Új hozzászólás Aktív témák
-
azbest
félisten
A bibi az, hogy ha valaki segítő szándékkal "tör be" valahová és jelzi az hibát az üzemeltetőnek, akkor őt jelenthetik fel és meg is van a törvényi alapja annak, hogy megbüntessék. A betörést azért tettem idézőjelbe, mert kb már az url átírása is annak számít, pl ha belépett usernek nem ellenőrzik tovább a jogosultságát, hanem simán az url-ben lévő szám átírásával megmutatják a másik ügyfél dolgait*.
Ráadásul, már egy ilyen hiba kéretlen bejelentése is anyagi kárt okoz a cégnek, mivel ha nem sumákolják el, akkor a hiba meglétének ismeretével el is vesztik a plecsnit, amit drága pénzen vettek az oldal biztonságosságáról. Szóval a bejelentő a hibás jogilag, azért mert az auditálás és az üzemeltetés csak a látszatra ad, nem a biztonságra. Hogy ne történjen gyakran ilyen lebukás, inkább elrettentik az embereket a hiba jelentésétől. Maga a bejutás ténye már önmagában a rendszer kompromitálódását jelenti, szóval ezt máris kárnak veszik és ráverhetik a bejelentőre.
2013: Botrány: vagy feltörték a szabadalmi hivatal szerverét, vagy nem [link] [link]
Nem tudom, ennek például mi lett a vége.Az már a ló túlsó oldala, ha valaki kéretlen auditorként nem triviális hibák sorozatának segítségével néz be valahová, hogy megmutassa. Azt már jogosan vehetik valódi támadásnak. Főleg, ha még módosít is a rendszeren.
*: Már legalább három esetben nekem is sikerült belefutnom banális hibákba, amelyet jeleztem is az üzemeltetőnek. Enyhítő körülmény, hogy vagy ügyfelük voltam vagy éppen velük, a rendszerükkel dolgoztam valamin, így gondoltam csak nem jelentenek fel azért, mert hibát találtam. Bár a legkeményebb talán az volt, amikor a kollégák mesélték az egyik szita rendszerről, hogy évekig aktív volt rajta egy teszt felhasználó, kb minden jogosultsággal és nagyon könnyen kitalálható azonosító-jelszó párral. Szóval vannak problémák.
[ Szerkesztve ]
-
azbest
félisten
Hagyjuk az autós hasonlatokat, mert köze sincs hozzá.
Arra viszont törvényt hoztak, hogy bűn még egy weboldal címébe is beleírni kézzel, ha azzal hozzáférsz a tróger rendszerben tárolt nem neked szánt dolgokhoz.
Nem mondtam, hogy ennek értelme van. Vagy, hogy helyes a törvény. Arra emlékeztettelek, hogy bármilyen buta dolognak is hangzik, mégis büntethető, mert kellően gazdag emberek kilobbizták. Valójában a látszat megvédése a cél, nem a valódi védelem. Bizonyos mértékig ez még érthető is, nem játszótér ez, viszont még a legtriviálisabb hibák kipróbálásáért is megbüntethetnek.
Nem hibáztatlak, nem is azt várom, hogy kimagyarázd. Azt sem tudom mennyire triviális vagy csak szándékos támadással megszerezhető adatokról van szó az esetedben. A lényeg, hogy büntethetnek érte. Ha pedig másnak átadod, akkor pláne. Az, hogy kinek mi a kötelessége vagy mi a felelőssége, nem hiszem hogy sokat számít akkor, ha az egyik félnek korlátlan kerete van ügyvédekre, a másiknak pedig valószínűleg esélyes sincs.
(szerk, lehet hogy míg válaszoltál, közben bővítettem az előző kommentem, ott a régi itcafe cikk, ami triviális hiba kiderülése utáni izmozásról szólt.)
szerk2: ott a szintén veszprémi egyetemi eset 2008-ból, de az még a szigorítás előtt volt [link], [link]. A 2013-as linkelt esetnél a jog már jobban bevédi a felelőtlen üzemeltetőt.
[ Szerkesztve ]
-
azbest
félisten
Szerintem sincs értelme erről vitatkozni, mert nem mondunk egymásnak ellent. Én csak arra hívom fel a figyelmedet, hogy az élet nem fair. Hozattak olyan törvényt, ami a jószándékot is büntetheti, mert a cégekbe vetett hamis bizalom elillanását rá akarják verni a bejelentőre, ha az üzleti érdek úgy kívája.
Új hozzászólás Aktív témák
it Nem a pizzéria volt a célpont, csak véletlen, hogy az innen kikerült adatokat hozta nyilvánosságra. Nem pénzt akart keresni vele.
- Házimozi belépő szinten
- nVidia tulajok OFF topikja
- Poco X6 Pro - ötös alá
- AMD K6-III, és minden ami RETRO - Oldschool tuning
- Steam, GOG, Epic Store, Humble Store, Xbox PC Game Pass, Origin Access, uPlay+, Apple Arcade felhasználók barátságos izgulós topikja
- BestBuy topik
- Gaming notebook topik
- Napelem
- Milyen processzort vegyek?
- Formula-1 humoros
- További aktív témák...
Állásajánlatok
Cég: Promenade Publishing House Kft.
Város: Budapest
Cég: Ozeki Kft.
Város: Debrecen