Witam,
Chciałem przedstawić Wam moją sprawę i zapytać co o tym myślicie jako osoby bliższe programowaniu niż prawnicy. Na forum pisałem pod innym nickiem ale mam nadzieję, że moderatorzy wybaczą mi to małe multikonto... Poza tym niech to będzie przestroga dla wszystkich, którzy mogliby stanąć w obliczu podobnej sytuacji.
Treść: http://prawo.vagla.pl/node/7149
Ps. Dziękuje wszystkim ludziom, choć jest ich niewielu, którzy zaoferowali mi pomoc w sprawie, szczególnie Poradni Prawnej Callidus .
Pozdrawiam
Cytat(Licorne @ 15.03.2007, 20:28:09 ) 
Na forum pisałem pod innym nickiem ale mam nadzieję, że moderatorzy wybaczą mi to małe multikonto...
A dlaczego mieliby to zrobić?Płaczesz na prawo a tutejsze zasady olewasz. Ja z kolei mam nadzieję że dostaniesz za to ostrzeżenie
Cytat
Przeglądając źródło strony zauważyłem, że są tam liczne błędy, po czym wpisałem w formularz do logowania następujący ciąg znaków: ' or 1=1;-- Spowodowało to, że zostałem zalogowany na konto losowego użytkownika.
Cytat
Problem w tym, że chłopak podnosi, iż żadnych zabezpieczeń w serwisie internetowym nie było, więc nie mógł ich też przełamać.
Taaaa, wszedłeś a tam ukryte dane były na stronie głównej.Formularz logowania służy do weryfikacji dostępu. Ty dostępu do danych nie miałeś a jednak go nielegalnie zdobyłeś. Utrzymywanie, że zabezpieczeń nie było jest śmieszne.
Cytat
Przesłał mi umowę-zlecenie, umowę o współpracy a także umowę o zachowaniu poufności. (...) po krótkiej rozmowie, wyciągnięciu ode mnie informacji jak naprawić błędy, podsunięto mi umowę o poufności, którą podpisałem.
1. Jak mamy to wszystko ocenić skoro nie wiemy co podpisałeś? Może umowa, którą podpisałeś jednoznacznie wskazuje na Twoją winę.2. Tu będę brutalny: Frajer jesteś, że się wygadałeś
@mike_mech moze nie tyle frajer ile pazerniak po co zyczyles sobie kase za "naprawe" skryptu. trzeba bylo tylko napisac ze sa luki w systemie i je wskazac a nie odrazu oferowac sie skoro ktos to napisal i wzial za to kase to pewnie firma by sie do nich zwrocila z ta sprawa.
pzdr
pzdr
Cytat(mike_mech @ 15.03.2007, 20:57:56 )
A dlaczego mieliby to zrobić?
Płaczesz na prawo a tutejsze zasady olewasz. Ja z kolei mam nadzieję że dostaniesz za to ostrzeżenie
Płaczesz na prawo a tutejsze zasady olewasz. Ja z kolei mam nadzieję że dostaniesz za to ostrzeżenie
Bo może uznają to za słuszne. Nie 'płacze' na prawo i żadnych zasad nie olewam jeśli nie muszę. Stary nick jest łatwy do odnalezienia w necie a wolałbym żeby moje dane osobowe nie były jeszcze ujawnione. Stąd nowe konto, a jeśli moderatorzy uznają, że należy mi się ostrzeżenie to pewnie je dostanę.
Cytat(mike_mech @ 15.03.2007, 20:57:56 )
Taaaa, wszedłeś a tam ukryte dane były na stronie głównej.
Formularz logowania służy do weryfikacji dostępu. Ty dostępu do danych nie miałeś a jednak go nielegalnie zdobyłeś. Utrzymywanie, że zabezpieczeń nie było jest śmieszne.
Formularz logowania służy do weryfikacji dostępu. Ty dostępu do danych nie miałeś a jednak go nielegalnie zdobyłeś. Utrzymywanie, że zabezpieczeń nie było jest śmieszne.
Mike... tyle Twoich postów czytałem na forum i spodziewałem się bardziej uzasadnionej, przemyślanej i rozsądnej odpowiedzi :-) Niżej napiszę kilka słów, które może coś wniosą do sprawy.
Cytat(mike_mech @ 15.03.2007, 20:57:56 )
1. Jak mamy to wszystko ocenić skoro nie wiemy co podpisałeś? Może umowa, którą podpisałeś jednoznacznie wskazuje na Twoją winę.
