Michal Zalewski wrote:

>>> https://hack.pl/_admin/login.php?user=admin&pass=adm
in
>> Tylko, że tego nie robili... Żadnego przekazywania parametrów.
> No czyli co, kryterium sa w koncu parametry, czy zlozonosc - czyli jesli
> byloby login.php?pass=123 to jest to przelamanie zabezpieczenia, a jesli
> zrobili fubar/123, to nie jest?

I parametry, i złożoność, zapewne. A tak poważenie, uważasz, że dane były
_zabezpieczone_?
I druga sprawa. Ktoś korzysta z jakiejśtam usługi. Rzuca mu się w oko
możliwa dziura (ale nie ma pewności, że faktycznie działa). To co on ma
bidulek zrobić (testować samemu czy zawracać głowę adminowi)? A jeśli
znalezienie możliwości nadużycia czegośtam wymaga specyficznej wiedzy, czy
nie ma prawa żądać wynagrodzenia za wiedzę? Jak ma złożyć ofertę audytu,
nie sprzedając jednocześnie danych o dziurze? Dla mnie to jest główny
problem.

> A co jesli ktos korzysta z PATH_INFO?;)

A tego się przypadkiem nie da wyłączyć w konfigu php/serwera?

> Btw, ja sie nie staram wykazac, ze cokolwiek przelamali. Ja po prostu nie
> wiem, jak rozumiec wole ustawodawcy, ale mam niejasne przeczucie, ze
> nalezy podchodzic do tego jak do jeza.

A to na pewno. Ale używanie słowa 'włamanie' i wzywanie ABW na pomoc to w
tym kontekście IMO odpowiednio nadużycie i overkill.

>> Jaką 'nie do odrzucenia'? IMO wyszło śmiesznie/żałośnie. Czy Microsoft
>> gania po sądach 'pryszczersów' jak któryś napisze Microshit?
> Ja tam widze pewna roznice miedzy obrazaniem kogos, a pisaniem mu, ze jak
> nie zaplaci dwoch bazylionow dolarow, to <costam>.

Chodzi o stosunek akcji do reakcji, przede wszystkim. Zresztą, wyobraź
sobie, że napisałeś książkę. Piszesz do redakcji, że jak nie zapłacą 200k
zł, to opublikujesz ją w necie (tak, wiem nie do końca to samo co pisać o
kimś). To też szantaż?

> Nie wiem, jak
> zareagowalby na to Microsoft, podejrzewam jednak, ze gdyby wygladalo to
> chocby pol wiarygodnie i pochodzilo z USA, doniesliby do FBI.

USA nie jest dobrym przykładem, tam posągi molestują studentów. ;)