijalnu stetu, marketinsku, mozda ali direktnu materijalnu ne. Neko ko zna gde i kako da gleda je uocio i scenu kada avion prolece u filmu Troja, zar neko treba da tuzi njega zato sto je ovo video? budite sigurni da je nekome iz ekipe filma zboj ovoga ucinjena kolika tolika marketinska steta.

Cak sta vise veoma je pozitivno sto se svojevremeno pojavila informacija o pojavi Trojanaca na win sistemima jer MS iako je znao za pomenuti problem korisnike nije ni obavestio niti je bilo sta preduzeo mesecima, za to vreme su korisnici makar mogli da dodju do informacije i koliko toliko se zastite.

Slican je slucaj i sa web sajtovima, zamisli recimo tebi Blues neko otkrije sigurnosni problem u Romance Cafe koji bi dopustio ljudima da gledaju tudje privatne podatke. Potpuno je legalno da ljudi budu obavesteni o tome kako bi mogli sebe da zastite, opet, koliko toliko. Takodje je realno da ti snosis "marketinsku" odgovornost za ovaj propust. Cena ove odgovornosti je proporcijonalna vremenu za saniranje/kolicini podataka koji su kompromitovani.

PS.

bez namere da prozivam bluesmana, samo mi je to privi servis koji mi je pao napamet u vlasnistvu nekoga od clanova :P

Poslednja izmena od cvele : 18. 06. 2007. u 17:21.
cvele je offline   Odgovorite uz citat
Odgovori


Alati teme
Način prikaza

Pravila pisanja
Možete ne započinjati nove teme
Možete ne slati odgovore
Možete ne slati priloge
Možete ne izmeniti svoje poruke
vB kôd je Uključen
Smajliji su Uključen
[IMG] kod je Uključen
HTML kôd je Isključen
Pogledajte forum

Slične teme
Tema Početna poruka teme Forum Odgovori Poslednja poruka
Sigurnost i zastita informacija, na jednom mestu Ivan Opušteno 13 05. 07. 2008. 21:54
Skolski e-dnevnik i sigurnost?! salebab Opušteno 59 17. 10. 2007. 16:40
Sigurnost i poslovna politika... LiquidBrain Web Hosting, web serveri i operativni sistemi 11 06. 05. 2007. 02:25
ptt i sigurnost nixa Opušteno 5 23. 03. 2007. 16:50
Firefox i sigurnost Ilija Studen Web aplikacije, web servisi i software 43 05. 03. 2006. 00:24


Vreme je GMT +2. Trenutno vreme je 14:31.


Powered by vBulletin® Verzija 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © DevProTalk. All Rights Reserved.
Mišljenja, saveti, izjave, ponude ili druge informacije ili sadržaji nastali na Sajtu su vlasništvo onoga ko ih je kreirao, a ne DevProTalk.com, tako da ne morate da se oslanjate na njih.
Autori poruka su jedini odgovorni za ovakve sadržaje. DevProTalk.com ne garantuje tačnost, kompletnost ili upotrebnu vrednost informacija, stavova, saveta ili datih izjava. Ne postoje uslovi pod kojima bi mi bili odgovorni za štetu ili gubitak koji je posledica bilo čijeg oslanjanja na nepouzdane informacije, ili bilo kakve informacije nastale kroz komunikaciju između registrovanih članova.
Web sajt može sadržavati linkove na druge web sajtove na Internetu ili neke druge sadržaje. Ne kontrolišemo niti podržavamo te druge web sajtove, niti smo pregledali bilo kakve sadržaje na takvim sajtovima. Mi nećemo biti odgovorni za legalnost, tačnost ili prikladnost bilo kog sadržaja, oglasa, proizvoda, usluga ili informacije lociranim na ili distribuiranih kroz druge web sajtove, niti za bilo kakvu štetu nastalu kao posledica takvih informacija. DevProTalk.com drži i čuva druga prava vlasništva na web sajtu. Web sajt sadrže materijale zaštićene copyright-om, zaštitne znakove i druge informacije o pravu vlasništva ili softver. Članovi mogu poslatu informacije zaštićene pravima vlasništva njihovih nosilaca i ona ostaju zaštićena bez obzira da li su oni koji prenose te informacije to naveli ili ne. Osim informacija koje su u javnom vlasništvu ili za koje dobijete dozvolu, nemate pravo da kopirate, modifikujete ili na bilo koji način menjate, objavljujete, prenosite, distribuirate, izvršavate, prikazujete ili prodajte bilo koju informaciju zaštićenu pravima vlasništva. Slanjem informacija ili sadržaja na bilo koji deo DevProTalk.com, Vi automatski dozvoljavate i predstavljate garanciju da imate pravo da dozvolite DevProTalk.com ili članovima DevProTalk.com bespovratnu, kontinualnu, neograničenu, globalnu dozvolu da koriste, kopiraju, izvršavaju, prikazuju i distribuiraju takve informacije i sadržaje i da iz takvih sadžaja koriste bilo koji deo u bilo koje svrhe, kao i pravo i dozvolu da koriste gore navedene sadržaje. Svi zaštitni znakovi (trademarks), logotipi, oznake usluga, firme ili imena proizvoda koji se pominju na ovom web sajtu su vlasništvo kojim raspolažu njihovi vlasnici.