Umowa o poufności to... umowa o poufności
Treść tej umowy zobowiązuje mnie do nie udzielania informacji o firmach, ich nazw i lukach jakie znajdowały się w stronach www. Cytat(mike_mech @ 15.03.2007, 20:57:56 )
2. Tu będę brutalny: Frajer jesteś, że się wygadałeś
Hmm... wydaje mi się czy łamiesz regulamin? :roll2: - "mam nadzieję że dostaniesz za to ostrzeżenie".
--edit--
Nie mówię tego poważnie i nie czuję się urażony
--/edit--
Wracając do sprawy:
Cytat
SQL Injection - luka w zabezpieczeniach polegająca na nieodpowiednim filtrowaniu lub niedostatecznym typowaniu i późniejszym wykonaniu danych przesyłanych w postaci zapytań SQL do bayz danzch. Podatne są na niego systemy złożone z warstwy programistycznej dynamicznie generującej zapytania do bazy danych. Wynika on zwykle z braku doświadczenia lub wyobraźni programisty.
Źródło: http://pl.wikipedia.org/wiki/SQL_Injection
Cytat
„(...) Analiza zakazu prowadzi do wniosku, że karze podlega nie tyle uzyskanie nieuprawnionego dostępu do systemu, lecz uzyskanie (tj. zapoznanie się z treścią) informacji przechowywanej w systemie i pod warunkiem, że nastąpi to na skutek przełamania zabezpieczeń.
Tak więc, przykładowo, skopiowanie danych lub wykorzystanie dziury w oprogramowaniu, które nie wiąże się z koniecznością łamania haseł dostępu, karalne nie jest. Dalsza analiza prawna tego przypadku prowadzi do wniosku (który wykorzysta każdy obrońca), że uzyskanie chronionej informacji, np. metodami "inżynierii społecznej" nie narusza prawa, bo sprawca nie łamie zabezpieczeń, lecz je obchodzi, stosując np. podstęp.”
Tak więc, przykładowo, skopiowanie danych lub wykorzystanie dziury w oprogramowaniu, które nie wiąże się z koniecznością łamania haseł dostępu, karalne nie jest. Dalsza analiza prawna tego przypadku prowadzi do wniosku (który wykorzysta każdy obrońca), że uzyskanie chronionej informacji, np. metodami "inżynierii społecznej" nie narusza prawa, bo sprawca nie łamie zabezpieczeń, lecz je obchodzi, stosując np. podstęp.”
Źródło: http://www.pckurier.pl/archiwum/art0.asp?ID=3966
Więc... formularz faktycznie jest zabezpieczeniem - jednak nie był on poprawnie napisany, nie był zabezpieczeniem rzeczywistym, w rzeczywistości sam udostępniał niewłaściwe informacje - chyba nie powiesz mi, że SQL Injection jest wynikiem działań, że powstaje, poprzez ingerencję agresora? Jest to ewidentny błąd programisty i to po jego stronie leży wina za istnienie luki. Myślisz, że wpisanie w formularz apostrofu jest 'łamaniem zabezpieczeń'? A co jeśli w moim nicku będzie apostrof? Wpisanie takiego nick już zakłóca pracę aplikacji, a chyba nie uważasz, że apostrof jest szczególnym narzędziem do łamania zabezpieczeń? A co z zarzutem łamania zabezpieczeń serwera
Cały czas myślałem, że SQL Injection to luka w warstwie biznesowej a nie sprzętowej... wyprowadzisz mnie z błędu? Pozdrawiam
Cytat(skowron-line @ 15.03.2007, 21:17:11 )
@mike_mech moze nie tyle frajer ile pazerniak po co zyczyles sobie kase za "naprawe" skryptu.
Czemu? To jest jak najbardziej naturalne.Też bym wskazał błędy i zaoferował swoją pomoc/usługi w sprawie naprawienia ich.
~Licorne miał zamiar sprzedać swoją wiedzę/usługi ale zanim to zrobił oddał je za darmo. To jest gol do swojej bramki.
- Małgosiu gdzie jest Jasio?
- Nie powiem Ci, że jest w szafie dopóki nie dasz mi cukierka.
Cytat(skowron-line @ 15.03.2007, 21:17:11 )
@mike_mech moze nie tyle frajer ile pazerniak po co zyczyles sobie kase za "naprawe" skryptu. trzeba bylo tylko napisac ze sa luki w systemie i je wskazac a nie odrazu oferowac sie skoro ktos to napisal i wzial za to kase to pewnie firma by sie do nich zwrocila z ta sprawa.
pzdr
pzdr
Po to, że nie pracuje za darmo, Ty tak robisz?
