Świadomy znaczenia swych słów i odpowiedzialności przed prawem Wed, 01 Aug
2007 22:18:17 +0200, Gotfryd Smolik news zeznał(a):

> Też się przyczepię analogii, i też nie mam bardzo dobrego wzoru :(
> Jak będziesz miał przypadek zalania pralką - bo ma wadę fabryczną,
> i widząc taką samą pralkę u kogo innego zaproponujesz "zapobiegawczą
> naprawę" - to będziesz miał coś złego na myśli?

tzn wejdę do domu, gdy nikogo nie ma i pójdę szukać pralki? ;)

do góry

On Thu, 2 Aug 2007, stern wrote:

> tzn wejdę do domu, gdy nikogo nie ma i pójdę szukać pralki? ;)

Stern, tej pralki nie trzeba szukać, posiadacz wystawił ją
na widok publiczny ;), on tylko jeszcze nie wie że w środku
jest coś co może się urwać.

pzdr, Gotfryd

do góry

stern napisał(a):
> Świadomy znaczenia swych słów i odpowiedzialności przed prawem Wed, 01 Aug
> 2007 16:50:21 +0200, Michal Bien zeznał(a):
>
> (...)
>
> Podsumujmy.
> Koleś sprawdza witrynę, rozgląda się po niej,
> znajduje błąd, i zgłasza się do firmy po kasę.
>
> I oczywiście "nic złego nie miał na mysli"?
>
> A jak będę stał na rogu z cegłówką
> i poproszę o darowiznę, to mam coś
> złego na myśli?

Podsumujmy.
Koleś idzie obok domostwa. Zauważa zepsute drzwi wejściowe.
Zglasza to właścicielowi i mówi, że naprawi za kasę.

I oczywiście nie ma nic złego na myśli.


PG

do góry

Robert Tomasik napisał(a):
> Użytkownik "kf" <m...@b...gg19840.pl> napisał w wiadomości
> news:f8ptks$8cg$1@nemesis.news.tpi.pl...
>
> Moim zdaniem nie ma w tym nic nielegalnego, dokąd im nie grozisz, że
> przy odmowie zapłacenia lukę wykorzystasz. Nie musisz przecie nawet ich
> na początku informować, gdzie dokładnie jest luka. Możesz napisać, ze
> jest załóżmy luka w zabezpieczeniu pozwalając na odczytanie poufnych
> danych. jeśli sobie życzą, na dowód tego Możesz im przesłać jakąś próbkę
> (tylko na ich życzenie!). I teraz proponujesz, że wskażesz tę lukę oraz
> ewentualnie załatasz za tyle, a tyle złotych. To jest propozycja usługi,
> którą firma może przyjąć, albo odrzucić.

Taaak intryguje mnie tylko ten przypadek z kajdankami, i co za buc
postanowil tak zareagować i co za buc nie wyrzucił jeszcze tego
decydenta za podjęcie takich kroków przeciwko temu chłopcu i jego
rodzicom. SKANDAL.

PG

do góry

Samotnik napisał(a):
> Dnia 01.08.2007 stern <s...@n...to> napisał/a:
>> Podsumujmy.
>> Koleś sprawdza witrynę, rozgląda się po niej,
>> znajduje błąd, i zgłasza się do firmy po kasę.
>>
>> I oczywiście "nic złego nie miał na mysli"?
>>
>> A jak będę stał na rogu z cegłówką
>> i poproszę o darowiznę, to mam coś
>> złego na myśli?
>>
>> Przecież darowizny są legalnie i nieopodatkowane nawet do pewnej wysokości.
>
> Analogia nie pasuje.
>
> To raczej jest tak, jakbyś podszedł do faceta stojącego pod parapetem, z
> którego zaraz spadnie doniczka i powiedział mu, że zaraz mu ta doniczka na
> łeb spadnie, ale Ty za pieniądze potrafisz mu doradzić w jaki sposób się
> poruszać po mieście, żeby nie musieć się kolejnych doniczek obawiać.
> Porównanie naciągane, ale nie umiem znaleźć lepszego, które byłoby podobne
> do Twojego.

