"kravietz" <p...@n...hush.com> writes:

> Prokuratura zdecyduje czy Twoja czy moja definicja miała w TYM
> przypadku zastosowanie.

Kazdy ma prawo o tym zdecydowac, wiec pracownicy prokuratury
takze :-)

> Zgadza się, dlatego jeśli czegoś nie wiem to pytam adwokata. Hack.pl
> najwyraźniej tego nie zrobił.

Wiesz, szczerze mowiac nie czytalem tych listow, i domyslam sie
ze sama forma mogla byc wadliwa. Ale to nie znaczy ze kazda jest
wadliwa, i ze sama proba sprzedazy informacji o dziurze temu, kogo
owa dziura dotyczy, zasluguje na potepienie.

> Jeśli ktoś tę dziurę znajdzie i zamiast powiadomić Home.pl wjedzie do
> nich to być może Home.pl poniesie straty z punktu widzenia P-R. A
> jeśli poniesie straty to być może nauczy się:
>
> 1) reagować na zgłaszane błędy nawet jeśli uważają że nie są błędami,
> 2) prowadzić regularne, zewnętrzne testy penetracyjne albo uruchomić
> soft do tego

Dokladnie tego samego powinna ich nauczyc obecna sprawa, jesli
wczesniej tego nie wiedzieli (a powinni).
Poza tym slowo "albo" jest tu nie na miejscu, uruchomienie testu
nie zastapi prawdziwych testow (swoja droga, jakie glupoty
potrafia przysylac "audytorzy" w ramach "wstepnego testu i oferty
audytu" to az trudno powtorzyc).

>> Zdecydowanie wolalbym dostac maila z informacja o dziurze i oferta
>> na 200 kzl (zawsze mozna negocjowac, sa tez inne mozliwosci) niz gdyby
>> ktos po prostu sie wlamal i zrobil duzo gorsze rzeczy.
>
> To następnym razem jako potulny dostaniesz "ofertę" na 500k.

A dlaczego? Czyzby cena informacji sie zmienila? Cena z oferty jest
oczywiscie bez znaczenia, liczy sie sposob zalatwienia sprawy
(i poniesione koszty).
Przeciez nie napisalem ze place tyle za cokolwiek.

> To musi zadziałać tak żeby zarobić i nie pójść siedzieć. Tylko tyle.

No wlasnie! O to wlasnie chodzi - to nic zlego, trzeba tylko zrobic
to sensownie.

> Pracując w testach penetracyjnych miałem jeden taki przypadek, że
> znaleźliśmy dziurę w produkcie bez zlecenia klienta.

To jest zupelnie inna sprawa i zupelnie czego innego potrzebuje
"zleceniodawca".

> Przykład drugi - pewna firma opublikowała "raport o dziurach w SSL
> polskich banków", licząc na wysyp zamówień z tychże banków.

Dziwni jacys, przeciez "raport" zawieral juz potrzebne informacje,
po co ktos mialby ich zatrudniac? Z okazji drugiej edycji "raportu"?

> Wytłumaczysz bankom że akcja Hack.pl nie była w rzeczywistości
> szantażem i że powinni ich teraz jednak zatrudniać przy testach? Ale
> one stosują SWOJĄ definicję, a nie Twoją i co im zrobisz? :)

Z braku szantazu nie wynika, ze musza byc natychmiast zatrudnieni.

>> Tyle ze ktos moze chciec sprzedac informacje o dziurze a nie
>> rozpoczac prace w charakterze etatowca.
>
> Chcieć zawsze może.

To moze inaczej - ktos moze nie chciec pracowac na takim etacie.

> Zarabianie na chleb w tej branży wiąże się przede wszystkim z
> zaufaniem.

Przy audytach, ale to jest zupelnie inna sprawa.

> Hack.pl zaufania nie wzbudził,

Sama nazwa juz nie wzbudza.
Domyslam sie ze to jacys mlodzi ludzie bez wielkiego wyczucia itp.

> a Home.pl nie miało
> obowiązku przyjąć ich oferty.

No jasne ze nie. Wlasciwie, w praktyce mialo obowiazek jej nie
przyjac. Ale samo zlozenie oferty to nic zlego, po prostu mlodzi
ludzie musza nauczyc sie, ze niektore rzeczy zalatwia sie inaczej,
i ze nie zawsze wychodzi.
--
Krzysztof Halasa