Új hozzászólás Aktív témák
-
-
SaGaIn
senior tag
"Egyes red teamerek odaig mennek, hogy felterkepezik, hol vannak a celpont korul kamerak, vannak-e vakfoltok, azokat ki lehet-e hasznalni, hogy bejussanak az epuletbe, ha bent vannak, van-e mondjuk almennyezet, amint atmaszva be lehet jutni bezart irodakba - es a lista vegtelen."
Ez mérföldekre van attól amiről itt szó van... Az adatlopások és hackelések 95% távolról történik emberi hiba és nemtöródömség kihasználásval... Hogy jön most ide az álmennyezet alá mászás... azért ez nem egy fort nox... kockázatokkal arányos védelem kell.... verébre nem lövünk tankkal... amúgy ha valaki be akar menni az épületbe az be fog... Olvastam olyat hogy felvetette magát a hacker ahhoz a céghez aki a bizonsági szolgálatot ellátta... Na ez ellen védekezz.... nincs 100%-os biztonság... ha valaki nagyon keresi mindíg talál rést... ha egy ilyen nagy 100+ főből álló profi szervezet rááll valakikre azt úgyis feltöri... kérdés persze hogy mennyire nehezen
"DOS addresses only 1 Megabyte of RAM because we cannot imagine any applications needing more." Microsoft in 1980 "We can" -said Google, than they made Chrome. What happend next is history.
-
SaGaIn
senior tag
Teljesen értem mit írtál de nem értek azzal egyet hogy arra utalsz hogy a sérülékenység bizonyításához bizony el kellett lopni 270GB adatot és akkor ez így rendben is van hiszen a sérülékeny rendszer kiált a behatolásért nem igaz?
Lehet az én moralitásom rossz de azért mert valaki nem zárt üzletben lopásgátlóval kamrákkal felszerelkezve árulja a termékét az még nem ad felhatalmazást ara hogy bármit elvihetek.
Valahogy úgy érzem mivel ez a csoport bevallottan politikai céllal dolgozik akkor is feltörték volna a rendszert ha nem ennyire könnyű... Rombolni betörni mindíg könyebb, mint egy élhető, életszerű és kockázatokkal arányos biztonságos rendszert üzemeltetni. Ez persze feltűnően szar rendszer.
Sajnos 20000 jó szakember hiányzik a magyar piacról ennyit kb 10 év alatt képez az ország, akiknek nagyrésze külföldre megy ki 5-10szeres bérekért... továbbá komoly múlttal rendelkező óriás vállalatok cégek mint pl a MS vagy a T-systems is ad ki programozási hulladékot a kezéből akkor egy ehhez képest gyengébb képességű programozókkal rendelkező magyar cégtől mért várunk el hibátlan rendszert. Nem az egyszeri programozókon középvezetőkön kell elverni a port az miatt mert valakik betörtek hozzájuk. Ráadásul szándékosan megfertőzték a gépet egy speciálisan támadásra fejleszett programmal. Ne hogy már az legyen a normalitás hogy ahova be lehet oda be szabad törni, mert miért nem védték jobban...Ez tipikus "Minek ment oda mért öltözött úgy" mentalitás nem tetszik ami a fórumban tapasztalható...
"DOS addresses only 1 Megabyte of RAM because we cannot imagine any applications needing more." Microsoft in 1980 "We can" -said Google, than they made Chrome. What happend next is history.
-
SaGaIn
senior tag
Na de várjál csak, jó lenne tudni milyen követelmények voltak megfogalmazva a programmal kapcsolatban, ezeket ki határozta meg, ezeknek a követelményeknek a teljesítését ki ellenőrizte? Ki engedte így működtetni? Mert ugye ilyenkor már az engedélyezőé a felelősség hogy mért engedte ilyen állapotban üzembe helyezni a rendszert. Mert ugye oké hogy baj pl hogy a kőműves szarul csinálja meg a falat/lépcsőt bármit de van ott egy felelős műszaki vezető aki a teljes felelősséget vállalja az épület biztonságárt, építés közben és átadáskor is hatóság adja át hogy lakható. Itt is valami hatóság (NKI vagy NAIH) rámondta az OK-t hogy ez így mehet használhatja közel fél millió gyerek és szülő. Vagy gondolod hogy egy ilyen rendszert anélkül üzembe lehet helyezni hogy bármilyen hatóság/minisztérium (megvizsgálja) engedélyezze? Szóval itt nem csak a fejlesztő a ludas legalábbis a fő felelős nem a fejlesztő abban hogy ez ilyen állapotban került beüzemelésre...
"DOS addresses only 1 Megabyte of RAM because we cannot imagine any applications needing more." Microsoft in 1980 "We can" -said Google, than they made Chrome. What happend next is history.
-
Egon
nagyúr
A szerződésben ha nincs konkrétan belefogalmazva, hogy egyfajta rendszer karbantartás, verziókövetés képében a biztonsági réseket is folyamatosan javítaniuk kell, akkor ezt csak plusz pénzért lehet érvényesíteni.
Csillió ilyen helyzettel találkoztam már. nagyon ritka, hogy nulla forintért ki lehet ezt javítani, főleg ha már évekkel ezelőtt átadták az adott rendszert. Csak a funkcionális tesztelés az, ami elvárásként szokott jelentkezni szerződés szinten."Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
Egon
nagyúr
Én azt gondolom, hogy az egész fejlesztés eleve nem a törvényi keretek között történt, ergo a szállító nem teljesítette a szerződésben foglaltakat
Ezt mire alapozod? Még egyszer: a szerződésben általában annyi van leírva (praktikusan a műszaki tartalmat magában foglaló mellékletben), hogy pl. kell egy zöld hátterű progam, ami kiírja, hogy 2+2=4. Ha a programnak zöld a háttere, és ezerből ezerszer is a 2+2 műveletre 4-et dob vissza eredményként, akkor a feladat el van végezve, és pont. Az nem szokott a része lenni az írott műszaki elvárásoknak, hogy a program legyen biztonságos is (volt egy bizonyos sokat támadott kormányzati gigaberuházáshoz kapcsolódóan olyan projektünk, ahol a része volt a biztonság a fejlesztési szerződésnek, és a beszállítóból kiverték utólag a javítást, sőt a javítás javítását is, de ez a fehér holló kategória).
