Forum » Omrežja in internet » Varnost nekaterih spletnih trgovin
Varnost nekaterih spletnih trgovin
Daedalus ::
Danes sem iskal zastopnika za določene prenosnike in seveda sem lepo šal na www.najdi.si in vpisal določen search kriterij.Vrnjeno dobim 8 zadetkov z linki, ki so vsi kazali na enaa spletno trgovino. Kliknem in poleg opisa dejavnosti me čaka lep pozdrav: Pozdravljeni, Jaka Veber. Gledam malo debelo, nakar ugotovim, da je verjetno www.najdi.si izbrskal kak link, ki ga ne bi smel. Je pa res, da je tak en od osmoh zadetkov. Obenem sem izvedel, da je dotična oseba na datum 3.9. 2004 naročila Canon SC-PS900 torbico. Screenshota ne mislim objavit, ker če že gambit ne zna poskrbeti za varnost na svojih spletnih straneh, bom vsaj pazil da ne bom tule na forumu objavil podatkov te osebe. Samo tako, za opozorilo, verjetno bi se ob sistematičnem iskanju našlo tudi še kaj. Me pa zanima, naj obvestim gambit, kaj se dogaja z njihovimi stranmi? Al si naj rečem - kurc jih gleda in pozabim na nakupovanje pri njih?
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]
he is responsible for everything he does.
[J.P.Sartre]
Jst ::
Hja, jaz ponavadi obvestim za nepravilnosti, ki jih opazim. Nasploh bi bilo pozitivno, saj se izboljša varnost. Pa za Verisign :)
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|
enaa ::
Iskalnik najdi.si res vsebuje nekaj povezav, ki kažejo v www.enaa.com in sicer direktno v račun nekega uporabnika. Vendar pa najdi.si takih povezav ne more izbrskati sam z indeksiranjem trgovine www.enaa.com. Tako povezavo mu je najverjetneje nekdo vnesel ročno. Najbrž po pomoti. Morda je omenjeni uporabnik na kakšnem forumu objavil povezavo na kakšen zanimiv izdelek in iz URL-ja ni odstranil svojega ID-ja. Morda je kupoval v www.enaa.com iz javnega računalnika in se po nakupovanju ni odjavil. V tem primeru bi lahko v njegov račun prišel tisti, ki bi računalnik uporabljal za njim. V vsakem primeru je www.enaa.com za varnost poskrbljeno in se ob pravilnem ravnanju uporabnikov kakšni roboti iskalnikov ne morejo dokopati do občutljivih podatkov.
Sašo Bradač
enaA Team
Sašo Bradač
enaA Team
Ziga Dolhar ::
Resno?
Če torej poznam URL, lahko pridem do podatkov o nekem naročniku oz. konkretnem naročilu, brez da bi sistem od mene zahteval vnos uporabniškega imena in gesla oz. ustreznih identifikacijskih parametrov? V najhujšem primeru lahko nekemu drugemu obiskovalcu "ugrabim" sejo?
Super varnost.
Če torej poznam URL, lahko pridem do podatkov o nekem naročniku oz. konkretnem naročilu, brez da bi sistem od mene zahteval vnos uporabniškega imena in gesla oz. ustreznih identifikacijskih parametrov? V najhujšem primeru lahko nekemu drugemu obiskovalcu "ugrabim" sejo?
Super varnost.
https://dolhar.si/
Zgodovina sprememb…
- spremenil: Ziga Dolhar ()
Bakunin ::
verjetno preko najdi.si orodne vrstice, ki podobno kot googlebar belezi obisk strani uporabnika in se tako tudi "skriti" spletni naslovi znajdejo v iskalnikih.
bojte se "spyware-a".
bojte se "spyware-a".
Daedalus ::
Sašo Bradač - jaz nisem nek strokovnjak za varnost, pa se mi vseeno zdi, da se takšne stvari ne bi smele dogajat. Sicer mi postopki prijavljanja na stran enaa niso znani, ampak iz videnega sklepam, da če stran od mene ni zahtevala nikakršne avtentikacije, medtem ko je bil nakup opravljen 3.9. 2004 (predvidevam, da je takrat uporabnik nazadnje bil prijavljen na stran), je varnost na precej nizkem nivoju. Dajte to popravit, preden se nekdo dokoplje do kakih bolj občutljivih podatkov vaših uporabnikov. In ta naslednji tega mogoče ne bo objavil, pol pa zna biti marsikaj narobe. Meni se zdi čudno že to, da je stran ponudila opcijo: "Če niste ta in ta, kliknite tukaj." Ob takem sporočilu mi pride na misel, da je sistem prijav malo čuden, ko pa je že vnaprej predvideno, da se lahko nekdo po nesreči znajde prijavljen kot nekdo tretji. Jaz ob videnem do nadaljnega ne nameravam uporabljati vaše strani za nakupe.