Panowie czytajcie dokładnie. Na policję sprawę zgłosiła firma, która WYKONAŁA te strony. Ona też przesłała mi wszystkie umowy. Oni sugerowali mi, że chcą podjąć współpracę, proponowali stały etat itp. Poza tym naprawa stron nie dotyczyła wyłącznie SQL Injection. Przedmiotem umowy była gruntowna przebudowa stron (W3C prawie 200 błędów w produktach firmy, która reklamuje się jako jedna z najlepszych w Polsce), zero jakichkolwiek standardów. Poza tym uważacie, że jeśli ktoś coś robi, robi to tragicznie, to inna osoba nie ma prawa zaproponować naprawy tej fuszerki, a jeśli nawet ośmieli się zauważyć błędy to ma informować o nich, naprawiać za darmo?
Każdy powinien odpowiadać za swoje błędy - programiści także. Chyba, że jesteście zwolennikami idei 'nieważne jak działa, ważne, że działa'.
Cytat(mike_mech @ 15.03.2007, 21:24:06 )
Czemu? To jest jak najbardziej naturalne.
Też bym wskazał błędy i zaoferował swoją pomoc/usługi w sprawie naprawienia ich.
~Licorne miał zamiar sprzedać swoją wiedzę/usługi ale zanim to zrobił oddał je za darmo. To jest gol do swojej bramki.
Też bym wskazał błędy i zaoferował swoją pomoc/usługi w sprawie naprawienia ich.
~Licorne miał zamiar sprzedać swoją wiedzę/usługi ale zanim to zrobił oddał je za darmo. To jest gol do swojej bramki.
To nie wygląda tak do końca... firma projektująca te strony przygotowała intrygę i z premedytacją i po chamsku mnie wykorzystała. Wielokrotnie ustnie przekonywali o tym, że chcą współpracować, a konkretne informacje o lukach przekazałem informatykowi firmy, który obecny był podczas mojej rozmowy z dyrektorem firmy. Dopiero wtedy dowiedzieli się gdzie konkretnie są luki i jakie (poza SQL Injection jeszcze XSS). Oczywiście podczas rozmowy także byłem kilka razy informowany, że podpiszemy umowy, że chcą współpracować itp. Po tym jak ujawniłem dokładne informacje + podpisałem umowę o poufności zjawiła się policja.
...i na koniec jedno konkretne pytanie. Czy według Was - ludzi na co dzień zajmujących się pisaniem aplikacji webowych - SQL Injection jest luką i błędem programisty?
Zatrudnianie partacza, ktory nie ma pojecia
zleceniodawcy, ktory chce zaoszczedzic.
Nie znam w-kow umowy - przyjete opgramowanie po zakonczeniu projektu jest rownowazne z 'zaliczeniem' softu. Blad programisty to i moze jest, ale po zamknieciu projektu zleceniobiorca ( po ile umowa na to nie pozwala ) nie moze juz wiecej niczego wymagac.
To blad programisty jest, ale Polak jest przewaznie madry dopiero po szkodzie
Cytat
jest luką i błędem
zleceniodawcy, ktory chce zaoszczedzic.
Nie znam w-kow umowy - przyjete opgramowanie po zakonczeniu projektu jest rownowazne z 'zaliczeniem' softu. Blad programisty to i moze jest, ale po zamknieciu projektu zleceniobiorca ( po ile umowa na to nie pozwala ) nie moze juz wiecej niczego wymagac.
To blad programisty jest, ale Polak jest przewaznie madry dopiero po szkodzie
Cytat(NuLL @ 16.03.2007, 00:36:34 )
zleceniodawcy, ktory chce zaoszczedzic.
...wierz mi, że tym firmom na pewno nie zależało na pieniądzach
a mnie zastanawia jakim trzeba być zdolnym programistą aby zrobić taki błąd dzięki któremu po przez wpisanie ' or 1=1; logujemy sie na losowe konto .... co to ma wspolnego z losowaniem zresztą nie kamuje jak by co to wchodze na konto gdzie cos = 1 jakos to dziwne.
popier trzeba było sie nie wychylać żyjemy w kraju jakim żyjemy...
popier trzeba było sie nie wychylać żyjemy w kraju jakim żyjemy...
Moim skromnym zdaniem, powinieneś się ograniczyć do poinformowania firmy do której należała witryna i zaproponowania naprawy. A na jakiekolwiek propozycje firmy która zfuszerowała, nawet bym nie odpowiadał. A tym bardziej bym z nimi nie rozmawiał na temat gdzie są błędy i w jaki sposób można je obejść.
