Nie moge zgodzic sie z odpowiedzia na drugie pytanie:

"Zauważmy, że z reguły nie ma winy serwisu w tym, że jest on wykonany w sposób, który umożliwia dokonanie ataku." - to zdanie to totalny absurd! Kto inny odpowiada za konstrukcje i dzialanie serwisu jesli nie jego operator/administrator/wlasciciel? Wstydzic powinien sie wlasnie operator serwisu i mozliwosc pozwania (pod pretekstem naruszenia dobrego imienia) osoby ktora znalazla luke w serwisie to odwrocenie przyslowiowego kota ogonem. Winny jest operator lub wykonawca serwisu i to ich powinno sie pogonic, to ich dobre imie ucierpi, tym bardziej jesli pozwana zostanie osoba ktora luke znalazla.

Rozwazmy przypadek czysto teoretyczny - jestem uzytkownikiem portalus spolecznosciowego i podpisuje sie pseudonimem. Zalozmy ze w serwisie jest dziura ktora umozliwia dostep do informacji o mnie (np mojego imienia i nazwiska). Osoba A oglasza publicznie ze taka dziura istnieje, nie podajac jednak detali technicznych aby nie ulatwic przeprowadzenia ataku. DI pozywa osobe o naruszenie dobrego imienia, ktos dokonuje ataku, moje dane wyciekaja... i ja moge zagwarantowac ze pozwe portal o odszkodowanie, bo to portal nie dopilnowalo bezpieczenstwa moich danych. Koniec teoretycznych rozwazan.

Coraz powszechniejsza metoda ujawniania informacji to informowanie podmiotu o znalezionej u nich dziurze, ustalenie czasu jaki maja na naprawienie problemu, po uplywie tego czasu opublikowanie informacji (wraz z adnotacja, ze dziura zostala juz zalatana). Wilk syty, owca cala, osoba ktora znalazla dziure ma to co chciala, portal moze sie pochwalic ze powaznie traktuje takie zgloszenia.

Na zakonczenie - przeprowadzanie "atakow demonstracyjnych" jest nielegalne bo jest to atak taki sam jak kazdy inny, konsekwencje sa dokladnie takie same - utrata poufnosci, integralnosc lub dostepnosci informacji. Jedyna mozliwosc aby taki pokaz byl legalny to miec na pismie zgode wlasciciela/operatora systemu i wszystkich podmiotow powiazanych (jesli juz chcemy byc zypelnie legalni).

Errata - przepraszam za blad we wczesniejszej odpowiedzi - w paragrafie rozwazajacym teoretyczny przypadek widnieje "DI pozywa osobe o naruszenie dobrego imienia" - zamiast "DI" ma byc "Portal" bo rozwazania dotycza "portalu spolecznosciowego" a nie DI :-)

Moj blad.

A to nie jest tak, że jeżeli nie ma zabezpieczenia to nie możemy mówić o przełamaniu zabezpieczenia? Bo jeżeli jest ale niepełnosprawne to jeszcze bym zrozumiał.. :) Co ma robić osoba, która znalazła dziurę, zgłosiła autorom, a oni nie chcą jej naprawić? Czy wstrzyknięcie kodu który by np. tylko i wyłącznie wyświetlał okienko lub tekst na stronie: "Strona podatna na atak XYZ." jest przestępstwem?

Tak - bedzie przestepstwem bo zmodyfikowales informacje bez wiedzy i zgody jej wlasciciela.

Jesli mowa o np SQL Injection to zastanawiam sie czy daloby rade przed Sadem wyjasnic, ze dziura ta wynika tylko i wylacznie z zaniedban lub wrecz niekompetencji osoby piszacej aplikacje i nie mozna mowic o przelamaniu zabezpieczen bo zadnych zabezpieczen tam nie ma. Sadze, ze to zalezaloby od Sadu ale argumenty sa dosc mocne - sa "najlepsze praktyki" ktorych programisci powinni przestrzegac, sa zalecenia dla developerow, sa w dokumentacji baz danych i jezykow programowania cale dzialy poswiecone bezpieczenstwu, wszystko to dostepne ZA DARMO, wiec nie ma usprawiedliwienia dla niedbalosci. Jesli podatnosc strony jest efektem ewidentnych zaniedban (SQL Injection to jeden z przykladow) to moim skromnym zdaniem nalezaloby pozwac od odszkodowanie wykonawce strony (firme/osobe).

