Vlákno názorů k článku Postřehy z bezpečnosti: 17 let stará slabina Firefoxu a její praktické zneužití od null null - "Bezpečnostní pracovník se obhajuje tím, že se snažil...
-
Ondra Satai NekolaZlatý podporovatelTohle je ramcove to, co se ma delat: https://en.wikipedia.org/wiki/Responsible_disclosure
-
null null (neregistrovaný)
@Ondra Satai Nekola
Každý to zná, ale co máš dělat je dodržovat zákony a to že i někdo nereaguje tak to neznamená, že někoho/něco ohrozíš. Možná je to hezký manifest, ale moudra na Wikipedii nad zákonem nestojí.
Je to jako bys přišel na to že si úředník dává klíček od kanclu pod rohožku a když nedbá na tvé upozornění aby to nedělal, tak toto vyvěsíš veřejně a může ho kdokoliv vybrat. Úžasný nápad.
-
Ondra Satai NekolaZlatý podporovatel
Tahle moudra na Wikipedii jsou jenom shrnutí industry best practices. Ono se za léta praxe ukázalo, že cokoli jiného vede k horším následkům.
-
null null (neregistrovaný)
@Ondra Satai Nekola
"Ono se za léta praxe ukázalo, že cokoli jiného vede k horším následkům."
Hactivistův pocit nebo je na to nějaký zdroj?
Dovolím si odkázat níže na materiál [1] který vložil MCE níže do diskuze [2] a který naznačuje něco jiného, resp. nebagatelizuje ostatní možnosti jak se k tomu postavit.
[1] https://www.cleverandsmart.cz/mely-by-se-informace-o-zranitelnostech-zverejnovat/
[2] https://www.root.cz/clanky/postrehy-z-bezpecnosti-17-let-stara-slabina-firefoxu-a-jeji-prakticke-zneuziti/nazory/#o102455110. 7. 2019, 13:15 editováno autorem komentáře
-
null null (neregistrovaný)
@Ondra Satai Nekola
No to pardon, ale kromě názoru toho pána s kalsickým argumentem že jako firmy začnou hned všechno opravovat* tam nevidím nic co by ukazovalo, nebo ještě lépe prokazovalo, že
"Ono se za léta praxe ukázalo, že cokoli jiného vede k horším následkům."
Co z toho teda konkrétně, a jak, ukazuje že cokoliv jiného vede k horším následkům? Asi nějaká čísla by i byla potřeba na takové tvrzení, ne?
* o možných dopadech, viz. výše [1] a [2] ani slovo.
-
Ano, poviem mu, ze zajtra tam ten kluc uz nema davat, lebo mam fotku toho kluca a zajtra ju (upravenu) zverejnim bez ohladu na to, ci tam ten kluc zase dal. Ale este predtym zavolam jeho nadriadenemu. Ten kluc tam nema co hladat a odkedy o nom viem, je to moja logicka obcianska povynnost do toho strkat nos bez ohladu na aktualne znenie zakona. Administrativne spachany DoS je stale to mensie zlo nez zachovat status quo, ktore sa naopak zachovat nesmie.
-
null null (neregistrovaný)
@Atlasz
Jenomže jedna věc je do toho strkat nos (upozornit, nahlásit nadřízenému) a druhá je veřejně oznámit že jde něco vykrást - to se pak nesmíš divit že si pro tebe třeba i přijde policie. A to jsme, jako v každém nedokonalém případě, nenakousli ani licencování. To že je něco státní neznamená že je to tvoje. Ty doby skončily v 89'
" bez ohladu na aktualne znenie zakona"
No tak to se rozhodně pleteš a neměl bys tak moc hledět na americké akční filmy. Taky mám rád Chucka Norrise apod., ale jsou to jenom filmy. Až na Chucka, ten je opravdový ;-)
11. 7. 2019, 14:47 editováno autorem komentáře
-
Ondra Satai NekolaZlatý podporovatel
Fakt mne bere, jak někdy brečíš nad svobodou projevu a jindy se nemají divit, když na ně přijde policie.
-
Ondra Satai NekolaZlatý podporovatel
Jsem měl za to, že tohle už jsme si všichni vyešili za prvních crypto wars.