Rozmowy na wszelkie tematy oprócz tematu warunków zatrudnienia rozpoczyna się jak się ma w garści UMOWĘ (oczywiście umowę o pracę)
Rozmowy na wszelkie tematy oprócz tematu warunków zatrudnienia rozpoczyna się jak się ma w garści UMOWĘ (oczywiście umowę o pracę)
W komentarzu na tamtym forum autor tego tematu wspomniał, że podpisał umowę o poufności, która nie dawała mu żadnych korzyści.
I tu pojawia się pytanie - dlaczego ją podpisałeś.
Niestety - okazuje się, że siła sugestii różnych "miłych" ludzi zajmujących się przekazywaniem dokumentów i załatwianiem takich spraw, jest naprawdę niesamowita. Wiem o tym, bo sam się kiedyś na taką sytuację naciąłem, gdy bardzo miły klient poinformował mnie o tym, że dokonał w umowie (wcześniej pieczołowicie przygotowanej przez naszych prawników) 2 drobnych korekt, zachęcając mnie oczywiście do tego bym przejrzał całość (z 20 - 30 stron tekstu), sprawdzając czy wszystko się zgadza...
W normalnej sytuacji tekst powinien trafić mailem jak najszybciej z powrotem do prawnika, i dopiero wtedy można by było rozmawiać dalej.
Jednak siła "dobrych chęci" i optymizmu potrafi być straszna, co w efekcie spowodowało, że poza tymi 2 poprawkami, o których rozmawialiśmy nie zauważyłem o wiele ważniejszej zmiany, mogącej doprowadzić nas nawet do bankructwa, a polegającej na zmianie bodajże 1 przecinka.
Na szczęście problem się nie wydarzył (choć mógł). Nauczyło mnie to jednak, by jeszcze dokładniej (a zawsze wydawało mi się, że robię to dokładnie) czytać umowy, i kiedy tylko to możliwe, korzystać z pomocy fachowców.
Żadnych spontanicznych decyzji - w końcu żyjemy w "kraju prawa"....
Swoją drogą - sytuacja naprawdę przedziwna. Tak dziwna, że aż trudno uwierzyć w opisy, które tam przedstawiasz (o wzięciu na komisariat policji, straszeniu bronią lub pobiciem - to sceny jak z "Hakerów") Szkoda tylko, że sądzę, że w naszym kraju jest to naprawdę możliwe.
Co robić w takiej sytuacji? Myślę, że nie oznacza to, że po znalezieniu jakiegoś błędu musimy pozostać bierni.
Sądzę, że poniższe rozwiąząnie
może okazać się najlepsze, zapewniając ochronę i korzyści obu stronom. I jak tu nie utonąć w morzu biurokracji?
I tu pojawia się pytanie - dlaczego ją podpisałeś.
Niestety - okazuje się, że siła sugestii różnych "miłych" ludzi zajmujących się przekazywaniem dokumentów i załatwianiem takich spraw, jest naprawdę niesamowita. Wiem o tym, bo sam się kiedyś na taką sytuację naciąłem, gdy bardzo miły klient poinformował mnie o tym, że dokonał w umowie (wcześniej pieczołowicie przygotowanej przez naszych prawników) 2 drobnych korekt, zachęcając mnie oczywiście do tego bym przejrzał całość (z 20 - 30 stron tekstu), sprawdzając czy wszystko się zgadza...
W normalnej sytuacji tekst powinien trafić mailem jak najszybciej z powrotem do prawnika, i dopiero wtedy można by było rozmawiać dalej.
Jednak siła "dobrych chęci" i optymizmu potrafi być straszna, co w efekcie spowodowało, że poza tymi 2 poprawkami, o których rozmawialiśmy nie zauważyłem o wiele ważniejszej zmiany, mogącej doprowadzić nas nawet do bankructwa, a polegającej na zmianie bodajże 1 przecinka.
Na szczęście problem się nie wydarzył (choć mógł). Nauczyło mnie to jednak, by jeszcze dokładniej (a zawsze wydawało mi się, że robię to dokładnie) czytać umowy, i kiedy tylko to możliwe, korzystać z pomocy fachowców.
Żadnych spontanicznych decyzji - w końcu żyjemy w "kraju prawa"....
Swoją drogą - sytuacja naprawdę przedziwna. Tak dziwna, że aż trudno uwierzyć w opisy, które tam przedstawiasz (o wzięciu na komisariat policji, straszeniu bronią lub pobiciem - to sceny jak z "Hakerów") Szkoda tylko, że sądzę, że w naszym kraju jest to naprawdę możliwe.
Co robić w takiej sytuacji? Myślę, że nie oznacza to, że po znalezieniu jakiegoś błędu musimy pozostać bierni.