Pa da še enkrat poudarim - moja delovna mašina v službi ni javna. Uporabljam jo zgolj jaz, tako da scenarij uporabe javnega računala tu odpade.
Pa da še enkrat poudarim - moja delovna mašina v službi ni javna. Uporabljam jo zgolj jaz, tako da scenarij uporabe javnega računala tu odpade.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]
he is responsible for everything he does.
[J.P.Sartre]
Zgodovina sprememb…
- spremenilo: Daedalus ()
Bakunin ::
Verjetno je enaa.com dobila podatek o tebi preko piskotof (cookies), ker kot sam pravis si tisto stran ze obiskal in celo opravil nakupe na njej.
A te spusti "not" tudi ce pobrises piskote ?
A te spusti "not" tudi ce pobrises piskote ?
Daedalus ::
j - nisi me dobro razumel. Jaz strani enaa nisem nikoli uporabljal za nakupe. Pri iskanju po najdi.si sem naletel na link, ki me je pripeljal do uporabniškega računa. Ker se mi to ni zdelo verjetno, sem še malo poklikal, stran ni zahtevala nobene avtentikacije, jaz pa sem nemoteno prišel do uporabnikovih osebnh podatkov in celo zgodovine nakupov. Z mojega računala se ni nikoli prijavljajo na stran. Tako da piškoti odpadejo...
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]
he is responsible for everything he does.
[J.P.Sartre]
Brilko ::
Sej ne more biti taka varnost halo. Pa daš enem link pa ma vstop v tvoj račun. Čeprav se ne spovnem točno, ampak mogoče moreš pa še pred nakupom potrdit s kodo. Ampak že to je dovolj. To sem že sam ugotovu.
Za kao varno spletno trgovino je to sux.
Za kao varno spletno trgovino je to sux.
IceBreakr ::
Se ne bi mogel bolj strinjat Brilko... kakršenkoli je že iskalnik (najdi,gugl), do osebnih podatkov strank in potencialnih strank ne sme noben pridt brez dodatne avtorizacije samega lastnika teh podatkov...
Keyser Soze ::
Meni se je tudi zgodilo podobno. Ko sem na Najdi.si iskal info o zvočnikih. Pa mi je vrglo Enaa stran s pozdravom uporabnici Štefka Novak(kao da se spomnim:)). In pogledam v voziček in notri ždijo eni zvočniki. Pa ne tisti ki sem jih jaz iskal, temveč kar eni X. Sem pomislil, da bi si poslal darilo(račun pa njej), pa sem si premislil.
Sem se pa tudi zamislil, saj sem že kupoval na enaa.
Sem se pa tudi zamislil, saj sem že kupoval na enaa.
IceBreakr ::
Ja katastrofa :) očitno ni bil osamljen primer, zgleda tut Štefka pošilja svoje osebne podatke na najdi.si :)
cryptozaver ::
V vsakem primeru je www.enaa.com za varnost poskrbljeno in se ob pravilnem ravnanju uporabnikov...
Samo ob poznavanju URL pa lahko pride do zlorabe računa???
Ne bi se strinjal
Brilko ::
Sam ko še nisem vedel da majo sam po url-ju in seje nič drugače ne preverjajo (ip, čas...), sem enem frendu en artikel pokazu, pa mi reče da je prijavljen kot jaz, ja0. Skratka, neprimerno.
pivmik ::
Ja, Najdi.si vrstica je SpyWare.
Jaz sem testiral malo na Najdi.si in sedaj me prepozna kot: Silvestra Drešar
Sem prišel do osebnih podatkov brez problemov.
En quote iz sekcije 'Vaša zasebnost':
Sramota za tako resno trgovino.
Jaz sem testiral malo na Najdi.si in sedaj me prepozna kot: Silvestra Drešar
Sem prišel do osebnih podatkov brez problemov.
