Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

> Pobranie opłaty za wykrycie luk
cornholio666
post
Post #1





Grupa: Zarejestrowani
Postów: 472
Pomógł: 8
Dołączył: 14.03.2004
Skąd: Rzeszów

Ostrzeżenie: (0%)
-----


Witam,

czy zgodne z prawem jest zaproponowanie firmie X wskazanie dziur w oprogramowaniu w zamian za pieniądze ?

Pozdrawiam
Go to the top of the page
+Quote Post
 
Start new topic
Odpowiedzi
LonelyKnight
post
Post #2





Grupa: Zarejestrowani
Postów: 240
Pomógł: 13
Dołączył: 1.06.2007
Skąd: Wrocław

Ostrzeżenie: (0%)
-----


Zabrnęliśmy za bardzo w tą konkretną sprawę, może niepotrzebnie. Sąd wyda wyrok i zdecyduje czy złamano art. 267 czy nie. Niezależnie od tego jaki on będzie to dla mnie "moralnym" zwycięzcą i tak będzie M. Uważam, że "firma" zachowała się... żenującą i skrajnie mało profesjonalnie, zamiast przyznać się do błędu, to zwaliła winę na kogoś innego.

@Mike - nikt nie uważa, że formularz nie jest zabezpieczeniem, chodzi o to, że aplikacja była niepoprawnie napisana, a wpisanie apostrofu czy jakiegoś SQL w formularz to raczej "ominięcie" zabezpieczenia, a nie złamanie. Dlatego chcą przeprowadzić teraz nowelizację tego art. żeby prawo w tym względzie było bardziej restrykcyjne, na wzór tego z np. USA, gdzie za samo podejście do komputera i próbę wpisania hasła i loginu, jeśli ma się świadomość, że nie posiada się w systemie swojego loginu i hasła, traktowane jest jako przestępstwo. Polskie prawo odnosi się tylko do stanowczego "łamania zabezpieczeń". Po nowelizacji art. 267 (jeśli nie wprowadzą zmian) będzie brzmiał "kto łamie lub omija zabezpieczenia", wtedy sytuacja byłaby jasna. Pytasz ciągle o ten formularz ale kilka postów wcześniej zadałem Tobie ze 3 pytania, w których zawarta jest podstawa mojej opinii na ten temat. Dane wprowadzone do formularza były zgodne z przeznaczeniem formularza - nie wykraczały poza jego zastosowanie, a to co aplikacja później robi z danymi (poprawnymi danymi! bo mamy prawo uważać, że ktoś dający tego typu formularz do sieci przewidział, jakie dane trafią do aplikacji) nie powinna usera obchodzić. Jeśli jakaś firma nie potrafi zabezpieczyć danych to powinna odpowiadać z Ustawy o Och. Danych Oso., bo ta określa jak dane powinny być zabezpieczone.

Co do tego "wykradania sesji"... to też różnie może z tym być. Zależy jak to się zrobi. Jeśli dostaniesz na gg link z numerem sesji, klikniesz w niego i przejdziesz bez autoryzacji do konta usera, to uważasz, że powinieneś iść do więzienia? Jeśli sniffujesz to oczywiście będziesz odpowiadał ale z innego paragrafu. (art.267 par. 2) - sniffowanie to jednoznaczne podsłuchiwanie.

Wracając jeszcze do tego łamania zabezpieczeń, to wyobraź sobie taką sytuację:

http://forum.php.pl/index.php?act=Login&am...p;pass=';--

...wpada tutaj bot Google i Google idzie do więzienia. Google stworzyło narzędzie do łamania zabezpieczeń - swojego spidera - i użyło go do złamania zabezpieczenia zdobywając nieprzeznaczone dla nich informacje. Nie widzisz tutaj absurdu? Jeśli tak będziemy podchodzić do sprawy to niebawem strach będzie kliknąć w jakikolwiek link bez sprawdzania źródła, a internet stanie się dzikim zachodem gdzie cwaniaki zaczną wykorzystywać takie podejście sądów. Po co włamywać się jeśli można zostawić w sieci podobne linki, "odpowiednio" przygotować formularze i w świetle prawa wyłudzać od ludzi pieniądze.

