Cytat(pyro @ 20.06.2013, 10:31:58 ) 
Pozdrowieniami z mojej strony i życzeniem sukcesów w sądzie 
Jakby zgłosili sprawę to bez problemu by wygrali. Mieli logi? Zapewne mieli. Maile od Ciebie również. Udowodnić winę nie byłoby trudno.
Pełna wersja: Znalezienie błędu w skrypcie
Jakby zgłosili sprawę to bez problemu by wygrali. Mieli logi? Zapewne mieli. Maile od Ciebie również. Udowodnić winę nie byłoby trudno.
Cytat(b4rt3kk @ 20.06.2013, 10:37:50 )
Jakby zgłosili sprawę to bez problemu by wygrali. Mieli logi? Zapewne mieli. Maile od Ciebie również. Udowodnić winę nie byłoby trudno.
Narobiliby sobie kłopotów prędzej.
Cytat(b4rt3kk @ 20.06.2013, 10:37:50 )
Jakby zgłosili sprawę to bez problemu by wygrali. Mieli logi? Zapewne mieli. Maile od Ciebie również. Udowodnić winę nie byłoby trudno.
Nawet jakby rzeczywiście w logach były moje dane to byłoby im trudno. Ale czy ja gdziekolwiek wspomniałem, że w tych logach są moje dane?
Cytat(pyro @ 20.06.2013, 10:50:23 )
Nawet jakby rzeczywiście w logach były moje dane to byłoby im trudno. Ale czy ja gdziekolwiek wspomniałem, że w tych logach są moje dane?
No skoro połączyłeś się z ich bazą.
@b4rt3kk, chyba nie mamy o czym gadać. Raczej tylko programiści zrozumieją ;p
Witam ponownie.
Aktualnie sprawa wygląda tak: skontaktowałem się z autorem skryptu proponując kwotę X zł netto za informacje + poprawę błędu. W odpowiedzi otrzymałem, że może to być kwota Y zł brutto. Odpisałem, że zgadzam się, ale żeby to była kwota netto (FV). Na tym "negocjacje" się zakończyły, rozumiem, że autor nie jest zainteresowany wyeliminowaniem błędu.
Zebrałem zatem kilkadziesiąt adresów stron, opartych na tym lub innym systemie tej firmy. Planuję skontaktować się bezpośrednio z klientami proponując usunięcie błędu. Nie mam jednak 100% pewności, że w danej wersji skryptu błąd również występuje. Jest to bardzo prawdopodobne, ale bez fizycznej próby jego wykorzystania nie jestem w stanie tego zweryfikować.
Moje pytanie zatem: czy jeśli napiszę do danego serwisu, że w wykorzystywanym przez nich oprogramowaniu może znajdować się krytyczny błąd w bezpieczeństwie, a okaże się, że takowego błędu nie ma, to czy autor skryptu może mieć w stosunku do mnie jakieś roszczenia (np. psucie wizerunku firmy)? Czy błąd jest czy go nie ma mógłbym stwierdzić jedynie po otrzymaniu zgody od danego serwisu na próbę dokonania włamania.
Pozdrawiam,
pion
Aktualnie sprawa wygląda tak: skontaktowałem się z autorem skryptu proponując kwotę X zł netto za informacje + poprawę błędu. W odpowiedzi otrzymałem, że może to być kwota Y zł brutto. Odpisałem, że zgadzam się, ale żeby to była kwota netto (FV). Na tym "negocjacje" się zakończyły, rozumiem, że autor nie jest zainteresowany wyeliminowaniem błędu.
Zebrałem zatem kilkadziesiąt adresów stron, opartych na tym lub innym systemie tej firmy. Planuję skontaktować się bezpośrednio z klientami proponując usunięcie błędu. Nie mam jednak 100% pewności, że w danej wersji skryptu błąd również występuje. Jest to bardzo prawdopodobne, ale bez fizycznej próby jego wykorzystania nie jestem w stanie tego zweryfikować.
Moje pytanie zatem: czy jeśli napiszę do danego serwisu, że w wykorzystywanym przez nich oprogramowaniu może znajdować się krytyczny błąd w bezpieczeństwie, a okaże się, że takowego błędu nie ma, to czy autor skryptu może mieć w stosunku do mnie jakieś roszczenia (np. psucie wizerunku firmy)? Czy błąd jest czy go nie ma mógłbym stwierdzić jedynie po otrzymaniu zgody od danego serwisu na próbę dokonania włamania.
Pozdrawiam,
pion
Cytat(phpion @ 24.06.2013, 11:04:30 )
Czy błąd jest czy go nie ma mógłbym stwierdzić jedynie po otrzymaniu zgody od danego serwisu na próbę dokonania włamania.
Poproś o zgodę na przeprowadzenie testu bezpieczeństwa. Otrzymasz zgodę i stosowny dokument, nie będzie żadnego łamania prawa.
Tak, zgadza się. Chodzi mi jednak o to czy jeśli takowego błędu nie będzie w danej wersji oprogramowania, to czy jego autor mógłby mi zarzucić działanie na swoją szkodę, pomówienie, cokolwiek.
phpion - tak.
Mało prawdopodobne, że zarobisz. Pierwsze co bym zrobił to zadzwonił do wykonawcy skryptu, że jakiś "gość" mi wmawia że system jest dziurawy. Kazał to poprawić.
Mało prawdopodobne, że zarobisz. Pierwsze co bym zrobił to zadzwonił do wykonawcy skryptu, że jakiś "gość" mi wmawia że system jest dziurawy. Kazał to poprawić.
Błąd może występować, nie musi. Aktualnie posiadasz odpowiednie dowody nt. nie działania na niekorzyść firmy (posty na forum, korespondencja z firmą) itd. Jeśli się uprą to i tak sprawę do sądu skierują.
Memory, na czym opierasz wniosek iż będzie to pomówienie? Jeżeli informujesz, iż luka występowała w poprzedniej wersji oprogramowania (a to jest fakt) i masz w związku z tym podstawy by sądzić, iż być może występuje nadal, a na życzenie klienta możesz przeprowadzić audyt bezpieczeństwa, aby to potwierdzić lub nie, to gdzie tu pomówienie? Zwłaszcza, iż najpierw zgłosił się do autora skryptu, tylko nie doszli do porozumienia w kwestii finansowej.
Pytanie brzmi, czy klienci tej firmy mogą pozwolić Ci na taki audyt.
Pytanie brzmi, czy klienci tej firmy mogą pozwolić Ci na taki audyt.
Też mi się wydaje, że nikt raczej nie będzie mógł mi niczego zarzucić, ale wolę poddać to "dyskusji". Kwota jaką chcę zaproponować pojedynczemu klientowi to po prostu stawka godzinowa (sprawdzenie + zmiany zajmą godzinę) więc nie będą to przerażające koszty. Pełnego audytu nie będę robił, a jedynie sprawdzę istnienie tej znalezionej luki.
Miałam na myśli to, czy licencja pozwala klientom na takie audytowanie .
.
A czy licencja musi na to pozwalać? Na pewno pozwala na ingerencję w kod w celu nanoszenia własnych modyfikacji.
Daiquiri - jeżeli przeprowadzi audyt na życzenie klienta to wszystko ok.
Cytat(phpion @ 24.06.2013, 13:00:59 )
A czy licencja musi na to pozwalać? Na pewno pozwala na ingerencję w kod w celu nanoszenia własnych modyfikacji.
Miałam na myśli poprawki kodu . To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.