Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: Пред. 1 ... 3 4 5 6 7 8 След.
RSS
Кому нужна безопасность?
 
Цитата
да, не этично тыкать пальцем. но зато практично :)))
Это к чему, интересно? Фомулировка тезиса "в лесу действуют другие законы"? Типа, для саморекламы/самоутверждения делаю что хочу? А не боимся, что оппонент поступит также?
И тезис
Цитата
pgp-диск спасёт отца русской демократии
уже не будет работать, ибо когда к заднице отца русской демократии подходят два обкуренных афроамериканца с пассатижами ((с) известный фильм), пароль к диску угадывается с 2-3 ударов. Хотя, пассатижи, это, конечно, грубо - есть способы, после которых следов телесных повреждений не обнаруживается даже при вскрытии.  8)
 
В принципе и её можно под статью :-)
Репрезентативная выборка
 
Цитата
Cybervlad пишет:
. Но этически все это очень некрасиво. Цель-то статьи какая? Если показать, что "там все плохо", надо делать исследование не на 10 неизвестно по каким критериям выбранных сайтах, а на нормальной репрезентативной выборке.
Сайтов было больше, многие попросили не упоминать о них. В статье были выбраны сайты в которых при беглом осмотре обнаруживались уязвимости. Автор не ставил целей сравнить защищенность сайтов или общий процент реакции на информацию об уязвимости, а сравнивалась реакция наших и западных компаний. Даже для 10 сайтов выборка достаточная чтобы получить ответ на качественное сравнение.

Цитата
Cybervlad пишет:
Но этически все это очень некрасиво
У компаний был МЕСЯЦ на то, чтобы отказаться от публикации их имени в этой статье. По мойму достаточный срок чтобы сделать выбор.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
Цитата
Cybervlad пишет:
Типа, для саморекламы/самоутверждения делаю что хочу?

Влад, то что ты предлагешь - нашел багу - сиди себе спокойно. Подход хороший и равномерный. Очень полезный для повышения защищенности сети в целом.
 
Цитата
Автор не ставил целей сравнить защищенность сайтов или общий процент реакции на информацию об уязвимости, а сравнивалась реакция наших и западных компаний.
Еще раз: чтобы что-то сравнивать, нужна репрезентативная выборка.
У меня, например, прямо противоположное мнение о "реакционности" админов, сложившееся на основании многолетней эксплуатации IDS (точнее, действий по incident response). Забугорные товарищи почему-то в большинстве своем "молчат как рыба о лед" на сообщение, что из их сети была атака/скан/черви лезут и т.д. Наши в большинстве реагируют вменяемо (хотя встречаются деятели, которым приходится на расшаренный в инет принтер печатать просьбы заткнуть фонтан червей).

Цитата
У компаний был МЕСЯЦ на то, чтобы отказаться от публикации их имени в этой статье. По мойму достаточный срок чтобы сделать выбор.
Я не понимаю зачем вообще было публиковать конкретные названия? Что, своего авторитета не хватает, что надо подчеркнуть "а вот мы кого поимели"?
Ну узнали вы, что писается человек по ночам, ну не слушает он ваших уговоров лечить энурез (а может некогда пока, а может боится), зачем орать-то во всеуслышанье, что он зассанец (простите, сорвалось)?
А уж про отказ от публикации - вообще песня. Вы что, официальное письмо направляли? Да фиг поверю. Наверняка дальше мыла на webmaster@ дело не пошло. А на аргументы что "такое мыло принято читать" отвечу, что принято вести себя этично, а не развешивать чужие трусы в общественном месте...

p.s. Человеку, имеющему квалификацию CISSP, неплохо бы иногда перечитывать документ под названием "Code of Ethics" (https://www.isc2.org/cgi/content.cgi?category=12)
 
Цитата
У компаний был МЕСЯЦ на то, чтобы отказаться от публикации их имени в этой статье. По мойму достаточный срок чтобы сделать выбор

Бугагагага!  "Вам месяц, чтобы все поправили, иначе мы за себя не ручаемся!!!" Супер! Так держать, уважаемые коллеги! Я пожалуй не рискнул бы у вас обследование заказывать, а то потом отчетом по моим уязвимостям вы меня же и зачмырите: "Итого: 40 критичных уязвимостей. Устранить в течении месяца!" %)))))))))))
 
Цитата
Влад, то что ты предлагешь - нашел багу - сиди себе спокойно
Я предлагаю перед каждым телодвижением думать о последствиях. Положительных и отрицательных.
Какую пользу принесло обнародование инфы, что сайт www.***.ru уязвим?
Да никакой! Если они на прямое предупреждение не среагировали, то что от этого?
А вот вред - запросто. Скрипт-киддисы, потирая потные ручонки, уже качают сканеры/эксплоиты.
Добродеятели, блин...
 