Ale další generace asi musí znova, co? -
Detailně se problému zveřejňování zranitelností věnuji zde: https://www.cleverandsmart.cz/mely-by-se-informace-o-zranitelnostech-zverejnovat/. V diskusi pod článkem jsou uvedeny i odkazy na příslušné standardy, a pokud jste ještě nehlasovali, tak můžete v anketě na konci článku vyjádřit svůj názor.
-
null null (neregistrovaný)
@MCE
:-D 50/50 :-D
Dobrý článek. A to je přesně ono.
Nicméně podle mě jsou dvě roviny. U privátního SW, tam se ho nikdo neprosí aby tam lezl, v něčem se vrtal a něco někde zveřejňoval. Co je mu do toho co kdo dělá? Nic.
U veřejného, mám na mysli státního SW, by podle mě jako občan měl nějak mít právo se vrtat nebo zabývat, nicméně správný postup by měl být že jednak voliči přes své zástupce uzákoní dejme tomu nějaké bugbounty na státní SW, možná aspoň Give a Credit. Pokud se ale vrtá a nikdo nereaguje, státní správa že, tak má jít za nadřízenými a pokud potřebuje i rozvíjet své filmařské dovednosti, tak to poslat jim a vyděsit je, ne publikovat možnou díru. Ono totiž, a to ti tam myslím v tom článku chybí, díky takové pozornosti může někdo odhalit něco jiného o čem skutečně nikdo neví - jako např. řetezy zranitelností u Intelu, že ...8. 7. 2019, 14:18 editováno autorem komentáře
-
Je to jediné řešení, které dlouhodobě vede ke zlepšení situace. Alternativa je nechat bezpečnostní díru na svém místě. Uživatelé služby se o ohrožení nedozví a autor děravého SW bude prodávat nebezpečný produkt třeba další desetiletí. Úplné zveřejnění (nebo hrozba zveřejnění) je často to jediné, co může někoho takového "motivovat" k opravě, nebo ho to dovede k následkům za vědomý prodej nebezpečného produktu.
-
Mne osobně by spíše zajímalo, proč není v té chvíli soudně popotahován i zodpovědný pracovník, který tu informaci ignoroval. Kdyby kromě specialisty, který exploit zveřejnil, šlo na tři roky do vězení i několik úředníků a provozovatel daného systému, tak by to dost pomohlo.
Situace, kdy by měl jít sedět jen ten specialista, by naopak dost uškodila - veřejně by se potvrdilo, že nic neřešit a všechno ignorovat je to nejlepší, co by provozovatel jakéhokoliv systému měl dělat.
-
V tom je kouzlo zveřejňování. Když se vývojář ozve, slabina se dostane ven většinou až po záplatě. Pokud se o opravu chyby zajímají, nebývá většinou problém prodloužit termín zveřejnění.
K popotahování zodpovědných osob nebo společností dochází až po tom, co se zákazníci dozví o zveřejnění chyby i s "proof of concept" kódem a informací, že chybu nikdo nechtěl řešit. V tomto případě zkusil kontaktovat i dotčené místní úřady. Možná proto se to tento případ takhle hrotí, úředníci přece nepřiznají vinu. Jednoduší je předhodit lvům toho mediálně populárního "zlého hekra v kapuci".
Citace ze spojeneckého webu [https://www.lupa.cz/clanky/pavol-luptak-nethemba-pro-stat-bych-uz-nikdy-nepracoval/?utm_medium=kolotoc&utm_source=mesec-cz&utm_campaign=pavol-luptak-nethemba-pro-stat-bych-uz-nikdy-nepracoval]:
"... Jenže oni si ani nedokázali správně napsat vlastní nabídku a slovo od slova ji zkopírovali z textů na našem webu. Představ si, že s někým tuneluješ půl milionu eur a nejsi schopný si napsat ani vlastní nabídku. Na krádež textů jsem je upozornil a oni mi – místo omluvy nebo jiného smírného řešení situace – začali z pozice státního podniku vyhrožovat žalobami kvůli poškozování dobrého jména."
