"kravietz" <p...@n...hush.com> writes:

> Całkowicie niedopuszczalne z ich
> strony było jednak uzależnienie ujawnienia informacji o szczegółach
> dziury od zapłacenia autorom 200 tys. zł. Jest to działanie, które
> łatwo można
> podciągnąć pod próbę wyłudzenia, co samo w sobie jest przestępstwem.

To chyba mamy rozne definicje wyludzenia. Oferta sprzedazy informacji,
uzyskanej bez naruszenia prawa i dobrych obyczajow, gdy zadna ze
stron nie ma watpliwosci co do wartosci i rodzaju tej informacji,
a kontrowersyjna jest co najwyzej zaproponowana cena, to wyludzenie?

Ja bym raczej napisal, ze wyludzenie to skorzystanie z nieswiadomosci
drugiej strony co do przedmiotu transakcji ale moze to tylko taka
moja definicja.

> Co powinien więc zrobić ktoś, kto znajdzie dziurę w cudzym serwisie
> internetowym? Jeśli nie chce ryzykować, to najlepiej nic. Brzmi to
> brutalnie, ale taka jest prawda - uzyskanie dostępu do informacji z
> przełamaniem zabezpieczeń jest w Polsce karalne (art. 267 KK),

Z tym ze to zupelnie inna sprawa i wymaga:
a) przelamania zabezpieczen
b) uzyskania informacji innych niz np. publiczne.

A tu nie wiem czy ktorys z tych punktow byl spelniony (ale moze byl
jeden).

> Rozprawa może potrwać i dwa lata,
> w czasie której podejrzanego czeka wiele nieprzyjemności (nawet
> włącznie z aresztem), a na pewno zatrzymaniem "narzędzia przestępstwa"
> czyli sprzętu komputerowego.

Strach ma wielkie oczy, potegowane przez niewiedze.

> Niech zatem za bezpieczeństwo swoich
> serwerów odpowiadają ich właściciele.

To nie tak. Raczej "jak ktos cos takiego robi, to niech robi to
tak, by nikt go nie namierzyl".
Myslisz, ze jesli nikt nie zglosi takiemu np. home.pl jakiejs dziury,
to po prostu tej dziury nie ma i nikt jej nie wykorzysta?

Zdecydowanie wolalbym dostac maila z informacja o dziurze i oferta
na 200 kzl (zawsze mozna negocjowac, sa tez inne mozliwosci) niz gdyby
ktos po prostu sie wlamal i zrobil duzo gorsze rzeczy.

> Jeśli decydujemy się na zgłoszenie dziury to musi mieć ono taką
> postać, by nie było najmniejszych wątpliwości co do intencji autora.

A jesli ten chce zarobic?

To tak jak z wojskiem - sa poborowi, ale sa tez najemnicy.

Zreszta home.pl moglo im odmowic i samemu poszukac, jesli im sie
to oplacalo bardziej.

> Nikt nie zaufa
> szantażyście.

Masz tez chyba inna definicje szantazu.

Poza tym podstawowa zasada w bezpieczenstwie nie tylko IT jest
inna - "nie ufaj nikomu".

> Jeśli natomiast zgłoszenie dziury będzie utrzymane w
> formie nie pozostawiającej wątpliwości co do przyjaznych intencji
> zgłaszającego, to nic nie stoi na przeszkodzie żeby zaoferować swoje
> usługi w którymś z kolejnych maili, już po wyjaśnieniu kwestii
> związanych ze zgłaszanym problemem i najlepiej po załataniu dziury.

Tyle ze ktos moze chciec sprzedac informacje o dziurze a nie
rozpoczac prace w charakterze etatowca.


Piszesz tak jakby ten, kto znalazl dziure, byl przynajmniej o krok
od przestepstwa, a firma miala mu robic wielka łaskę, ze za
informacje o dziurze (+ oferte) nie wpakowali go do wiezienia.
Rozumialbym ze tak czuja to ludzie z gimnazjum - oni maja prawo
nie miec pojecia o zasadach w "interesie" i myslec, ze zarabianie
na chleb moze opierac sie na "robieniu przyslug" i "liczeniu na
wdziecznosc".

A tu sytuacja jest inna - home.pl dalo d* (nie zeby byli tu
wyjatkiem, to raczej norma niz wyjatek), i to ich sprawa/problem
i oni musza cos z tym zrobic.
--
Krzysztof Halasa