Plusz, a biztonsági rések, sebezhetőségek javítása nemigen lehet fizetős, mert még az olyan cégek, mint a Microsoft, vagy az Apple is tartózkodnak ettől.
Almát a körtével. Egész más az üzleti modell. A pályázati kiírások minimumon történő értelmezésével pályázik mindenki a hazai fejlesztési projektekben: ha nem így tenne, más elvinné a projektet. Ha nem része a kiírásnak, hogy X ideig ilyen módon is támogatni kell a rendszert, akkor maguktól nem fogják: nem lenne rentábilis.
[ Szerkesztve ]
"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)
-
Xpod
addikt
"Senkinek nem kell felhívni a figyelmét arra, hogy a törvényeket tartsa be, mert ez alap"
Sajnos nem az. Ami nem szerepel a szerződésben azt nem kell teljesíteni. Ha úgy lenne, ahogy te leírtad , az állami szoftver fejlesztések jelentős része, illetve nagyon sok piaci cég által fejlesztett szoftver, amik a közigazgatásnak készültek nem is létezhetnének, max gondolati szinten.
A webshopoknak szerintem szintén legalább 3/4 része nem létezhetne.Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
-
Xpod
addikt
joghurt, sh4d0w: Értem, amit írtok, hogy ez az elmélet. Ezzel egyet is tudok érteni, hogy így kellene csinálni. De a valóságnak sajnos köze sincs hozzá. Ha így lenne, akkor nem lenne ASP, KIRA és még sorolhatnám.
joghurt "Egy szállítási szerződésbe sem kell beleírni, hogy a sofőrnek be kell tartania a Kreszt."
Ez így van mert az magánügy, hogy hogy viszed el a cuccot, de szinte biztos, hogy a ti szerződéseitekben is szerepel, hogy késedelmes fizetés esetén a ptk szerint kamatot számoltok fel ami viszont a kettőtök közötti viszonyra vonatkozik."Akkor ezek szerint ha valaki nem mondja nekem, hogy ne üssek el valakit autóval, akkor szabad?"
Ennek a példának nem sok köze van a témához.A szoftver fejlesztés esetén kit érdekel, hogy milyen keretrendszert használ, ha az átadott termék megfelel az elvárt a jogszabályi és biztonsági követelményeknek.
[ Szerkesztve ]
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
-
Xpod
addikt
"Ez így van, nem fontos. Ellenben az általad említett feltétel nem valósult meg."
Melyik feltétel nem valósul meg abból amit említettem? Ha a szerződésbe nincs beleírva, hogy csak legális szoftverekkel történhet a fejlesztés, akkor pont nem lehet felelőssége vonni a fejlesztőt emiatt.
A Kréta esetén is hasonló a helyzet, nem az gond, hogy nem vagy nem megfelelő keretrendszert használt, hanem hogy az átadott termék sérülékenységeket tartalmaz.
Ha rossz az átadott termék, akkor engem mint megrendelőt pont nem érdekel, hogy a legújabb keretrendszert használta-e. Ha rossz a termék nem veszem át.
Egy friss, naprakész keretrendszerben is lehet hulladék programot írni, meg egy elavult rendszerben is lehet jó programot írni. Egy friss keretrendszerben kevesebb idő ráfordítással lehet biztonságos és jó programot csinálni, egy elavultban meg hosszabb idő.
flexxx2: "Adathalász mailre se szabad vagyis nem ajánlatos kattintani, akkor se ha tudja, akkor se ha nem tudja."
Miért ez szerepel a munkaszerződésben? Nem, ott ideális esetben az van megkövetelve, hogy az IBSZ-t be kell tartani. Az IBSZ-ben pedig benne van, hogy email esetén mindig megnézzük a feladót és a linket, hogy szabad-e kattintani rá.[ Szerkesztve ]
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
-
Xpod
addikt
Ez szerintem nem feltétlen igaz.
A GDPR adatkezelőt és adatfeldolgozót említ, akiknek feladataik és felelősségük van.
A szoftver készítője egyik sem, mert nem üzemelteti és nem végez adatfeldolgozást sem.Lehet számlázó szoftvert is csinálni, de ha nem felel meg az előírásolnak akkor nem ér semmit a számlakép. Az ügyfélnek kell eldöntenie megköveteli-e a jogszabályi megfelelést, vagy elég neki ha elkészül a számlainfó és api-n átadja egy másik rendszernek.
[ Szerkesztve ]
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
-
Xpod
addikt
Attól, hogy az adatátadás secure, a programnak attól még nem kell jogszabályoknak megfelelnie.
De egy kérdés, ami szintén ide vág, szerinted miért emelik ki sok adatkezelő szoftvernél, a GDPR megfelelősséget? Mert egy részük bizony nem teljesíti az előírásokat, viszont olcsóbb.
Marika gépén fut a program ami jobb esetben jelszavazva van, a hivatalos adatátadáshoz exportálják az adatokat és feltöltik a megadott helyre, vagy online számlázóval kiszámlázzák.
Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.
Új hozzászólás Aktív témák
it Nagyon fontos információkat osztott meg az esetről beszámoló újságíróval az egyik támadó – sok minden világosabb lett.