Myślę, że te analogię są całkiem niezłę. Istotą sprawy jednak nie jest
podobna kontrukcja a środowisko w którym to się wszystko dzieje -
virtualne.

Jeśli podejdę do właściciela mieszkania i powiem mu że ma uszkodzone
drzwi i ktoś mu może wejść, bo się na tym znam, i co prawda tego nie
widać ale ktoś to może wykorzystać - i ja mówię żeby sobie kogoś
zawołał, albo ja mogę mu pomóc - to ok. Bo ja okradnie mi mieszkanie, to
sprawa jest prosta.

Natomiast w wypadku strony www, różnica polega na tym, że ryzyko utraty
albo wycieku danych z firmy, jest rzeczą na której się mało kto zna -
wie tylko, że to może w ciągu 10 minut znaleźć się na setkach stron www,
i sprowokować skandal jakiego dana firma nie widziała od początku
istnienia.

Każdy wie czym jest kradziez domu, i jakie tego mogą być skutki. W
przypadku włamania na serwer, tak już nie jest.

Różnicą jest strach.

Dlatego się spotyka takie reakcje jak opisna z chlopcem i jego rodzicami.

Moim zdaniem nie musisz sie uporać z prawem, bo masz prawo do tego, ale
musisz się uportać ze strachem klienta. Czyli wyjść z tak skonstruowaną
propozycją, żeby nie wystraszyć.

Tyle.

PG

do góry

"PG" <p...@o...pl> wrote in message news:f8sg34$41a$1@news.onet.pl...


> Podsumujmy.
> Koleś idzie obok domostwa. Zauważa zepsute drzwi wejściowe.
> Zglasza to właścicielowi i mówi, że naprawi za kasę.
>
> I oczywiście nie ma nic złego na myśli.

nie mial nic zlego na mysli, bo on jest od naprawiania polotwartych drzwi, a
nie od wynoszenia pralek, i z gory o tym informuje. A wlasciciel moze sobie
naprawic sam, zawolac znajomego fachowca, albo nawet zamurowac, jak nie
potrafi lepiej.
ps. w dodatku uslugodawca nie stosuje zadnych form nacisku, pt "bo wie Pan,
jutro cale miasto moze sie o tym dowiedziec i chopaki z klasy tez".

btw, analogia z cegla jest nietrafna, bo ani cegla nie nalezy do
trzymajacego, ani on nie sugeruje, ze jej uzyje w wypadku odmowy. Odlozy na
miejsce i pojdzie dalej.
Tyle, ze to nie niestety nie gwarantuje rozsadnej reakcji drugiej strony.
Powiedzialbym nawet, ze moga uzyc straszaka "zlodziej, terrorysta", zeby
sprobwac wymusic darmowe pokazanie luki. Z drugiej strony... jak maja
wyliczyc cene tej uslugi? Zaplaca duzo, a facet powie: to jak juz jestesmy
przy kasie, to ja moge wskazac jeszcze kilka(set) innych dziur ;)

btw, mozna temat zglebic poczynajac od cyrkow z Adobe sprzed kilku lat, gdy
facet z Rosji wskazal na konferencji luki w ich zabezpieczeniach, a konczac
na ostatnich przepychankach w sprawie mbanku bodajze.

marek

do góry

PG <p...@o...pl> wrote:

> Taaak intryguje mnie tylko ten przypadek z kajdankami, i co za buc
> postanowil tak zareagować i co za buc nie wyrzucił jeszcze tego
> decydenta za podjęcie takich kroków przeciwko temu chłopcu i jego
> rodzicom. SKANDAL.