En quote iz sekcije 'Vaša zasebnost':
Varnost
Na naših spletnih straneh uporabljamo več varnostno - zaščitnih sistemov, ki zagotavljajo ustrezno zaščito pred izgubo, neželjenim spreminjanjem ali zlorabo podatkov.
Sramota za tako resno trgovino.
LP, Gregor GRE^
Daedalus ::
Me pa prav zanima, če se spet kdo oglaso iz enaa. Ker me ma, da bi napisal eno novico na to temo...
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]
he is responsible for everything he does.
[J.P.Sartre]
TylerDurden ::
In kako boste prišli do maila, ki je potreben, da se opravi nakup? Mail se avtomatsko pošlje ko kliknete naročilo in noter je link za storniranje naročila. Identična zadeva kot če bi se prijavil s tujim imenom v internetno trgovino in potem bljuzil, da ni secure. Samo proces postopka registracije novega b2c kupca so vam prihranili.
Zdejle si grem pa mx1000 kupit v enaa.com potem pa še ostali vabljeni na moj account Najbolj izvirnega izdelka ne bom storniral.
Napiši novico:
ŠOKANTNO (tu se lahko zgleduješ po Slovenskih Novicah), če opravim nakup v imenu druge osebe ne bom dobil nič po pošti, ker bo moje naročilo storniral z 1 klikom pravi uporabnik. Če pa sem dovolj trapast bom vpisal pa še moj domači naslov ali p.p. da me zaradi zlorabe podatkov pohopsa policija.
Zdejle si grem pa mx1000 kupit v enaa.com potem pa še ostali vabljeni na moj account Najbolj izvirnega izdelka ne bom storniral.
Napiši novico:
ŠOKANTNO (tu se lahko zgleduješ po Slovenskih Novicah), če opravim nakup v imenu druge osebe ne bom dobil nič po pošti, ker bo moje naročilo storniral z 1 klikom pravi uporabnik. Če pa sem dovolj trapast bom vpisal pa še moj domači naslov ali p.p. da me zaradi zlorabe podatkov pohopsa policija.
Let\'s make some soap ...
Zgodovina sprememb…
- spremenil: TylerDurden ()
perci ::
g. Sašo Bradač: Kaj imate za povedati v vašo obrambo?
Torej, ali je res mozno priti do osebnih računov drugih oseb samo s poznavanjem pravih url-jev - torej brez avtentikacije?
Ostali pa prosim brez javnih linčev dokler se g. Bradač ne oglasi - ker bom brisal.
Torej, ali je res mozno priti do osebnih računov drugih oseb samo s poznavanjem pravih url-jev - torej brez avtentikacije?
Ostali pa prosim brez javnih linčev dokler se g. Bradač ne oglasi - ker bom brisal.
TylerDurden ::
BTW na slo-techovem forumu je en kup takih linkov, samo so očitno acc že potekli.
Let\'s make some soap ...
Daedalus ::
Tyler - ni panike, bom pa videl tvoj naslov, telefonsko, zgodovino nakupov, ipd... Podatke, za katere ti garantirajo, da niso na voljo tretjim osebam. Pa sploh ne bom naredil nič prepovedanega. Zgolj kliknil na link... Če ti je to ok, prav. Lahko ti povem, da se marsikomu to ne bi zdelo prav.
Pa lahko mi verjameš, da ne bo novice v stilu šokantno. Zgolj opozorilo za uporabnike, kje se lahko zgodi, da bojo do njihovih podatkov prišli tako, z klikom.
Pa lahko mi verjameš, da ne bo novice v stilu šokantno. Zgolj opozorilo za uporabnike, kje se lahko zgodi, da bojo do njihovih podatkov prišli tako, z klikom.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]
he is responsible for everything he does.
[J.P.Sartre]
Zgodovina sprememb…
- spremenilo: Daedalus ()
Keyser Soze ::
JEs to je ta. Silvestra Drešar. Pa ene zvočnike ima v vozičku in s.p. je.
Fenomenalno. Sam še številke kreditnih kartic bi morali imeti noter pa bi bil danes malo bogatejši.
Fenomenalno. Sam še številke kreditnih kartic bi morali imeti noter pa bi bil danes malo bogatejši.
markus_81 ::
Zgleda so ostale slovenske spletne trgovine že obvestile uporabnike, da je pri njih za varnost poskrbljeno tako kot se zagre, npr. http://mimovrste.domenca.com/
K sreči nisem nikoli kupoval pri enea!
K sreči nisem nikoli kupoval pri enea!
poweroff ::
OK, še mojih 5 centov...
