On Sun, 8 Apr 2007, [UTF-8] Miroslaw Jaworski wrote:
> "... przeszkoda zabezpieczaj±ca mienie nie powinna mieæ charakteru
> symbolicznego lecz powinna byæ przeszkod± realn±, broni±c± rzeczywi¶cie
> dostêpu (...)"
Odnosi³em siê tutaj do testowania zabezpieczeñ cudzych witryn WWW jako
takiego, bez rozpatrywania, jak s±d zinterpretuje konkretn± aktywno¶æ, bo
tego po prostu nie wiem, niezale¿nie od tego, ile ustaw przejrzê. Nie jest
dla mnie jasne, do jakiego momentu "tajny" URI jest zabezpieczeniem
symbolicznym, od jakiego - nietrywialnym; albo czy do ró¿nych czê¶ci URI
nale¿y stosowaæ inne regu³y (czyli czy np. '/stats' jest równowa¿ne
'/login?user=admin&pass=admin').
Pisa³em o tym jeno po to, by zaznaczyæ, ¿e szeroko rozumiane praktyki tego
typu s± ryzykowne, zwykle jest pargraf, który pozwala *przynajnniej* na
rozpoczêcie postêpowania, i ¿e atakuj±cy jest w zwi±zku z tym na ³asce
atakowanego, który mo¿e, ale nie musi, graæ przyzwoicie - wiêc w interesie
testera jest wykazanie siê dobr± wol±, a i tak musi on siê liczyæ z
ryzykiem.
Je¶li chodzi o osobisty stosunek do tego typu spraw - w ¿yciu nie
przysz³oby mi do g³owy ¶cigaæ ludzi, którzy co¶ tam sobie z ciekawo¶ci
d³ubi±, i nie uwa¿am tego za co¶ szczególnie z³ego.
> Kto jak kto, ale Ty doskonale powiniene¶ wiedzieæ, jaki by³ techniczny
> aspekt tego przypadku. W tym kontek¶cie Twoja pro-homenet'owa wypowied¼
> ( "[...] mamy do czynienia z prób± prze³amania [...]" )
Wypowied¼ w dalszej czê¶ci by³a pro-homenetowa, ale w tym akurat
fragmencie, jeszcze do tego nie dosz³a ;-) Po prostu chcia³em wyja¶niæ,
czemu dla mnie kwestia intencji jest tu tak wa¿na.
/mz
Received on Sun Apr 8 10:10:07 2007
To archiwum zosta³o wygenerowane przez hypermail 2.1.8 : Sun 08 Apr 2007 - 10:40:01 MET DST