Widze ze dyskusja zrobila sie goraca. Bylbym ostrozny z pisaniem slow
typu "buc" itp. - duzo zalezy od ktorej strony na sprawe sie patrzy. Postaw
sie na miejscu takiego prezesa, czlowiek pewnie nie mlody, jesli chodzi o
informatyke pewnie o takim sobie pojeciu i byc moze zadzialal zwykly
strach, lansowane przez media skojarzenia typu "luka-haker-przestepca-
wymuszenie", na co jeszcze nalozyly sie akcje podobne do tej wokol
hacking.pl i Allegro.
W poprzednim poscie chcialem tylko zwrocic uwage zadajacemu pytanie
ze to niezbyt bezpieczne hobby - wskazane jest miec _uprzednia_ zgode
dysponenta systemu zanim zajmie sie badaniem potencjalnych luk, co
zazwyczaj jest niewykonalne (uzyskanie takiej uprzedniej zgody). Duzo
bezpieczniej testowac luki w samym oprogramowaniu, zwlaszcza typu
OpenSource - spojrz chociazby na Michala "Lcamtufa" Zalewskiego. Wyrobisz
sobie nazwisko, niemal kazda duza firna przyjmie Cie z otwartymi rekami
jako specjaliste od zabezpieczen.

--
Pozdrawiam, Michal Bien
mailto:m...@m...uw.edu.pl
#GG: 351722 #ICQ: 101413938
JID: m...@j...org

do góry

Witam

Michal Bien napisał(a) :
>> Oczywistym jest, że gdy firma nie skorzysta z moich usług - nie
>> wyjawię im gdzie jest luka - ale przecież
>> dopóki nie wykorzystam tej wiedzy do działań niezgodnych z prawem -
>> nie można mi nić zarzucić ...?
>
> W tzw. IV RP to igranie z ogniem IMHO. Nie jest abslutnie wazne ze
> nie ma w tym nic nielegalnego, duzo wazniejsze kogo zna prezes takiej firmy
> z luka i jak szerokie ma plecy. IMHO daruj sobie - chyba u Vagli czytalem
> kilka miesiecy temu bardzo prawdopodobnie wygladajacy opis podobnej sprawy
> - chlopak konczacy informatyke znalazl prosty ale krytyczny blad php,
> szkolny wrecz. Zaoferowal odplatne wusuniecie luki (bez znamoion szantazu -

Szczegóły przygotowywania się do obrony na proces tu:
http://forum.poradniaprawna.forall.pl/viewtopic.php?
t=147&postdays=0&postorder=asc&start=0&sid=7a27fd08d
3e3abd054b09fd4876afe01
Mam nadzieję, że link się nie złamie, a jeśli to:
http://skocz.pl/oskarz_z_art267

--
Pozdrawiam
Zbyszek
PGP key: 0xC62E926B

do góry

Świadomy znaczenia swych słów i odpowiedzialności przed prawem Sun, 05 Aug
2007 00:10:52 +0200, Zbynek Ltd. zeznał(a):

> Szczegóły przygotowywania się do obrony na proces tu:
> Mam nadzieję, że link się nie złamie, a jeśli to:
> http://skocz.pl/oskarz_z_art267

stawiam piwo, że go skażą

bo:
"wpisałem w formularz do logowania następujący ciąg
znaków: ' or 1=1;-- Spowodowało to, że zostałem zalogowany na konto
losowego użytkownika. Znajdowały się tam szczegółowe informacje o danej
osobie. Aby wykluczyć jednorazowy błąd systemu operację wykonałem jeszcze
około trzech razy, za każdym razem logując się na inne konto."

czyli podłączył się do systemu, obszedł login/hasło i dostał dane.

267 par. 1 kk w czystej postaci.

do góry

wyslalo sie za szybko.
Za to: http://tiny.pl/5w9w
konsultantów powinni ubiczować.

Żeby aplikanci sądowi takie bzdury wypisywali...

A potem się narzeka, na niski poziom orzecznictwa.

do góry