On 11 Kwi, 15:22, Krzysztof Halasa <k...@p...waw.pl> wrote:

> Ja bym raczej napisal, ze wyludzenie to skorzystanie z nieswiadomosci
> drugiej strony co do przedmiotu transakcji ale moze to tylko taka
> moja definicja.

Prokuratura zdecyduje czy Twoja czy moja definicja miała w TYM
przypadku zastosowanie.

> > Rozprawa może potrwać i dwa lata,
> > w czasie której podejrzanego czeka wiele nieprzyjemności (nawet
> > włącznie z aresztem), a na pewno zatrzymaniem "narzędzia przestępstwa"
> > czyli sprzętu komputerowego.
> Strach ma wielkie oczy, potegowane przez niewiedze.

Zgadza się, dlatego jeśli czegoś nie wiem to pytam adwokata. Hack.pl
najwyraźniej tego nie zrobił.

> To nie tak. Raczej "jak ktos cos takiego robi, to niech robi to
> tak, by nikt go nie namierzyl".

To na pewno.

> Myslisz, ze jesli nikt nie zglosi takiemu np. home.pl jakiejs dziury,
> to po prostu tej dziury nie ma i nikt jej nie wykorzysta?

Jeśli ktoś tę dziurę znajdzie i zamiast powiadomić Home.pl wjedzie do
nich to być może Home.pl poniesie straty z punktu widzenia P-R. A
jeśli poniesie straty to być może nauczy się:

1) reagować na zgłaszane błędy nawet jeśli uważają że nie są błędami,
2) prowadzić regularne, zewnętrzne testy penetracyjne albo uruchomić
soft do tego

Jeśli nie, to po paru takich wypadkach wyleci z rynku. I równowaga w
przyrodzie będzie zachowana.

> Zdecydowanie wolalbym dostac maila z informacja o dziurze i oferta
> na 200 kzl (zawsze mozna negocjowac, sa tez inne mozliwosci) niz gdyby
> ktos po prostu sie wlamal i zrobil duzo gorsze rzeczy.

To następnym razem jako potulny dostaniesz "ofertę" na 500k.

> > Jeśli decydujemy się na zgłoszenie dziury to musi mieć ono taką
> > postać, by nie było najmniejszych wątpliwości co do intencji autora.
> A jesli ten chce zarobic?

To musi zadziałać tak żeby zarobić i nie pójść siedzieć. Tylko tyle.
Przykro mi ale nie ma tutaj żadnej recepty.

Pracując w testach penetracyjnych miałem jeden taki przypadek, że
znaleźliśmy dziurę w produkcie bez zlecenia klienta. W wyniku
długotrwałych działań dyplomatycznych dostaliśmy zlecenie na jej
załatanie. Podkreślam "długotrwałych" i "dyplomatycznych".

Przykład drugi - pewna firma opublikowała "raport o dziurach w SSL
polskich banków", licząc na wysyp zamówień z tychże banków. Komentarz
od bankowca na jakiejś konferencji: "na pewno nic u nich nie
zamówimy".

Czujesz różnicę między tymi dwoma skrajnymi przypadkami?

> > Nikt nie zaufa
> > szantażyście.
> Masz tez chyba inna definicje szantazu.

Wytłumaczysz bankom że akcja Hack.pl nie była w rzeczywistości
szantażem i że powinni ich teraz jednak zatrudniać przy testach? Ale
one stosują SWOJĄ definicję, a nie Twoją i co im zrobisz? :)

> Tyle ze ktos moze chciec sprzedac informacje o dziurze a nie
> rozpoczac prace w charakterze etatowca.

Chcieć zawsze może.

> Piszesz tak jakby ten, kto znalazl dziure, byl przynajmniej o krok
> od przestepstwa, a firma miala mu robic wielka łaskę, ze za
> informacje o dziurze (+ oferte) nie wpakowali go do wiezienia.
> Rozumialbym ze tak czuja to ludzie z gimnazjum - oni maja prawo
> nie miec pojecia o zasadach w "interesie" i myslec, ze zarabianie
> na chleb moze opierac sie na "robieniu przyslug" i "liczeniu na
> wdziecznosc".

Zarabianie na chleb w tej branży wiąże się przede wszystkim z
zaufaniem. Hack.pl zaufania nie wzbudził, a Home.pl nie miało
obowiązku przyjąć ich oferty.