Jak i gdzie publikować?

[fojcik]

Witam,
od jakiegoś czasu bawię się w wyszukiwanie w polskich serwisach luk pozwalających na ataki typu XSS czy SQL injection.
Do tej pory wyglądało to tak, że po znalezieniu pisałem do admina, ten poprawiał (albo w 80% przypadków nie poprawiał) i sprawa załatwiona.
Potem pomyślałem, że może by na tym zarobić jednak pieniądze - dlaczego ciągle poprawiać po kimś, kto przecież już za to coś zainkasował.
No ale po lekturze:
http://shwsite.org/?p=200
pomyślałem sobie, ze na obecnym etapie w naszym kraju dość ryzykowne
Hmm...pomyślałem sobie - "Ok, kasy z tego nie musi być - przecież mam pracę - ale żeby chociaż mógł się pokazać"
Uderzyłem na milwOrm.com - ale pudło, bo tam nie chcą informacji o komercyjnych, konkretnych adresach tylko o błędach w open-skryptach.
Z jednej strony to rozumiem, ale mnie to jakoś nie kręci - na szukanie błędów w IE widzy mi nie starcza, a przeglądanie pliku PHP jest nudne i nie daje takiej frajdy jak szukanie błędów "po omacku" w dodatku z wyłączonym error_reporting

No i teraz pytanie: Zatem gdzie ...i jak mogę publikować takie informacje? I czy to znowu nie jest karalne? Powinienem wcześniej publikacje konsultować z
adminem ...czy nie , bo wystarczy go poinformować? Wiem, ze są blogi, wiem że ludzie o tym piszą....ale jak to robić "etycznie" ?

pozdrawiam

[northdakota]

Na moje to nie można tak publikować błędów... Nie wiem... może się myle

[eryk]

No fakt tak o nie mozesz sobie publikowac błędów bo ktoś moze ja wykorzystac!
No ale jak juz bys chcial publikowac te bledy pytasz admina o zgode jak sie zgodzi to zero lamania prawa.Takie moje zdanie!


pozdrawiam

[northdakota]

Wiesz... ale jeśli Admin nie zechce załatać dziur i "oleje sprawe" to... nie wiem możesz mu zniszczyć serwis ale to bez sensu... Żadnych korzysci a tylko psujesz... Wpierdal Adminowi jedynie...(ale to też łamanie prawa:P)

[TQM]

W przypadku aplikacji pisanych dla poszczegolnych firm gdzie kazda jest inna to bedzie trudne. Jesli jest to jakis komercyjny produkt (np e-commerce) to sprawa jest prostsza. Informujesz autorow softu (byle skutecznie!) opisujac luke dokladnie jak sie da... dolaczajac informacje, ze za 3 miesiace opublikujesz informacje tu i tu. W ten sposob dajesz autorom czas na zalatanie dziury i wypuszczenie aktualizacji, pozniej nie moga miec raczej zastrzezen...

... niestety sa tu tez kruczki prawne - detali teraz nie pamietam, ale postaram sie zlapac jednego ze znajomych i podpytac - on ma z tym czesciej stycznosc.

[northdakota]

W sensie ze musimy to zrobic w jakis odpowiedni sposob bo inaczej moga nas oskarzyc?