Stvar je taka, da avtentikacija preko URLja (z npr. id=xxxxx) ni varna. NI VARNA.
Zakaj?
A) Ker lahko nekdo po pomoti URL vpiše na kakšen forum (napaka uporabnika, ki je pogosto neuk).
B) Ker lahko tak URL ulovijo "lovilci" URLjev (Google Toolbar, Najdi.si toolbar)
C) Ker je tak URL mogoče ugotoviti.
Tipičen primer je spletna trgovina (ne bom povedal katera), kamor so lansko leto "vdrli" neki hekerji.
Trgovci so imeli tim. administratorske strani, kamor je bil mogoč dostop z geslom. Seveda pa si geslo rabil le za preusmeritev. Ko si enkrat vedel URL, se je dalo brskati po bazi naročnikov z vsemi osebnimi podatki in nakupi vred.
S preprosto zanko in wgetom bi lahko potegnil celotno njihovo bazo ven.
Če se isto dogaja z Enaa, je pa sramota. In če je gor naveden njihov uradni odgovor, je sramota še toliko večja.
Stvar je taka, da avtentikacija preko URLja (z npr. id=xxxxx) ni varna. NI VARNA.
Zakaj?
A) Ker lahko nekdo po pomoti URL vpiše na kakšen forum (napaka uporabnika, ki je pogosto neuk).
B) Ker lahko tak URL ulovijo "lovilci" URLjev (Google Toolbar, Najdi.si toolbar)
C) Ker je tak URL mogoče ugotoviti.
Tipičen primer je spletna trgovina (ne bom povedal katera), kamor so lansko leto "vdrli" neki hekerji.
Trgovci so imeli tim. administratorske strani, kamor je bil mogoč dostop z geslom. Seveda pa si geslo rabil le za preusmeritev. Ko si enkrat vedel URL, se je dalo brskati po bazi naročnikov z vsemi osebnimi podatki in nakupi vred.
S preprosto zanko in wgetom bi lahko potegnil celotno njihovo bazo ven.
Če se isto dogaja z Enaa, je pa sramota. In če je gor naveden njihov uradni odgovor, je sramota še toliko večja.
sudo poweroff
TylerDurden ::
Drugič raje v svoji zaskrbljenosti piši adminom enaa.com , ne pa na najbolj obiskan računalniški forum. Če se že toliko sekiraš za varnost. Anyway, če kdo ugane moj mcssid dobi za pivo. SIcer so pa tako ali tako že zrihtal zadevo. Programerju bo treba dat lekcijo kje se uporablja session in kje url.
Let\'s make some soap ...
poweroff ::
Pohvalno da so zrihtali... ampak da je deadalus to napisal na forum je pa čisto prav. Da tudi ostali izvemo kako in kaj.
Ker če so ga (res) polomili enkrat, so izgubili moje zaupanje.
Ker če so ga (res) polomili enkrat, so izgubili moje zaupanje.
sudo poweroff
Daedalus ::
Sej tu je problem - mcssid lepo poskenira robot iskalnika, pa če se seja ne zaključi, je pizdarija. In teh linkov maš pri iskanju z najdi.si polno. In eni očitno prav lepo delajo. Če so popravli, ok. Javno opozorilo pa mora bit. Ne mislim nikomur dajati priložnosti za tih cover up kritičnih napak. Zato objava na forumu. Odgovor zaposlenega na tem forumu je itak pod vsakim nivojem. Se vidi, kolk jih skrbi za stranke... Niti toliko se ni nihče potrudil, da bi napisal, če so napak odpravli in tako poskrbel, da mu ta tema ne dela nepotrebne škode
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]
he is responsible for everything he does.
[J.P.Sartre]
Keyser Soze ::
Ja no, sej imajo še kakšno stranko, ki ne ve za spodrsljal. Tisti ki pa vedo se bodo pa zamislili, če se splača kupovat in s tem raskirat?
Lahko bi pa bil kakšen reply z njihove strani. Kot je rekel Daedalus, saj se njim dela škoda ne nam.
Lahko bi pa bil kakšen reply z njihove strani. Kot je rekel Daedalus, saj se njim dela škoda ne nam.
