On 13.04.2007, Paweł 'Róża' Różański <r...@r...onet.pl> wroted:

>>>> Jak weryfikujesz "wykrycie braku zabezpieczeń"? Sprawdzenie, czy na
>>>> pewno wykryłeś dziurę jest już "uzyskiwaniem nieautoryzowanego dostępu"
>>>> itd.
>>> A dowodem na to jest ...
>> A to już zupełnie inna bajka. Choćby radosne poinformowanie o fakcie
>> właściciela rzeczonego systemu.
>
> Czyli, podsumowując, jeśli - nie daj RNG - znajdziesz buga, który podpada
> pod 'uzyskanie nieautoryzowanego dostępu'[1] to albo milczysz jak grób,
> albo, jeśli zechcesz już o tym porozmawiać, to nie z właścicielem, bo
> będzie miał dowód?

Zawsze istnieje ryzyko, że zamiast Ci podziękować, zacznie Cię ścigać. A wtedy
tak, czynności związane ze zgłoszeniem dziury mogą być dowodem na "uzyskanie
nieautoryzowanego dostępu" etc.
[...]

> [1] Niby na którym etapie miała niby miejsce _autoryzacja_ w przypadku
> opisanego dostępu do serwisu MEN?
[...]

Nie mówię o dziurze w CMSie MEN. Mówię o tym, że _technicznie_ w bardzo wielu
przypadkach weryfikacja odkrycia dziury jest "uzyskiwaniem nieautoryzowanego
dostępu" etc. Jeśli właściciel serwisu z takich czy innych przyczyn zechce
Cię wobec tego ścigąć, ma szanse Ci zaszkodzić.

GS
--
Grzegorz Staniak <gstaniak _at_ wp [dot] pl>