Hirdetés
- Feháborodott az Apple, a Meta az iPhone-felhasználók üzeneteit akarja olvasgatni
- A luxusmárkáknak kell a bitcoin, az USA jegybankjának nem
- Letiltja az USA a politikusokat a telefonhívásokról és szöveges üzenetekről
- Nagy áttörés jön a napelemek piacán, nem kell annyi hely a paneleknek
- Belenyúlt az USA az Epic Games igazgatótanácsába, nyomoz az NVIDIA
Új hozzászólás Aktív témák
-
harry
veterán
"egy idealizált világban nem lenne gond, hogy biztonsági hibák vannak egy szoftverben, mert nem próbálná meg kihasználni senki."
És, ilyenben élünk? Nem.
Ha azok, akik tényleg csak tesztelésből/kíváncsiságból csinálják ezt, és abbahagyják, ilyen világ lesz? Nem - megmaradnak azok, akik haszonszerzésből / károkozásból csinálják.Akkor most mi a jobb? Ha néha szól valaki, hogy gyenge a biztonság, te meg erősítesz rajta, vagy soha sem szól senki, csak majd valaki idővel megpiszkálja?
Theoretically, this damn thing oughta work now.
-
harry
veterán
Megint attól függ, mi van az ajtón túl. Ha valami nagy érték, és könnyen megszerezhető, akkor nem jó. Ha a telken a szerszámtároló ajtaja van így zárva, az kb. senkit sem érdekel. A köztes állapotok a kérdésesek. Pl. lenne egy szerintem jól védett* kis szerverem otthon, és valaki bejön, hogy ez-meg-az hibás, akkor nem elküldeném máshova, hanem örülnék, hogy ő találta meg, és szólt. Feltéve, hogy nem másolgatott le privát infókat, igen - ez meg már az etikusság kérdése.
*: megint olyan, hogy ha scripttel törhető, az én hibám. Ha értek a témához, és a lehető legjobban védem, valaki mégis betör, az azért zavaró.
Mindegy, úgysem lehet határokat húzni.
--> erre biztos lenne, aki azt mondaná: "de lehet, senki ne törjön be sehova". Nyilván, kérjünk meg mindenkit, hogy ugyan, ne törjetek már be, köszi. Ha ez így menne, nem lenne semmilyen bűnözés. De hát nem így van.[ Szerkesztve ]
Theoretically, this damn thing oughta work now.
-
harry
veterán
Ha te kint felejted az ajtódban a kulcsot, nem örülnél, ha valaki, bejönne odaadni? Vagy becsenget, mindegy - mintsem valaki elviszi, hogy utána bármikor be tudjon jönni?
A példádban a tulaj tudatába van annak, hogy bárki bejöhet - ami már eleve problémás, mi van, ha valaki rossz szándékkal jön be? Erre miért nem készül? Úgysem jön be senki? Erre sajnos nem lehet alapozni, úgyis lesz mindig valaki, aki bejön _és_ elvisz ezt-azt. Sajnos. Ezt jelezni meg úgy is lehet, hagy benyitsz, és otthagysz egy lapot, hogy ez így nem jó, bárki bejöhet. Nyilván nem örülök neki, hogy ott más mászkál, ezt senki sem mondta - de inkább egy ilyen személy, mint valaki, aki nem szól, csak elvisz / tönkretesz dolgokat.
Theoretically, this damn thing oughta work now.
-
harry
veterán
És hogy bizonyosodsz meg róla, hogy tényleg jó a kód, ami ki van írva, ha ki sem próbálod? Fölöslegesen meg ne irkáljunk már nekik, hogy az szerinted nem jó.
Nyilván olyan helyzetekről van szó, ahol nem megengedett a bejárás, tehát az sem alternatíva, hogy csak "régen volt fontos".
Ha te be tudsz menni, akkor más is -> nem jó, sem neked, sem nekik, akkor miért ne szólnál? Kárt nem okozol vele.
Ennyi erővel ne védjük a banki rendszereket, hisz amúgy sem illik bemenni - de ha találsz rajta egy durva hibát, akkor inkább te jelezd, mintsem megvárd, míg más kipróbálja, és esetleg megpiszkál valamit. És itt igenis az üzemeltető a hibás, mert ő felel az adatvédelemért/-biztonságért. Ha meg lusták ezzel foglalkozni, és csak annyit vágnak vissza, hogy "nem kell betörni", az a legnagyobb gond, mert lehet más nem fog szólni, egyszerűen csak bemegy matatni.
