Jak i gdzie publikować?

[fojcik]

Witam,
od jakiegoś czasu bawię się w wyszukiwanie w polskich serwisach luk pozwalających na ataki typu XSS czy SQL injection.
Do tej pory wyglądało to tak, że po znalezieniu pisałem do admina, ten poprawiał (albo w 80% przypadków nie poprawiał) i sprawa załatwiona.
Potem pomyślałem, że może by na tym zarobić jednak pieniądze - dlaczego ciągle poprawiać po kimś, kto przecież już za to coś zainkasował.
No ale po lekturze:
http://shwsite.org/?p=200
pomyślałem sobie, ze na obecnym etapie w naszym kraju dość ryzykowne
Hmm...pomyślałem sobie - "Ok, kasy z tego nie musi być - przecież mam pracę - ale żeby chociaż mógł się pokazać"
Uderzyłem na milwOrm.com - ale pudło, bo tam nie chcą informacji o komercyjnych, konkretnych adresach tylko o błędach w open-skryptach.
Z jednej strony to rozumiem, ale mnie to jakoś nie kręci - na szukanie błędów w IE widzy mi nie starcza, a przeglądanie pliku PHP jest nudne i nie daje takiej frajdy jak szukanie błędów "po omacku" w dodatku z wyłączonym error_reporting

No i teraz pytanie: Zatem gdzie ...i jak mogę publikować takie informacje? I czy to znowu nie jest karalne? Powinienem wcześniej publikacje konsultować z
adminem ...czy nie , bo wystarczy go poinformować? Wiem, ze są blogi, wiem że ludzie o tym piszą....ale jak to robić "etycznie" ?

pozdrawiam

[northdakota]

Na moje to nie można tak publikować błędów... Nie wiem... może się myle

[eryk]

No fakt tak o nie mozesz sobie publikowac błędów bo ktoś moze ja wykorzystac!
No ale jak juz bys chcial publikowac te bledy pytasz admina o zgode jak sie zgodzi to zero lamania prawa.Takie moje zdanie!


pozdrawiam

[northdakota]

Wiesz... ale jeśli Admin nie zechce załatać dziur i "oleje sprawe" to... nie wiem możesz mu zniszczyć serwis ale to bez sensu... Żadnych korzysci a tylko psujesz... Wpierdal Adminowi jedynie...(ale to też łamanie prawa:P)

[TQM]

W przypadku aplikacji pisanych dla poszczegolnych firm gdzie kazda jest inna to bedzie trudne. Jesli jest to jakis komercyjny produkt (np e-commerce) to sprawa jest prostsza. Informujesz autorow softu (byle skutecznie!) opisujac luke dokladnie jak sie da... dolaczajac informacje, ze za 3 miesiace opublikujesz informacje tu i tu. W ten sposob dajesz autorom czas na zalatanie dziury i wypuszczenie aktualizacji, pozniej nie moga miec raczej zastrzezen...

... niestety sa tu tez kruczki prawne - detali teraz nie pamietam, ale postaram sie zlapac jednego ze znajomych i podpytac - on ma z tym czesciej stycznosc.

[northdakota]

W sensie ze musimy to zrobic w jakis odpowiedni sposob bo inaczej moga nas oskarzyc?

[TQM]

... niestety tak

Bardzo latwo przy tym podpasc... jesli ktos od wydawcy softu ruszy temat wynagrodzenia to moze probowac wrobic Cie w szantaz albo ogolnie oskarzyc o szantaz bo znalazles cos co mu nie na reke, powiadomiles go ze upublicznisz jesli nie zrobi tego co chcesz (a ze to dla jego dobra to juz inna bajka)...

Inna sprawa - powiadomiles, oni nic nie zrobili, opublikowales zgodnie z zapowiedzia i firma stracila nieco kasy i klientow - moga Cie za to probowac sadzic... mowie 'probowac' bo jakos nie widze aby mogli cos zrobic ale probowac zawsze moga... a majac dobrego prawnika maja zawsze jakies szanse wygrac.

Mozna tez isc na zywiol... albo publikowac anonimowo lub uzywac kogos znanego jako proxy - poprosic o przedstawienie takiej informacji. Znam ludzi ktorzy tak dzialaja ale jesli 'gowno trafi w wentylator' to oni powiedza od kogo to dostali bo nie zaryzykuja pojscia do wiezienia za kogos Wszystko ma swoje granice...

[northdakota]

a jak np wykryjemy luke na stronie FBI (lol) to co mozglibysmy zrobic?:P