Dodaj nowy
  Najnowsze
  Wyróżnione
  Śledź przez RSS

Komentarze:

• 

  

   de0 (1069)

  "A skoro tak, to ujawnienie takiej informacji może być zakwalifikowane jako naruszenie dobrego imienia - renomy serwisu. " a jeśli serwis (jeden z kilku tysięcy podobnych) stoi na jakimś os'ie a informacja o bugu trafia do autora i na bugtraq ? :)
  i jakby tego było mało nagle się okazuje, że kilka stronek rządowych też z tego samego softu korzysta... :D
  

  06-08-2009, 14:58
  
  
  odpowiedz
• 

  

    Anna (89)
  [w odpowiedzi dla: ~Wesoły]Oj tam. Pamiętacie sytuacje jak chłopak znalazł dziurę (i to sporą bo dotyczyła formularza logowania...

  Można o tym przeczytać także w Dzienniku Internautów: https://di.com.pl/news/23837,0,Precedensowy_wyrok_w_sprawie_SQL_Injection.html

  06-08-2009, 14:56
  
  
  odpowiedz
• 

  ~Wesoły

  Oj tam. Pamiętacie sytuacje jak chłopak znalazł dziurę (i to sporą bo dotyczyła formularza logowania i pozwalała na... SQL Injection ! :D) i poinformował firmę która skrypt stworzyła a gdy ta nie zareagowała to poinformował jej klientów ? Zrobił dobrze ale... firma go wezwała do firmy gdzie tam już czekała na jego Policja.
  Na nieszczęście tej firmy i na szczęście zdrowemu rozsądkowi chłopak został uniewinniony. Dlaczego ? Sąd uznał że nie przełamał on zabezpieczeń bo... ich nie było :-D
  
  Niestety w erze gdzie sieć jest bardzo popularna a każda firma chce mieć stronę internetową - jest wiele grup/firm określających się mianem "profesjonalnych" gdzie panuje czysta amatorszczyzna. Lepiej pytajmy o opinię na forach dla webmasterów dotyczących jakiś firm zanim cokolwiek zrobimy bo można się nadziać. No i trzeba wiedzieć na jakim forum pytać.

  06-08-2009, 13:00
  
  
  odpowiedz
• 

  ~Tomasz Miklas

  Tak - bedzie przestepstwem bo zmodyfikowales informacje bez wiedzy i zgody jej wlasciciela.
  
  Jesli mowa o np SQL Injection to zastanawiam sie czy daloby rade przed Sadem wyjasnic, ze dziura ta wynika tylko i wylacznie z zaniedban lub wrecz niekompetencji osoby piszacej aplikacje i nie mozna mowic o przelamaniu zabezpieczen bo zadnych zabezpieczen tam nie ma. Sadze, ze to zalezaloby od Sadu ale argumenty sa dosc mocne - sa "najlepsze praktyki" ktorych programisci powinni przestrzegac, sa zalecenia dla developerow, sa w dokumentacji baz danych i jezykow programowania cale dzialy poswiecone bezpieczenstwu, wszystko to dostepne ZA DARMO, wiec nie ma usprawiedliwienia dla niedbalosci. Jesli podatnosc strony jest efektem ewidentnych zaniedban (SQL Injection to jeden z przykladow) to moim skromnym zdaniem nalezaloby pozwac od odszkodowanie wykonawce strony (firme/osobe).
  
  Pewna analogia... To tak jakby wejsc na drabine ktora sie zlozy jak wejdziesz na najwyzszy szczebel... To moja wina ze drabina sie zlozyla bo wszedlem na najwyzszy szczebel, czy to wina producenta, ktory nie zrobil zabezpieczenia aby drabina sie nie zlozyla? Nalezy pamietac, ze szczeble sa po to aby na nie wchodzic - to wynika z definicji funkcji uzytkowej drabiny :-)
  
  Co zrobic jesli zgloszono informacje autorom a oni to ignoruja? To ciekawy temat – na swiecie ostatnimi czasy bardzo popularnym i skutecznym rozwiazaniem jest tzw „responsible disclosure” – informujesz firme ze jest dziura, pytasz ile czasu potrzebuja na jej zalatanie (uzgadniasz to z nimi – wiele osob mowi ze max 30 dni) i po tym czasie niezaleznie od tego czy dziure zalatano czy nie, publikujesz informacje oczywiscie wspominajac o tym, ze firme poinformowano wtedy i wtedy. Czy moga Cie pozwac do sadu? Jasne ze moga! Wtedy wracamy do calej dyskusji powyzej...
  Ostatni przyklad konferencji BlackHat – Microsoft wydal aktualizacje aby zmiescic sie przed prezentacja omawiajaca dziury, Google zalatalo na czas swoje aplikacje w Androidzie, Apple zalatalo dziure w obsludze SMSow w iPhone’ach pare dni po prezentacji. Gdyby nie mieli „cisnienia” to by tego nie zrobili – patrz przyklad dziury w implementacji Javy w Mac OS X, ktora byla znana od grudnia 2008 a zostala zalatana w czerwcu 2009 – dopiero po tym jak ktos sie zdenerwowal na Apple i opublikowal exploit.
  