Vagy akkor hol a határ? Védeni kell, de mennyire? Erről volt szó a cikkben is. Annyira, hogy ne érje meg feltörni. Ha te minimális munkával (pl. script) be tudsz lépni valahova, az igenis az ő hibájuk. Ha egy csapat egy hétig dolgozik ezen, és sikerül bejutni, az megint más tészta, az ilyen teszteseteket a cég rendeli, és bírálja, itt azért összetettebb dolgokról van szó, mint, hogy hé, ott egy nyitott port/default jelszó, az úgy nem jó.
Mondjuk ez a megrendelt törésteszt is némileg gyér, lévén egy hackernek több hónapja (vagy még több ideje) van egy rendszert piszkálni, egy ilyen felületes tesztet meg lezavarnak pár nap alatt...Theoretically, this damn thing oughta work now.
-
harry
veterán
Na jó, de ilyenkor a lehetőségek (számzáras ajtó publikus kóddal):
- nem mész be, mert jófiú vagy - ám más simán bemehet, te ebben nem akadályoztad meg sehogy, ami neked is rossz, mert lehet odabent a te adataid is vannak
- bemész, és ott szólsz, hogy ez így nem jó. Jó nekik is, neked is.
- bemész, és te rosszalkodsz. Legfeljebb neked jó.Szerintem a második elfogadható bizonyos keretek között. Nem is beszélve a különböző adatvédelmi rendelkezésekről: pl. nagyon gáz, ha valahol jelszavakat tárolnak olvasható szövegként - ha egy ilyen rendszerbe valaki be tud nézni, az már rég rossz, de még el is tudja ezeket olvasni, az meg végképp rossz -> a hacker csak benéz, és szól, hogy így nem jó, a rossz fiúk meg beleolvasnak az adatokba, vagy piszkálják azt. Nyilván elég egyszerű példa.
A lényeg, hogy olyan úgysem lesz, hogy senki sem tör be a másikhoz (mármint direkt rossz céllal), akkor meg inkább olyan jöjjön be, aki nem nyúl semmihez, csak jelzi a hibát. Nem? Nyilván nem örülsz, de az meg a te bajod, miért adtál rá lehetőséget: és itt a lényeg, hogy nem csak neki adtál rá lehetőséget, hanem károkozóknak is, így inkább örülnöd kéne, hogy segítettek.
Más kérdés, hogy ha valaki héten keresztül tör egy amúgy aránylag jó rendszert, és utána elküld neked némi belső adatot, hogy ő ezt látta, az nem egészen ez a kategória... de talán még mindig jobb, mint ha valaki visszaélt volna vele.Theoretically, this damn thing oughta work now.
-
harry
veterán
És? Te azt mondtad, az az igaz, amit sokan mondanak. Én erre reagáltam. Nem lesz valami igaz attól, hogy sokan mondják. Sajtóban is állíthatnak sokan valamit, lehet így elterjedt, az attól még lehet hibás/helytelen.
[ Szerkesztve ]
Theoretically, this damn thing oughta work now.
-
harry
veterán
válasz
deusrache
#39
üzenetére
Most mondta, hogy roottal nem is lehet belépni. Sokszor még jelszava sincs. De teszem azt sudo joggal bíró user átválthat root userré, ehhez meg ugye a saját jelszava kell.
Esetleg backup-nak lehet user, akinek sok mindenhez van joga, nagy jelszava, ám sem a usert sem a jelszót használják (csak vészesetben), jelszó meg a széfben tárolva (vagy privát kulcs, mindegy).Theoretically, this damn thing oughta work now.
-
harry
veterán
"Ráadásul, mivel demokráciában élünk azoknak van igaza, akik többen vannak - és annál jobban igazuk van, minnél többen vannak."
Ezt a hülyeséget
Majd hárman körbeállunk, és azt mondjuk, te bizony hülye vagy, és így lesz, mert csak te tiltakozol.Theoretically, this damn thing oughta work now.
Majd hárman körbeállunk, és azt mondjuk, te bizony hülye vagy, és így lesz, mert csak te tiltakozol.Új hozzászólás Aktív témák
it „Én mindig szemét vagyok, de van, amikor van szerződésem is…”. Beszélgetés hackerekkel a motivációról, eseteikről és a tanulságokról.
Állásajánlatok
Cég: Axon Labs Kft.
Város: Budapest
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest