Pobranie opłaty za wykrycie luk Opcje

[cornholio666]

Witam,

czy zgodne z prawem jest zaproponowanie firmie X wskazanie dziur w oprogramowaniu w zamian za pieniądze ?

Pozdrawiam

[LonelyKnight]

Zabrnęliśmy za bardzo w tą konkretną sprawę, może niepotrzebnie. Sąd wyda wyrok i zdecyduje czy złamano art. 267 czy nie. Niezależnie od tego jaki on będzie to dla mnie "moralnym" zwycięzcą i tak będzie M. Uważam, że "firma" zachowała się... żenującą i skrajnie mało profesjonalnie, zamiast przyznać się do błędu, to zwaliła winę na kogoś innego.

@Mike - nikt nie uważa, że formularz nie jest zabezpieczeniem, chodzi o to, że aplikacja była niepoprawnie napisana, a wpisanie apostrofu czy jakiegoś SQL w formularz to raczej "ominięcie" zabezpieczenia, a nie złamanie. Dlatego chcą przeprowadzić teraz nowelizację tego art. żeby prawo w tym względzie było bardziej restrykcyjne, na wzór tego z np. USA, gdzie za samo podejście do komputera i próbę wpisania hasła i loginu, jeśli ma się świadomość, że nie posiada się w systemie swojego loginu i hasła, traktowane jest jako przestępstwo. Polskie prawo odnosi się tylko do stanowczego "łamania zabezpieczeń". Po nowelizacji art. 267 (jeśli nie wprowadzą zmian) będzie brzmiał "kto łamie lub omija zabezpieczenia", wtedy sytuacja byłaby jasna. Pytasz ciągle o ten formularz ale kilka postów wcześniej zadałem Tobie ze 3 pytania, w których zawarta jest podstawa mojej opinii na ten temat. Dane wprowadzone do formularza były zgodne z przeznaczeniem formularza - nie wykraczały poza jego zastosowanie, a to co aplikacja później robi z danymi (poprawnymi danymi! bo mamy prawo uważać, że ktoś dający tego typu formularz do sieci przewidział, jakie dane trafią do aplikacji) nie powinna usera obchodzić. Jeśli jakaś firma nie potrafi zabezpieczyć danych to powinna odpowiadać z Ustawy o Och. Danych Oso., bo ta określa jak dane powinny być zabezpieczone.

Co do tego "wykradania sesji"... to też różnie może z tym być. Zależy jak to się zrobi. Jeśli dostaniesz na gg link z numerem sesji, klikniesz w niego i przejdziesz bez autoryzacji do konta usera, to uważasz, że powinieneś iść do więzienia? Jeśli sniffujesz to oczywiście będziesz odpowiadał ale z innego paragrafu. (art.267 par. 2) - sniffowanie to jednoznaczne podsłuchiwanie.

Wracając jeszcze do tego łamania zabezpieczeń, to wyobraź sobie taką sytuację:

http://forum.php.pl/index.php?act=Login&am...p;pass=';--

...wpada tutaj bot Google i Google idzie do więzienia. Google stworzyło narzędzie do łamania zabezpieczeń - swojego spidera - i użyło go do złamania zabezpieczenia zdobywając nieprzeznaczone dla nich informacje. Nie widzisz tutaj absurdu? Jeśli tak będziemy podchodzić do sprawy to niebawem strach będzie kliknąć w jakikolwiek link bez sprawdzania źródła, a internet stanie się dzikim zachodem gdzie cwaniaki zaczną wykorzystywać takie podejście sądów. Po co włamywać się jeśli można zostawić w sieci podobne linki, "odpowiednio" przygotować formularze i w świetle prawa wyłudzać od ludzi pieniądze.

Klik... "Dziękujemy za włamanie do naszego systemu, niebawem skontaktuje się z Panem/Panią nasz prawnik".