On 13.04.2007, Paweł 'Róża' Różański <rozie@rot13sevxb2rot13.onet.pl> wroted:
>>>> Jak weryfikujesz "wykrycie braku zabezpieczeń"? Sprawdzenie, czy na
>>>> pewno wykryłeś dziurę jest już "uzyskiwaniem nieautoryzowanego dostępu"
>>>> itd.
>>> A dowodem na to jest ...
>> A to już zupełnie inna bajka. Choćby radosne poinformowanie o fakcie
>> właściciela rzeczonego systemu.
>
> Czyli, podsumowując, jeśli - nie daj RNG - znajdziesz buga, który podpada
> pod 'uzyskanie nieautoryzowanego dostępu'[1] to albo milczysz jak grób,
> albo, jeśli zechcesz już o tym porozmawiać, to nie z właścicielem, bo
> będzie miał dowód?
Zawsze istnieje ryzyko, że zamiast Ci podziękować, zacznie Cię ścigać. A wtedy
tak, czynności związane ze zgłoszeniem dziury mogą być dowodem na "uzyskanie
nieautoryzowanego dostępu" etc.
[...]
> [1] Niby na którym etapie miała niby miejsce _autoryzacja_ w przypadku
> opisanego dostępu do serwisu MEN?
[...]
Nie mówię o dziurze w CMSie MEN. Mówię o tym, że _technicznie_ w bardzo wielu
przypadkach weryfikacja odkrycia dziury jest "uzyskiwaniem nieautoryzowanego
dostępu" etc. Jeśli właściciel serwisu z takich czy innych przyczyn zechce
Cię wobec tego ścigąć, ma szanse Ci zaszkodzić.
GS
-- Grzegorz Staniak <gstaniak _at_ wp [dot] pl>Received on Fri Apr 13 09:40:08 2007
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Fri 13 Apr 2007 - 10:40:01 MET DST