Brilko ::
Nič še niso ornk zrihtal. Včeri mi je frend dal link njegovega accounta pa še danes kamot dostopam preko njega. Skratka še ni ok, je pa narejeno da če se da link od artikla, tega ni v url-ju.
enaa ::
Dogajanje na slo-tech forumu redno spremljamo, tako smo Deadalusovo obvestilo predali našemu varnostnemu inženirju že eno uro po prvi objavi ter približno štiri ure kasneje dali tudi prvi odgovor na slo-tech forum, vmes pa preprečili dostop preko objavljene identitete enega izmed kupcev. Preverili smo tudi vse nadalnje navedbe na slo-tech in ugotovili, da je do objave identitete dejansko prišlo v treh primerih, pri čemer je le to vedno preko objave na kakšnem forumu ali blogu posredoval uporabnik sam. Podatki tako niso bili objavljeni kot posledica vdora v našo bazo podatkov.
Zavedamo se, da je varovanje zasebnosti naših kupcev naša odgovornost ter da moramo zagotoviti okolje, kjer ne bo nihče kakorkoli ogrožen niti zaradi lastne nepazljivosti ali napake. Vse morebitne stroške zaradi tega bo krila enaA.com. Pomankljivost o kateri je v tem forumu tekla beseda bomo v naslednjih dneh odpravili. Vsem udeleženim v forumu pa se zahvaljujemo za mnenja in ocene ter pomoč, ki so nam jo s sodelovanjem v forumu zagotovili pri razvoju še varnejše enaA.com. Z vašo pomočjo bomo naredili še en velik korak naprej.
Aljoša Domijan
enaA team
Zavedamo se, da je varovanje zasebnosti naših kupcev naša odgovornost ter da moramo zagotoviti okolje, kjer ne bo nihče kakorkoli ogrožen niti zaradi lastne nepazljivosti ali napake. Vse morebitne stroške zaradi tega bo krila enaA.com. Pomankljivost o kateri je v tem forumu tekla beseda bomo v naslednjih dneh odpravili. Vsem udeleženim v forumu pa se zahvaljujemo za mnenja in ocene ter pomoč, ki so nam jo s sodelovanjem v forumu zagotovili pri razvoju še varnejše enaA.com. Z vašo pomočjo bomo naredili še en velik korak naprej.
Aljoša Domijan
enaA team
Brilko ::
Lepo od vas, da ste priznali napako in vašo odgovornost.
Kar me zanima je ali ste za bug vedeli že ves čas in v kolikor da zakaj tega niste prej odpravili. Nekak pa mislim da si vseeno nebi smeli privošiti tako banalnega zapleta in nevem kako je sploh možno to pri taki "veliki trgovini" kot ste.
Kar me zanima je ali ste za bug vedeli že ves čas in v kolikor da zakaj tega niste prej odpravili. Nekak pa mislim da si vseeno nebi smeli privošiti tako banalnega zapleta in nevem kako je sploh možno to pri taki "veliki trgovini" kot ste.
b ::
Takojsnja objava varnostne luknje (pa najsibo v softveru ali kaksni web strani) na javnem forumu je neodgovorna. Ce si security researcher (izven Slovenije je recimo kar nekaj podjetij, ki se ukvarjajo z varnostjo, ki imajo mocne research oddelke), potem o odkriti luknji najprej obvestis tistega, ki skrbi za program oz. v tem primeru web stran. Javna objava pa sledi ko je luknja pokrpana in je ne more vec izkoristit noben nepridiprav oz. v primeru, da po dolocenem casu ni reakcije od upravljalca strani oz. cloveka ali ekipe, ki vzdrzuje program.
Na ta nacin je najverjetneje manj moznosti, da bo zaradi dolocene ranljivosti kdo oskodovan (razen seveda ce imas dokaze, da nekdo ranljivost ze izkorisca). In ravno tako se lahko hvalis, da si luknjo odkril ti :-)
Google najde na temo recimo tole: CERT
Na ta nacin je najverjetneje manj moznosti, da bo zaradi dolocene ranljivosti kdo oskodovan (razen seveda ce imas dokaze, da nekdo ranljivost ze izkorisca). In ravno tako se lahko hvalis, da si luknjo odkril ti :-)
Google najde na temo recimo tole: CERT
Daedalus ::
@b - nisem security researcher in od tega, da sem kao odkril varnostno luknjo v spletni trgovini enaa nimam nič. Če si pazljivo prebral moje poste, ti je lahko ratalo jasno, da se s svojim "dosežkom" ne hvalim. Kdo pa skrbi za program, pa ne vem. Nikjer na strani ni linka do reklamacij za varnost. Objavil sem pa zato vse skup na forumu, ker vem, da ga berejo tudi ljudje, ki so odgovorni za varnost na enaa. In tudi zato, da opozorim uporabnike foruma na možne napake, ki jim lahko škodujejo.
