Fuszerka wykonawcy, szukanie luki, oferta naprawy i kajdanki..., SQL Injection Opcje

[Licorne]

Witam,

Chciałem przedstawić Wam moją sprawę i zapytać co o tym myślicie jako osoby bliższe programowaniu niż prawnicy. Na forum pisałem pod innym nickiem ale mam nadzieję, że moderatorzy wybaczą mi to małe multikonto... Poza tym niech to będzie przestroga dla wszystkich, którzy mogliby stanąć w obliczu podobnej sytuacji.

Treść: http://prawo.vagla.pl/node/7149

Ps. Dziękuje wszystkim ludziom, choć jest ich niewielu, którzy zaoferowali mi pomoc w sprawie, szczególnie Poradni Prawnej Callidus .

Pozdrawiam

[Licorne]

@mike_mech moze nie tyle frajer ile pazerniak po co zyczyles sobie kase za "naprawe" skryptu. trzeba bylo tylko napisac ze sa luki w systemie i je wskazac a nie odrazu oferowac sie skoro ktos to napisal i wzial za to kase to pewnie firma by sie do nich zwrocila z ta sprawa.

pzdr

Po to, że nie pracuje za darmo, Ty tak robisz?

Panowie czytajcie dokładnie. Na policję sprawę zgłosiła firma, która WYKONAŁA te strony. Ona też przesłała mi wszystkie umowy. Oni sugerowali mi, że chcą podjąć współpracę, proponowali stały etat itp. Poza tym naprawa stron nie dotyczyła wyłącznie SQL Injection. Przedmiotem umowy była gruntowna przebudowa stron (W3C prawie 200 błędów w produktach firmy, która reklamuje się jako jedna z najlepszych w Polsce), zero jakichkolwiek standardów. Poza tym uważacie, że jeśli ktoś coś robi, robi to tragicznie, to inna osoba nie ma prawa zaproponować naprawy tej fuszerki, a jeśli nawet ośmieli się zauważyć błędy to ma informować o nich, naprawiać za darmo?

Każdy powinien odpowiadać za swoje błędy - programiści także. Chyba, że jesteście zwolennikami idei 'nieważne jak działa, ważne, że działa'.

Czemu? To jest jak najbardziej naturalne.
Też bym wskazał błędy i zaoferował swoją pomoc/usługi w sprawie naprawienia ich.

~Licorne miał zamiar sprzedać swoją wiedzę/usługi ale zanim to zrobił oddał je za darmo. To jest gol do swojej bramki.

To nie wygląda tak do końca... firma projektująca te strony przygotowała intrygę i z premedytacją i po chamsku mnie wykorzystała. Wielokrotnie ustnie przekonywali o tym, że chcą współpracować, a konkretne informacje o lukach przekazałem informatykowi firmy, który obecny był podczas mojej rozmowy z dyrektorem firmy. Dopiero wtedy dowiedzieli się gdzie konkretnie są luki i jakie (poza SQL Injection jeszcze XSS). Oczywiście podczas rozmowy także byłem kilka razy informowany, że podpiszemy umowy, że chcą współpracować itp. Po tym jak ujawniłem dokładne informacje + podpisałem umowę o poufności zjawiła się policja.

...i na koniec jedno konkretne pytanie. Czy według Was - ludzi na co dzień zajmujących się pisaniem aplikacji webowych - SQL Injection jest luką i błędem programisty?

Ten post edytował Licorne 15.03.2007, 22:30:54