  Ujawnianie informacji jest ryzykowne tak czy inaczej. Chwala firmom/organizacjom, ktore podchodza do tego powaznie i traktuja osoby wyszukujace bledy jako swoich przyjaciol a nie wrogow. Te organizacje na prawde dbaja o dobro i bezpieczenstwo swoich klientow. Organizacje ktore traktuja takich ludzi jako wrogow powinny sie wstydzic – nie zasluguja na to aby miec jakichkolwiek klientow!
  
  Na koniec - kapelusze z glow przed tymi, ktorzy te bledy znajduja – dzieki nim otaczajacy nas swiat staje sie bezpieczniejszy.
  
  P.S. Wybaczcie brak polskich znaczkow - inny uklad klawiatury.

  06-08-2009, 12:08
  
  
  odpowiedz
• 

  ~Srututu.rar

  A to nie jest tak, że jeżeli nie ma zabezpieczenia to nie możemy mówić o przełamaniu zabezpieczenia? Bo jeżeli jest ale niepełnosprawne to jeszcze bym zrozumiał.. :) Co ma robić osoba, która znalazła dziurę, zgłosiła autorom, a oni nie chcą jej naprawić? Czy wstrzyknięcie kodu który by np. tylko i wyłącznie wyświetlał okienko lub tekst na stronie: "Strona podatna na atak XYZ." jest przestępstwem?

  06-08-2009, 10:26
  
  
  odpowiedz

• Najnowsze 
• Popularne 

• Dom modułowy jako technologia mieszkaniowa. Jak prefabrykacja zmienia planowanie własnego domu?
• Aranżacja ścieżek: Jak dopasować obrzeża ogrodowe do kostki i żwiru?
• Legalność nasion marihuany w Polsce - czy zakup i posiadanie nasion konopi jest zgodne z prawem?
• Gdzie wykorzystuje się paliki geodezyjne?
• Klamka na kod - jak działa i jakie są korzyści z jej instalacji w drzwiach?
• Jak zabezpieczyć komórkę lokatorską?
• Technologie, które podnoszą jakość doświadczeń przy zakupach online
• AI w diagnostyce gastroenterologicznej. Jak sztuczna inteligencja zmienia kolonoskopię i ile to znaczy dla pacjenta
• Jakie są najczęstsze choroby przenoszone drogą płciową i kiedy wykonać badania?
• Na czym polega odtrucie alkoholowe?
• Po czym poznać, że moje okulary na słońce są bezpieczne?
• Radca prawny czy adwokat - kogo wybrać do swojej sprawy?
• Umywalki konglomeratowe - dlaczego są tak często wybierane do nowoczesnych łazienek?
• Badania testosteronu u mężczyzn - kiedy je zrobić, ile kosztują i jak przygotować się do diagnostyki?
• Jak znaleźć idealne mieszkania na wynajem w abonamencie?
• Rola nawyków finansowych w zapewnieniu długoterminowej stabilności
• Dlaczego świadomość finansowa ma większe znaczenie niż wysokość dochodów
• Najczęstsze błędy podczas cięcia gresu i jak ich uniknąć
• Filtracja powietrza w laboratoriach i przemyśle chemicznym
• Gdzie szukać tanich lotów? Najpopularniejsze sposoby na tanie latanie

Zobacz więcej najnowszych   

 

• 24 h
• 7 dni
• 30 dni
• 3 m-ce
• 6 mc-y

    Pobieranie danych...

• Dom modułowy jako technologia mieszkaniowa. Jak prefabrykacja zmienia planowanie własnego domu? (0)
• Aranżacja ścieżek: Jak dopasować obrzeża ogrodowe do kostki i żwiru? (0)

Zobacz więcej popularnych   

 

    Pobieranie danych...

Chwilowo brak danych. Sprawdź później :)

Zobacz więcej najczęściej komentowanych