![]() |
![]() |
![]()
Post
#1
|
|
Grupa: Moderatorzy Postów: 6 072 Pomógł: 861 Dołączył: 10.12.2003 Skąd: Dąbrowa Górnicza ![]() |
Witam,
aktualnie mam styczność z pewnym skryptem, który jest masowo sprzedawany m.in. na Allegro. Przypadkowo w kodzie trafiłem na oznakę, że możliwe byłoby przejęcie praw administracyjnych nad serwisem przez dowolnego użytkownika. Sprawdziłem na testowym serwisie przy którym pracuję - faktycznie (IMG:style_emoticons/default/smile.gif) Moje pytanie: kogo mam o tym fakcie powiadomić? Z jednej strony mógłbym firmę X, która napisała system. Z drugiej strony - mogę powiadamiać bezpośrednio serwisy, które stoją na tym skrypcie. Jak wygląda to od strony prawnej? Czy mogę żądać wynagrodzenia za udostępnienie informacji o błędzie (autorowi skryptu) lub naprawę dziury (serwisom)? Pozdrawiam, pion PS: Kojarzy mi się, że był już podobny wątek, ale wyszukiwarka odmawia posłuszeństwa. |
|
|
![]() |
![]()
Post
#2
|
|
Grupa: Moderatorzy Postów: 6 072 Pomógł: 861 Dołączył: 10.12.2003 Skąd: Dąbrowa Górnicza ![]() |
Między mną, a przypadkiem opisanym pod podanym linkiem jest ta zasadnicza różnica, że ja nigdzie się nie włamywałem. Zgłosił się do mnie klient z prośbą o sprawdzenie kilku rzeczy w zakupionym sofcie. W trakcie przeglądania kodu natrafiłem na omawianą lukę. Temu klientowi od razu zabezpieczyłem to miejsce.
Planuję skontaktować się z właścicielami serwisów postawionych na tym skrypcie pisząc: korzystacie ze skryptu X, prawdopodobnie macie krytyczny błąd bezpieczeństwa, jeśli chcecie dokonam próbnego ataku i jeśli dziura faktycznie będzie to będę mógł ją wyeliminować za kwotę X. Tak więc żadnego ataku bez wiedzy właściciela by nie było. Jedyne co chciałbym wiedzieć to czy w pierwszej kolejności nie jestem zobowiązany powiadomić o luce autora skryptu, czy w ogóle jestem zobowiązany do powiadomienia go. |
|
|
![]() ![]() |
![]() |
Aktualny czas: 11.10.2025 - 05:20 |