Säkerhetshål

Marcus · 2005-03-07, 04:02

Citat:

Originally posted by mypay@Mar 7 2005, 01:14
Spelar ingen roll.. då du inte måste sitta och knäcka lösenord (dvs begå ett riktigt intrång) så är det inte olagligt..

de kan alltså inte hota med polisanmälan etc om du skulle tipsa dom om det och kanske t.om då fråga om en viss ersättning

Det där resonemanget är lite farligt.
Hur definierar du "ett riktigt intrång"?

Bara för en dator inte har något lösenord specificerat för t.ex. root-kontot så betyder det inte att du får logga in.

Det där med att fråga efter ersättning tror jag inte heller riktigt på.

Bejjan · 2005-03-07, 06:17

Jag har aldrig haft som avsikt att fråga efter någon ersättning. Jag var bara nyfiken på om det var sannolikt att företag brukar dela ut sådana vid liknande fall. Bara av ren nyfikenhet alltså.

Och sedan så känns ju det här med datorintrång som en väldig gråzon.
Men jag antar att det bottnar i om man hade som syfte att t.ex. få tillgång till gratis filmer, eller om man bara upptäckte säkerhetshålet av en slump.

mypay · 2005-03-07, 07:30

Jo..

Om jag har en sida som t.ex smsmovies.net och dom och har då en sådan funktion att filmerna nås via www.filmer.se/playmovie.php?id=12 - saknar kontroll på betalning i den php-filen och någon listar ut adressen dit så kan jag inte åtala dom för något om dom skulle få för sig att kika på mina filmer gratis...

Om jag skriver info på min hemsida som jag inte anser att någon ska veta.. placerar det i en mapp som heter xyvcds (dvs www.minsida.com/xyvcds) och nån där med då listar ut mappnamnet och surfar in så är inte det heller något åtalsbart

Det anses ligga öppet på internet och kan då inte klassas som hemlig info etc etc - nu finns det sjävlklart en massa varianter på det här men i grund funkar det så här

min poäng är alltså att han är safe i det här läget - förutsatt att han hittat hålet utan att knäcka lösenord etc

hedberg · 2005-03-07, 10:12

kluven inställning från min sida:

Om en fruktaffär ställer ut en korg med äpplen utanför butiken, så kan någon gå förbi och ta ett äpple, och hävda att det var ju inte i butiken och att han inte fattade att det kostade. Men det räknas som stöld (snatteri).
Man skulle kanske kunna tycka att affären borde tänka sig för, om man ställer saker utan övervakning utomhus. De kanske har ställt en låda päron på baksidan där folk normalt inte rör sig.

Om en bilaffär ställer en bil utanför med nyckeln i tändningslåset med motorn igång, så räknas det normalt sett inte som stöld. Det räknas som olovligt brukande då man har främjat själva utnyttjandet genom att tillhandahålla stöldobjektet (man har lämnat bilen med nyckel i. Motorn igång etc)

Om man nu överför detta till internetvärlden, så skulle man kunna säga att om någon finner en film (en låda päron) på ett ställe av en slump, så skulle det kanske handla om snatteri. Man har olovligt tillförskaffat sig något man borde inse var otillåtet. I mina ögon är det kunden som borde reagera på att något inte stämmer.

Om istället internetsiten hade en egen länk av misstag till vad som egentligen skulle ha varit betal-grej, så får det anses vara deras egna fel. Man borde kanske ha insett att det skulle ha kostat, men i och med att de själva tillhandahöll så skulle det bli typ olovligt brukande. I mina ögon är det företagets fel då dem har gjort fel.

Sen kan man diskutera google etc vars robotar letar upp och publicerar länkar till delar av sajter som inte var tänkt att publiceras offentligt.

Robert · 2005-03-07, 10:12

Citat:

Originally posted by Decibel@Mar 5 2005, 12:13
För drygt ett år sedan satt jag och mailade ett par företag som hade lite trubbel med sql-injections, jag bara påpekade vad det var, och hur man löste det.

Det var min mest inkomstrika dag någonsin, jag hade inte ens krav på ersättning utan bara visade var, hur och lösning.
(var rätt livlig diskussion om detta i WN´s kanal på quakenet för er som minnns och fanns med på den tiden )

Ingen av dom jag mailade hade någon hotfull ton tillbaka utan var tacksamma över att man upplyste om problemet, vissa har dock ännu inte åtgärdat det.

Om nån ska polisanmäla måste det kunna styrkas att uppsåt till intrång finns, ett uppsåt är oftast vinning för "dig" och förlust för den som har sajten.
Att göra en if-sats i användarnamnsfältet för att se om det funkar vetefan om det är uppsåt (om man nu inte tänkt se på gratis film (om det nu är det saken handlar om)).

SF-anytime vet jag har lite knas med injections, eller åtminstone hade.

Jag hoppas det inte var du som skickade ett mail till ic a.se som jag jobbade åt då. Det mailet har det skrattas åt mycket och det hängde även på väggen ett tag... =)

PKaze · 2005-03-07, 13:01

Citat:

Originally posted by Robert@Mar 7 2005, 10:12
Jag hoppas det inte var du som skickade ett mail till ic a.se som jag jobbade åt då. Det mailet har det skrattas åt mycket och det hängde även på väggen ett tag... =)

Nu blir man ju nyfiken! Berätta mer!

Marcus · 2005-03-07, 16:09

Citat:

Ursprungligen postat av marcuss

Citat:

Ursprungligen postat av myapp

Ett exempel är en kille som sägs (han hävdar det spray hävdade motsattsen) ha fått i uppdrag att göra en säkerhetskontroll utav spray och hittade säkerhetshål och ville sen ha pengar för det. På mötet med spray satt civilsnuttar och efter mötet haffade de honom på tunnelbannan.

Exemplet med "Joel" är ganska extremt. Men visst, är ju ett känsligt område så självklart bör man sköta det snyggt.

Nu finns inslaget om Joel upplagt på SR Gävleborgs webbsida - "Superhackern från Gävle".

För er som inte vill köra Realplayer finns ju Realplayer alternative. Kommer ni till inställningssidan sedan, klicka då i att ni har stöd för Realplayer-ljud också, så bör det fungera sedan.

Aktiva användare som för närvarande tittar på det här ämnet: 1 (0 medlemmar och 1 gäster)

Menu

Säkerhetshål