Цитата
underling пишет:
Бугагагага! "Вам месяц, чтобы все поправили, иначе мы за себя не ручаемся!!!" Супер! Так держать, уважаемые коллеги! Я пожалуй не рискнул бы у вас обследование заказывать, а то потом отчетом по моим уязвимостям вы меня же и зачмырите: "Итого: 40 критичных уязвимостей. Устранить в течении месяца!" %)))))))))))
Э.. Давай не путать. Я к авторству статьи совершенно никакого отношения не имею. Как и позитив.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
Цитата
Cybervlad пишет:
Я предлагаю перед каждым телодвижением думать о последствиях. Положительных и отрицательных. Какую пользу принесло обнародование инфы, что сайт www.***.ru уязвим? Да никакой! Если они на прямое предупреждение не среагировали, то что от этого? А вот вред - запросто. Скрипт-киддисы, потирая потные ручонки, уже качают сканеры/эксплоиты. Добродеятели, блин...
Бред. Я уже приводил статистику как то что 90% сайтов имеют уязвимости в Web (австралийцы по мойму делали исследование). ТАк что фраза такой то сайт уязвим всегда верна с вероятностью 90%. Сомневаюсь что для скрипт кидди эта информация принесла какую либо пользу.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
Ну исчо 3 мессадж и будет сотня :))
Мужики не бросайте тему, отпишите в рассылке будет ли хоть один иск к вам/авторам или нет, по поводу этой статьи.
 
Цитата
Сомневаюсь что для скрипт кидди эта информация принесла какую либо пользу.
Может, скрипт-киддисы и читают обзоры австралийцев, в чем я сильно сомневаюсь (лично я услышал о потенциальной уязвимости 90% сайтов впервые). Но при прочих равных условиях они пойдут хакать не высосанный из пальца URL, а прочитанный на популярном ресурсе в контексте "там дыры есть, а админы даже на на сообщение не реагируют!". N'est pas?
Слешдоттингом банальным ресурс положить можно, а если еще и эксплоиты пробовать...

Короче, вы можете много говорить о благих намерениях и юридической законности, но это НЕЭТИЧНО. И про относительность этики - тоже не надо, мы не застольный этикет европейца и дикаря из Гвинеи сравниваем, тут система отсчета общепринятая.
 
Сотый нах! (с)  :funny:
Цитата
будет ли хоть один иск к вам/авторам или нет
да кому охота время тратить?
 
Цитата
Э.. Давай не путать. Я к авторству статьи совершенно никакого отношения не имею. Как и позитив.

Да ну? Как рекламу постить дак имеете (Дополнительные уязвимости могут быть обнаружены с помощью бесплатного сканирования: http://www.freescan.ru/ ), а как за базар ответить, дак не имеете? Securitylab чей вообще ресурс? Васи Пупкина? Или "Персональная web-страница ©oded by offtopic & Hash"?  :lol:
 
Что все скатилось к обсуждению персоналии автора. Имхо, придётс пацану сменить безопасность на торговлю пирожками. Написал бы кто менее раскрученный, все бы тихо промолчали.
 
Цитата
underling пишет:
Да ну? Как рекламу постить дак имеете (Дополнительные уязвимости могут быть обнаружены с помощью бесплатного сканирования: http://www.freescan.ru/ ), а как за базар ответить, дак не имеете? Securitylab чей вообще ресурс? Васи Пупкина? Или "Персональная web-страница ©oded by offtopic & Hash"? Lol
Это вообще личная инициатива оффтопика и хеша.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
Цитата
Написал бы кто менее раскрученный, все бы тихо промолчали
Я думаю, суть претензии была бы таже ("нафига разглашать"), но аргументация разная. На неизвестного автора хмыкали бы "ну, понятно, прославиться хочет". А когда известный человек такое пишет, возникает недоумение "ну нафига ему такие дешевые понты?"
 
Вот что выходит, когда скрипткидящие вайтхэты пытаютца играть в блэкхэтов :) Так их, хацкерофф!
 
> ifap еще те демагоги.

Александр, не надо повторять чужие глупости, раз сами свечку не держали.

А по поводу ОФИСПа и его места в системе законодательства РФ - читайте Гражданский кодекс. Есть ссылка в договоре с провайдером, нет ссылки - по закону все едино, каждая сторона в гражданском процессе может сослаться на ОФИСП как обычай делового оборота, что и было продемонстрировано в деле МТУ-Обухов. Суд признал за ОФИСПом статус документально зафиксированного обычая делового оборота, после этого можете говорить, что ОФИСП яйца выеденного не стоит, но официальная позиция немного иная.
 
Цитата
Алексей, ущерб как раз дело нехитрое. Скан занимал канал? Занимал, то есть пропускная способность канала при скане была меньше, чем в штатном режиме. Скан является штатным событием? Нет, то есть доступность сервисов для пользователей в состоянии скана могла быть меньше, чем в штатном режиме. Скан суть действие с умыслом. Ущерб нанесен в форме невозможности предоставления услуг надлежащего качества. Для финансовых учреждений, предоставляющих доступ к управлению посредством Интернет, это вообще влет.

Это у тебя все так просто. А теперь посчитай сумму потерь на Интернет-трафике и, о, чудо, цифра составит всего несколько центов. Это не ущерб, уж извините меня. Формально, можно и за один цент попробовать привлечь, но никто не будет заморачиваться. Опять же из судебной практики.
Luka
 
Цитата
Правильно говоришь, УЩЕРБА, а какого ?
Деловая репутация (вернее ее дискредитация) ущерб ?
Атака на основании данных статьи ущерб ?

Согласен, все запутано и не очевидно, но для судебной бодяги вполне достаточно, а оно вам надо ?

А кто считать будет потерю репутации? А атака на основании данной статьи - это не к автору. Если я соберу коктейль молотова на основании имеющихся в Интернете данных, то посадят меня, а не авторов пособия. Или если я воспользуюсь учебником для стрельбы, то что же авторов сажать?
Luka
Страницы: Пред. 1 ... 3 4 5 6 7 8 След.
Читают тему