Pewna analogia... To tak jakby wejsc na drabine ktora sie zlozy jak wejdziesz na najwyzszy szczebel... To moja wina ze drabina sie zlozyla bo wszedlem na najwyzszy szczebel, czy to wina producenta, ktory nie zrobil zabezpieczenia aby drabina sie nie zlozyla? Nalezy pamietac, ze szczeble sa po to aby na nie wchodzic - to wynika z definicji funkcji uzytkowej drabiny :-)

Co zrobic jesli zgloszono informacje autorom a oni to ignoruja? To ciekawy temat – na swiecie ostatnimi czasy bardzo popularnym i skutecznym rozwiazaniem jest tzw „responsible disclosure” – informujesz firme ze jest dziura, pytasz ile czasu potrzebuja na jej zalatanie (uzgadniasz to z nimi – wiele osob mowi ze max 30 dni) i po tym czasie niezaleznie od tego czy dziure zalatano czy nie, publikujesz informacje oczywiscie wspominajac o tym, ze firme poinformowano wtedy i wtedy. Czy moga Cie pozwac do sadu? Jasne ze moga! Wtedy wracamy do calej dyskusji powyzej...
Ostatni przyklad konferencji BlackHat – Microsoft wydal aktualizacje aby zmiescic sie przed prezentacja omawiajaca dziury, Google zalatalo na czas swoje aplikacje w Androidzie, Apple zalatalo dziure w obsludze SMSow w iPhone’ach pare dni po prezentacji. Gdyby nie mieli „cisnienia” to by tego nie zrobili – patrz przyklad dziury w implementacji Javy w Mac OS X, ktora byla znana od grudnia 2008 a zostala zalatana w czerwcu 2009 – dopiero po tym jak ktos sie zdenerwowal na Apple i opublikowal exploit.

Ujawnianie informacji jest ryzykowne tak czy inaczej. Chwala firmom/organizacjom, ktore podchodza do tego powaznie i traktuja osoby wyszukujace bledy jako swoich przyjaciol a nie wrogow. Te organizacje na prawde dbaja o dobro i bezpieczenstwo swoich klientow. Organizacje ktore traktuja takich ludzi jako wrogow powinny sie wstydzic – nie zasluguja na to aby miec jakichkolwiek klientow!

Na koniec - kapelusze z glow przed tymi, ktorzy te bledy znajduja – dzieki nim otaczajacy nas swiat staje sie bezpieczniejszy.

P.S. Wybaczcie brak polskich znaczkow - inny uklad klawiatury.

Oj tam. Pamiętacie sytuacje jak chłopak znalazł dziurę (i to sporą bo dotyczyła formularza logowania i pozwalała na... SQL Injection ! :D) i poinformował firmę która skrypt stworzyła a gdy ta nie zareagowała to poinformował jej klientów ? Zrobił dobrze ale... firma go wezwała do firmy gdzie tam już czekała na jego Policja.
Na nieszczęście tej firmy i na szczęście zdrowemu rozsądkowi chłopak został uniewinniony. Dlaczego ? Sąd uznał że nie przełamał on zabezpieczeń bo... ich nie było :-D

Niestety w erze gdzie sieć jest bardzo popularna a każda firma chce mieć stronę internetową - jest wiele grup/firm określających się mianem "profesjonalnych" gdzie panuje czysta amatorszczyzna. Lepiej pytajmy o opinię na forach dla webmasterów dotyczących jakiś firm zanim cokolwiek zrobimy bo można się nadziać. No i trzeba wiedzieć na jakim forum pytać.

Można o tym przeczytać także w Dzienniku Internautów: https://di.com.pl/news/23837,0,Precedensowy_wyrok_w_sprawie_SQL_Injection.html

"A skoro tak, to ujawnienie takiej informacji może być zakwalifikowane jako naruszenie dobrego imienia - renomy serwisu. " a jeśli serwis (jeden z kilku tysięcy podobnych) stoi na jakimś os'ie a informacja o bugu trafia do autora i na bugtraq ? :)
i jakby tego było mało nagle się okazuje, że kilka stronek rządowych też z tego samego softu korzysta... :D