Šta je novo?
Od:
Filteri

Da li prijavljujete sigurnosne propuste?

SyoncMaster

SyoncMaster

Cenjen
Učlanjen(a)
12.09.2009
Poruke
632
Poena
170
Zanima me da li kada naletite na neki propust posaljete mail administratoru/pozovete vlasnika ili samo nastavite svoj zivot i ne prijavite to nikome?

Da li je neko od vas imao lose iskustvo zato sto je prijavio neku gresku, a opet nije imao nikakvu nameru da iskoristi situaciju vec samo da pomogne vlasniku sajta/aplikacije?
 
Pre par godina naletim na jedan sajt, citam,gledam,ne znam kako sam dobio link, ali sajt je bio bas nov i koristio je wordpress sa nekim dodacima. Resih da se registrujem,da vidim sta jos ima i otvori se meni administracioni deo. Ja u cudu, tek se registrovao, tako da sam poslao odmah mail vlasniku, nasao ga preko whois sa objasnjenjem i slikom. Posle je provalio da je problem bio u jednom dodatku,pa ga je sklonio i zamenio. Zahvalio mi se covek lepo zato sto mu nista nisam obrisao i tako to, i castio me pivom jer se ispostavilo da zivimo u istom delu grada, tako da sam imao zanimljivo iskustvo.
 
Zavisi, ako je softver open source onda kada mogu prijavim bug. Ako nije open source, nebitno da li je besplatan ili nije, u tom slučaju ne prijavljujem bagove i gasim sve crash report telemetrije i slično. Na autorima softvera je da biraju da li žele pomoć zajednice ili ne. Ukoliko ne ponude kod na uvid neće dobiti bug report niti bilo kakvu pomoć pa makar softver distribuirali bez naknade. Oni koji naplaćuju imaju da plate testere.
 
Nisam mislio na obicne bagove. Nego bas na sigurnosne propuste. Nesto sto ugrozava ceo sistem i/ili privatnost korisnika.

Kada je izasla jedna nasa nova aplikacija na Google Play hteo sam da vidim kako uzimaju podatke sa servera pa sam pratio saobracaj sa telefona i ustanovio da svaki korisnik dobija(ali ne vidi) sve podatke o svim drugim korisnicima kada ode na listu korisnika iako bi tada samo trebao da stampa Username i rang ali aplikacija zapravo u pozadini dobija Ime, prezime, broj mobilnog, email i jos gomilu nekih podataka bez bilo kakve zastite vec u plain text formatu.

Neko vreme sam se razmisljao da li da prijavim developeru, a onda sam video da se krecemo u slicnim krugovima(drug mog druga) - pustio mu poruku i propust je ispravljen istog dana u roku od par sati.
Uglavnom jedini moj razlog za razmisljanje - Da li da prijavim? Jeste - Da li cu ja imati dodatnih problema oko toga?
 
Naravno, više desetina puta do sada, i to ne samo pojedinačnim vlasnicima sajtova, već i mnogim državnim institucijama, velikim domaćim i stranim korporacijama, pa čak i nekim političkim partijama :)
Nikad nisam doživeo bilo kakvu neprijatnost, samo veliku dozu zahvalnosti na ukazani problem i to ću nastaviti da činim jer je to sasvim normalna stvar.
 
Baci bre #sarcasm, neko ce ti poverovati :D
 
U Benchu si "zaposlen", to se ne prihvata ;)
 
alfaunits je napisao(la):
U Benchu si "zaposlen", to se ne prihvata ;)
Kliknite za proširenje...

"Zaposlen" sam sopstvenom voljom da brinem o forumu, ne da prijavljujem bagove ekipi koja je placena da uradi posao kako treba, a ne da pravi pocetnicke greske. Pa ipak sam to uradio jer smatram da je to normalna stvar, moja povezanost nema nikakve veze sa tim slucajem. Uostalom, kao sto sam vec rekao, postoji gomila drugih slucajeva u kojim ne postoji bila kakva "relacija".
 
Ranije sam vise na to obracao paznje, ali u poslednje vreme mi se precesto desavalo da vlasnik sajta uopste i ne odgovori na poruke koje saljem, tako da...
 
Morate se prijaviti ili registrovati da odgovorite ovde.
Nazad
Vrh Dno