On Sun, 8 Apr 2007, [UTF-8] Miroslaw Jaworski wrote:

> "... przeszkoda zabezpieczająca mienie nie powinna mieć charakteru
> symbolicznego lecz powinna być przeszkodą realną, broniącą rzeczywiście
> dostępu (...)"

Odnosiłem się tutaj do testowania zabezpieczeń cudzych witryn WWW jako
takiego, bez rozpatrywania, jak sąd zinterpretuje konkretną aktywność, bo
tego po prostu nie wiem, niezależnie od tego, ile ustaw przejrzę. Nie jest
dla mnie jasne, do jakiego momentu "tajny" URI jest zabezpieczeniem
symbolicznym, od jakiego - nietrywialnym; albo czy do różnych części URI
należy stosować inne reguły (czyli czy np. '/stats' jest równoważne
'/login?user=admin&pass=admin').

Pisałem o tym jeno po to, by zaznaczyć, że szeroko rozumiane praktyki tego
typu są ryzykowne, zwykle jest pargraf, który pozwala *przynajnniej* na
rozpoczęcie postępowania, i że atakujący jest w związku z tym na łasce
atakowanego, który może, ale nie musi, grać przyzwoicie - więc w interesie
testera jest wykazanie się dobrą wolą, a i tak musi on się liczyć z
ryzykiem.

Jeśli chodzi o osobisty stosunek do tego typu spraw - w życiu nie
przyszłoby mi do głowy ścigać ludzi, którzy coś tam sobie z ciekawości
dłubią, i nie uważam tego za coś szczególnie złego.

> Kto jak kto, ale Ty doskonale powinieneś wiedzieć, jaki był techniczny
> aspekt tego przypadku. W tym kontekście Twoja pro-homenet'owa wypowiedź
> ( "[...] mamy do czynienia z próbą przełamania [...]" )

Wypowiedź w dalszej części była pro-homenetowa, ale w tym akurat
fragmencie, jeszcze do tego nie doszła ;-) Po prostu chciałem wyjaśnić,
czemu dla mnie kwestia intencji jest tu tak ważna.

/mz