Man is condemned to be free; because once thrown into the world,
he is responsible for everything he does.
[J.P.Sartre]
he is responsible for everything he does.
[J.P.Sartre]
Ziga Dolhar ::
b: Težava ni toliko v Daedalusovi objavi luknje, ampak v enaA-jevi _potrditvi obstoja_ luknje in hkratnemu hvaljenju, da pri tem ne gre za luknjo ("za varnost je poskrbljeno").
https://dolhar.si/
poweroff ::
Zigga - točno tako.
Čeprav ima b zelo pomemben point.
Načeloma bi bilo najbolje narediti takole:
- narediš screenschoote in si zapišeš postopek;
- po mailu pošlješ obvestilo lastniku trgovine in ga pokličeš še po telefonu;
- se dogovoriš za nek razumen rok, oz. jih prosiš, da te obvestijo, ko bodo popravili;
- objaviš novico na Slo-Techu :-)
Čeprav ima b zelo pomemben point.
Načeloma bi bilo najbolje narediti takole:
- narediš screenschoote in si zapišeš postopek;
- po mailu pošlješ obvestilo lastniku trgovine in ga pokličeš še po telefonu;
- se dogovoriš za nek razumen rok, oz. jih prosiš, da te obvestijo, ko bodo popravili;
- objaviš novico na Slo-Techu :-)
sudo poweroff
Ziga Dolhar ::
Mattthai, veš kaj je še zanimivo? Da so ljudje pripravljeni zastopati zelo, zelo različna stališča o tem, ali naj se varnostne luknje objavljajo preden so pokrpane ali po tem. En človek, dve mnenji. Kot odločujoč faktor za zavzeto stališče se ponavadi izkaže prisotnost/odsotnost Microsofta. Žalostno.
(Keynesov citat "When facts change ..." tu nekako ne deluje.)
(Keynesov citat "When facts change ..." tu nekako ne deluje.)
https://dolhar.si/
Zgodovina sprememb…
- spremenil: Ziga Dolhar ()
poweroff ::
Ja, gre za dilemo, ki nastane, če podjetje ne reagira dovolj hitro, ali pa če sploh ne reagira.
Recimo.. podjetje obvestiš o varnostni luknji, vendar se jim ne zdi vredno pkrpati jo. Vmes to odkrijejo že hekerji in veselo izrabljajo.
Če greš sedaj s tem v javnost, bo podjetje morda prisiljeno pokrpati luknjo.
To zna biti resna dilema. Čeprav se mi zdi, da je takih podjetij čedalje manj.
Recimo.. podjetje obvestiš o varnostni luknji, vendar se jim ne zdi vredno pkrpati jo. Vmes to odkrijejo že hekerji in veselo izrabljajo.
Če greš sedaj s tem v javnost, bo podjetje morda prisiljeno pokrpati luknjo.
To zna biti resna dilema. Čeprav se mi zdi, da je takih podjetij čedalje manj.
sudo poweroff
Bakunin ::
Če greš sedaj s tem v javnost, bo podjetje morda prisiljeno pokrpati luknjo.
ali pa tebe obtozi za vse vdore/stroske, ki so jih imeli zaradi lastne ignorance. Shoot the messenger!
cryptozaver ::
b mislm od kje ti ta ideja.
Sem popolnoma preprican, da jih je ze kdo opozoril ali so celo sami vedeli za tezavo.
In kaj so naredili? Tocno to. NIC!
Saj pri nas (verjetno tut drugje) je verjetno le moc javnega dostopa do informacij tista, ki premakne kaksen 'velik' stroj.
Tole pisem iz lastnih izkusenj. Imel sem en nesrecen primer z nekim cheep routerjem (postal na ST). Nekaj casa smo si izmenjevali maile potem si telefonarili, nakar sem po 300-tih brezveze prevozenih kilometrih zadevo uspel zamenjat.
Izdelek se naprej veselo prodajali ceprav so imeli vsi tezave z njim!!!
Sem popolnoma preprican, da jih je ze kdo opozoril ali so celo sami vedeli za tezavo.
In kaj so naredili? Tocno to. NIC!
