[ sale83 @ 13.02.2006. 01:19 ] @
Zanima me jedno.
Posto se vec dugo bavim sa PHP-om nailazio sam na situacija kad mi klijent da nesto da sredim u nekoj gotovoj scripti koja je kupljena ili skinuta free sa neta da jednostavno uocim sigurnosne propuste.

Do sada kad imam vremena uvek sam prijavljivao propuste na
http://www.securityfocus.com/

E nikad se nisam bas o tome raspitivao kako se to tretira!!

Recimo radis za nekog klijenta koji je kupio proizvod na netu ima licencu.

Moj primer.

Dobio sam da sredim jednu scriptu i sta se desava. Odma nakon 2 minuta geledanja pocetnog koda spazim opasan sigurnosni propust.

E sad da ja ocu da prijavim taj propust na netu kako se to tretira ??
Sta bi mogao meni vlasnik ili kompanija koja je prozivela prozivod da uradi ako bi ja objavio taj propust?? Da li prvo treba njima da javim ili da javno objavim vec na spomenutom sajtu! ??

- Scripta nije FREE vec se placa!
- Scripta je dosta popularna na net-u " Ne u velikoj meri ali je popularna"
- Ukoliko bi objavio propust na http://www.securityfocus.com/
doslo bi do toga da bi garant stradala gomila sajtova iskoriscavanjem propusta
jer tamo visi na stotine Lamera koji jedva cekaju da se docepaju 0Day POC exploita.

Do sada sam sve propuste objavio sa laznim nickom i laznom email adresom. Ali sve su to bile free scripte.
Ali sta sa placenim scriptama koje mogu da nanesu veliku stetu objavljivanjem jednog sigurnosnog propusta ??

Pozzzzzzz

[ fearless @ 13.02.2006. 02:15 ] @
Nisam u potpunosti razumeo post.
Citat:
Recimo radis za nekog klijenta koji je kupio proizvod na netu ima licencu.

Dakle radis za nekoga ko je kupio neku komercijalnu skriptu il sta vec. Tebi je dato da
sredis tu skriptu i ocistis je od mogucih propusta, ti si nasao propust, zakrpio ga, i sada
bi da objavis isti na netu? Ako je to u pitanju, onda:
Citat:
prvo treba njima da javim

je ovo dovoljno. Dakle, prvo javi developerima a zatim taj propust objavi gde hoces. To
pravo ti niko ne uskracuje. Pravnih delovanja protiv tebe nece biti :). Jedino moze da te
grize savest zbog kasnije zloupotrebe tog propusta od strane lamera :)

[Ovu poruku je menjao fearless dana 13.02.2006. u 03:21 GMT+1]
[ sale83 @ 13.02.2006. 02:34 ] @
Dobio sam da integrisem scriptu u postojaci sajt.
I kad sam je otvorio i poeo da gledam kod ono u oci mi upadne propust!

OK videcu pa kad uhvatim vremena onda cu da javim developerima na sigurnosni propust !!!