Klik... "Dziękujemy za włamanie do naszego systemu, niebawem skontaktuje się z Panem/Panią nasz prawnik".
Go to the top of the page
+Quote Post

Posty w temacie
- cornholio666   Pobranie opłaty za wykrycie luk   30.04.2008, 10:54:02
- - mike   Oczywiście. Sądzisz, że wszystkie firmy audytorski...   30.04.2008, 10:56:06
- - cornholio666   Że np. firma może powiedzieć, że dostałem się do d...   30.04.2008, 11:17:09
- - sniezny_wilk   A Ty możesz powiedzieć, że odkryłeś to przez przyp...   30.04.2008, 11:28:21
- - mike   W takim razie zaproponuj przekazanie informacji na...   30.04.2008, 11:31:38
- - nevt   jeżeli najpierw zaproponujesz usług...   30.04.2008, 11:37:32
- - normanos   http://prawo.vagla.pl/node/7149 gdzie mam wam sła...   30.04.2008, 12:57:03
|- - mike   Cytat(normanos @ 30.04.2008, 13:57:03...   30.04.2008, 13:11:53
|- - LonelyKnight   Cytat(mike @ 30.04.2008, 14:11:53 ) S...   30.04.2008, 14:09:31
|- - normanos   Cytat(mike @ 30.04.2008, 12:11:53 ) P...   30.04.2008, 14:17:22
- - cornholio666   Dzisiaj wysłałem maila do firmy z propozycją współ...   30.04.2008, 13:06:59
- - LonelyKnight   Od siebie jeszcze dodam dalszą część: http://praw...   30.04.2008, 14:23:22
- - mike   Cytat(LonelyKnight @ 30.04.2008, 15:09...   30.04.2008, 14:38:55
- - normanos   może jakby to napisał edek z krainy kredek to owsz...   30.04.2008, 14:42:54
- - mike   Przypadek na który się powołujecie to sz...   30.04.2008, 15:18:21
|- - LonelyKnight   Cytat(mike @ 30.04.2008, 16:18:21 ) 1...   30.04.2008, 15:40:46
|- - mike   Cytat(LonelyKnight @ 30.04.2008, 16:40...   30.04.2008, 15:59:44
|- - LonelyKnight   Cytat(mike @ 30.04.2008, 16:59:44 ) P...   30.04.2008, 16:25:05
|- - mike   Cytat(LonelyKnight @ 30.04.2008, 17:25...   6.05.2008, 09:31:13
- - pyro   Z własnych doświadczeń mocno odradzam tego typu um...   30.04.2008, 15:51:31
- - empathon   Szkoda ~mike, że nie przeczytałeś k...   6.05.2008, 13:37:02
|- - mike   Cytat(empathon @ 6.05.2008, 14:37:02 ...   6.05.2008, 13:57:02
- - kwiateusz   tym ze on ocenia dostępne fakty, a na czym miałby ...   6.05.2008, 13:51:47
- - empathon   Oczywiście. W pełni się z Tobą zgadzam. Nic nie m...   6.05.2008, 14:39:41
|- - mike   Cytat(empathon @ 6.05.2008, 15:39:41 ...   6.05.2008, 14:54:21
- - LonelyKnight   Zabrnęliśmy za bardzo w tą konkretną sprawę, może ...   8.05.2008, 11:15:48
- - athabus   A ja doskonale rozumiem i popieram mike. Choć czas...   8.05.2008, 11:50:00
- - LonelyKnight   Jasne, manipulować można zawsze. Wątek szantażu ró...   8.05.2008, 12:19:01
- - mike   Już niedługo nie będzie problemów jak ten tutaj: R...   28.05.2008, 15:56:24
- - LonelyKnight   Zgadza się. Mają zmienić ten przepis chociaż jak d...   28.05.2008, 17:03:24
- - michalkjp   http://prawo.vagla.pl/node/8154   6.10.2008, 10:08:57
- - nospor   @up: zaden Humor. Łącze tego posta z tem...   6.10.2008, 10:31:12
- - Sedziwoj   @LonelyKnight Sam piszesz o amerykańskim prawie, a...   8.10.2008, 11:15:50
- - nospor   @Sedziwoj ale przeciez sedzia oglosil juz wynik (l...   8.10.2008, 11:26:43
- - michalkjp   @nospor Właśnie tu pies jest pogrzebany. Jeś...   8.10.2008, 12:14:43
- - webdice   Wychodzę na słup telefoniczny, pod...   8.10.2008, 12:29:08
- - nospor   @michalkjp chodziło mi oto, ze sąd sie wypowiedzia...   8.10.2008, 12:58:07
- - michalkjp   @webdice Z tego co słyszałem, podpinanie się ...   8.10.2008, 13:44:25
- - Sedziwoj   @nospor Tylko że ta sprawa to nie główny temat ...   8.10.2008, 14:55:43
- - nospor   @sedziwuj to nie jest sprawa tytulowa (tytul i pi...   8.10.2008, 15:00:21
- - webdice   Cytat(michalkjp @ 8.10.2008, 14:44:25...   8.10.2008, 15:03:05
- - Cysiaczek   Ja się cieszę, z takiego wyroku, bo jest on sprawi...   9.10.2008, 08:52:08


Reply to this topicStart new topic
2 Użytkowników czyta ten temat (2 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 



RSS Aktualny czas: 7.10.2025 - 01:13