Saj pri nas (verjetno tut drugje) je verjetno le moc javnega dostopa do informacij tista, ki premakne kaksen 'velik' stroj.
Tole pisem iz lastnih izkusenj. Imel sem en nesrecen primer z nekim cheep routerjem (postal na ST). Nekaj casa smo si izmenjevali maile potem si telefonarili, nakar sem po 300-tih brezveze prevozenih kilometrih zadevo uspel zamenjat.
Izdelek se naprej veselo prodajali ceprav so imeli vsi tezave z njim!!!
b ::
cryptozaver: mene cisto malo briga, kaj si ti preprican. Bolj je pomembno, ce lahko svoje mnenje potrdis s kaksnim faktom. In glede na to, da mesas ranljivost njihove strani in problem z robo, ki si jo kupil pri tej stacuni, ne verjamem prevec v tvojo razsodnost in moznost zapazanja relevantnih dejstev.
Daedalus: glej, vsaka trgovina mora imet kontakt na strani, tak ali drugacen. Pa magari telefon, ce ne gre drugace.
Ce te ne jemljejo resno, zavlacujejo ipd. potem jasno zadevo objavis. Ampak _vsakdo_ si zasluzi vsaj nekaj malega vnaprejsnjega obvestila. Prvi odgovor s strani trgovine v tej temi pa ni ravno biser PR-a, ceprav se trudi :-)
Disclaimer: z omenjeno trgovino nimam nobene povezave, nikoli nisem kupoval pri njih in najverjetneje nikoli ne bom. Kar pisem je moje splosno mnenje o temi.
Daedalus: glej, vsaka trgovina mora imet kontakt na strani, tak ali drugacen. Pa magari telefon, ce ne gre drugace.
Ce te ne jemljejo resno, zavlacujejo ipd. potem jasno zadevo objavis. Ampak _vsakdo_ si zasluzi vsaj nekaj malega vnaprejsnjega obvestila. Prvi odgovor s strani trgovine v tej temi pa ni ravno biser PR-a, ceprav se trudi :-)
Disclaimer: z omenjeno trgovino nimam nobene povezave, nikoli nisem kupoval pri njih in najverjetneje nikoli ne bom. Kar pisem je moje splosno mnenje o temi.
Jst ::
Meni se pa Daedalusovo dejanje (postanje na st) zdi zelo uvidevno do obiskovalcev stja, ker je s tem mene, tebe, nas, opozoril na potencialno nevarnost kupovanja na enaa.
Islam is not about "I'm right, you're wrong," but "I'm right, you're dead!"
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|
-Wole Soyinka, Literature Nobelist
|-|-|-|-|Proton decay is a tax on existence.|-|-|-|-|
cryptozaver ::
b
sicer nisem eksplicitno tega napisal, ampak nadaljeval sem zgodbo o tem, ali publicirati opazeno napako ali ne. Ocitno se nekateri na diskretna opozorila ne zganejo. Moj primer je lep dokaz za to. S tega vidika podpiram idejo, naj se taksne in podobne zadeve objavijo.
sicer nisem eksplicitno tega napisal, ampak nadaljeval sem zgodbo o tem, ali publicirati opazeno napako ali ne. Ocitno se nekateri na diskretna opozorila ne zganejo. Moj primer je lep dokaz za to. S tega vidika podpiram idejo, naj se taksne in podobne zadeve objavijo.
BigWhale ::
Objava buga, brez proof-of-concept exploita ni tako zelo hudo dejanje. Povprecen kiddie tako ali tako ne bo znal kaj 'pametnega' ven potegnit iz tega... ;)
Vredno ogleda ...
Tema | Ogledi | Zadnje sporočilo | |
---|---|---|---|
Tema | Ogledi | Zadnje sporočilo | |
» | Prepoved o pisanju zakoncev Login (strani: 1 2 3 4 5 6 )Oddelek: Loža | 56301 (43143) | poweroff |
» | EnaA in njihov katastrofalni sistem za odjavo od spam-a (strani: 1 2 )Oddelek: Informacijska varnost | 13745 (9870) | fosil |
» | kaj manjka tej spletni trgovini...Oddelek: Izdelava spletišč | 2984 (1947) | WinsuckeR |
» | Najdi.si lahko "bana" stran?Oddelek: Omrežja in internet | 2380 (1885) | poweroff |
» | Nov članek: Spam, spam, spamOddelek: Novice / Nova vsebina | 3853 (3853) | Bakunin |