Sądzę, że poniższe rozwiąząnie
Cytat(Makdaam)
W jednym z artykułów (niestety nie udało mi się go odnaleźć) autor sugerował poproszenie o pozwolenie na przeprowadzenie testów penetracyjnych strony (na piśmie), przed przesyłaniem jakichkolwiek informacji poza informacją o prawdopodobnym błędzie.
może okazać się najlepsze, zapewniając ochronę i korzyści obu stronom. I jak tu nie utonąć w morzu biurokracji?
Cytat(DeyV @ 16.03.2007, 10:18:55 )
W komentarzu na tamtym forum autor tego tematu wspomniał, że podpisał umowę o poufności, która nie dawała mu żadnych korzyści.
I tu pojawia się pytanie - dlaczego ją podpisałeś.
I tu pojawia się pytanie - dlaczego ją podpisałeś.
Popełniłem błąd i nie ma tu co ukrywać, że dałem się oszukać. Nie przyszło mi nawet do głowy, że mogą się tak zachować. Umowa miała być podpisana łącznie z pozostałymi trzema - oczywiście każda umowa była osobno przygotowana - na każdej musiałem się podpisać jednak po podpisaniu pierwszej - tej o poufności - po 30 sekundach miałem kajdanki na rękach.
Cytat(DeyV @ 16.03.2007, 10:18:55 )
Swoją drogą - sytuacja naprawdę przedziwna. Tak dziwna, że aż trudno uwierzyć w opisy, które tam przedstawiasz (o wzięciu na komisariat policji, straszeniu bronią lub pobiciem - to sceny jak z "Hakerów") Szkoda tylko, że sądzę, że w naszym kraju jest to naprawdę możliwe.
Zgadza się - dla mnie to wszystko było mało realne... radiowozów było chyba z 5 w tym 2 busy a policjantów odpowiednio więcej... Od jednego z policjantów słyszałem takie zwroty jak "mów albo tak ci wpie**olimy, że rodzice cie nie poznają", "powiesz słowo więcej niż chce a zaraz będziesz leżał i kwiczał", cały czas sugerował mi zeznania, namawiał żebym się przyznał itp.
Mam nadzieję, że inni wyciągną z tego wnioski i jak znajdą jakieś luki to zamiast pisać do firm napiszą doniesienie do Generalnego Inspektora Ochrony Danych Osobowych.
Pzdr
heh, współczuję. Po przeczytaniu tego wszystkiego przeleciały mi migawki wczorajszego filmu o "haxorach" - "konspiracja.com" (leciał na TVP1 o 20.20).
W swojej "karierze haxorskiej" udało mnie się znaleść kilka różnych krytycznych błędów. Wtedy zawsze pisałem maila że są błędy, wskazywałem je a nawet pisałem im co zrobić aby było lepiej. Za takie informacje raz mi dziękowali lub proponowali prace u nich.
Jak dla mnie, to za ten błąd który znalazłeś, to powinien beknąć programista. Nagłośniłbym tą sprawę w mediach. To co się stało to przecież jakaś chora paranoja!
edycja.
po przeczytaniu całego topicu na tym forum firmy prawniczej... czyję że będzie się działo.
Trzymam kciuki i mam nadzieję że firma dostanie za swoje z nawiązką!!
W swojej "karierze haxorskiej" udało mnie się znaleść kilka różnych krytycznych błędów. Wtedy zawsze pisałem maila że są błędy, wskazywałem je a nawet pisałem im co zrobić aby było lepiej. Za takie informacje raz mi dziękowali lub proponowali prace u nich
.Jak dla mnie, to za ten błąd który znalazłeś, to powinien beknąć programista. Nagłośniłbym tą sprawę w mediach. To co się stało to przecież jakaś chora paranoja!
edycja.
po przeczytaniu całego topicu na tym forum firmy prawniczej... czyję że będzie się działo.
Trzymam kciuki i mam nadzieję że firma dostanie za swoje z nawiązką!!
Cytat(shpyo @ 17.03.2007, 09:06:31 )
po przeczytaniu całego topicu na tym forum firmy prawniczej... czyję że będzie się działo.
Trzymam kciuki i mam nadzieję że firma dostanie za swoje z nawiązką
Trzymam kciuki i mam nadzieję że firma dostanie za swoje z nawiązką
Dzięki - teraz czekam jakiś czas na decyzję prokuratora. Złożyłem wniosek o umorzenie postępowania ze względu na brak znamion czynu zabronionego. Mam nadzieję, że sprawa tak się skończy - jeśli nie... będę miał problem.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę kliknij tutaj.