Witam, ostatnio znalazłem błąd na jednej stronce, który pozwala na przejęcie sesji konta po wejściu na linka (XSS). Czy szukanie błędów jest zgodne z prawem? Gdzieś czytałem, że nie, ale jak zaczynam się nad tym zastanawiać, to ktoś pracuje nad takim softwarem i jeśli nie może szukać błędów to jak ma je poprawiać? Kiedy jest to legalne, a kiedy nielegalne? Jak to wygląda u nas w Polsce a jak np. w USA? Orientuje się ktoś?
0
1
Jeśli to OSS to możesz zgłosić, na pewno mają jakiś serwis do zgłaszania.
Jeśli firma komercyjna to na dwoje babka wróżyła.
Mogą Cię pozwać.
Słyszałem nawet o przypadku takim jak Twój, że facet zgłasza się do firmy i proponuje im poprawę sytuacji a oni przyjmują uwagi po czym go w tym samym dniu aresztują (przy pomocy Policji).
To było nawet chyba w Polsce.
0
@Koziołek, @Tezcatlipoca: W waszych linkach są sprzeczne informacje tj. w pierwszym piszą, że dopóki nie wykorzystuje informacji to wszystko jest ok, a w tym od MSM, że zawsze jest nielegalne jeśli osoba której zgłoszę błąd stwierdzi, że chce mnie wydać policji. Sam już nie wiem co o tym myśleć, mam wrażenie że pawo dąży do tego, że zamiast dążyć do coraz lepszych produktów dąży się do gównianych produktów i dużych kar dla osób które sprawdzają te produkty :| Czyli gdyby firmy informatyczne produkowały szklanki zamiast oprogramowania, a hakerzy byli osobami, które te szklanki zrzucają z różnych odległości na ziemię, żeby sprawdzić ile wytrzymają, to prawo by pozwalało na zamknięcie osoby która celowo zrzucają szklanki na podłogę... chore :/
1
@krwq - nie wiem co piszą w gazetaprawna pod hasłem haker (osoba (...) odznaczająca się znajomością wielu języków programowania), ale popatrz na przykład na to: http://niebezpiecznik.pl/post/10-lat-wiezienia-za-wejscie-na-strone-www/
0
ja pier.. zmieniam branże :/
1
Czyli gdyby firmy informatyczne produkowały szklanki zamiast oprogramowania, a hakerzy byli osobami, które te szklanki zrzucają z różnych odległości na ziemię, żeby sprawdzić ile wytrzymają, to prawo by pozwalało na zamknięcie osoby która celowo zrzucają szklanki na podłogę... chore :/
Dobra dobra, zapominasz, że produkt ten zazwyczaj zajmuje się przetwarzaniem danych. To o nieuprawniony dostęp do danych chodzi przecież. To tak jakbyś twierdził, że możesz zaglądać ludziom do korespondencji - przecież ty tylko testowałeś odporność skrzynki pocztowej na łom i koperty na nożyczki :/
0
ale jak zakładam sobie na jakiejś stronie dwa konta i włamuje się na jedno z nich to nie zaglądam do nie swoich danych
1
» § 1. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
» § 2. Tej samej karze podlega, kto bez uprawnienia uzyskuje dostęp do całości lub części systemu informatycznego.
» § 3. Tej samej karze podlega, kto w celu uzyskania informacji, do której nie jest uprawniony, zakłada lub posługuje się urządzeniem podsłuchowym, wizualnym albo innym urządzeniem lub oprogramowaniem.
» § 4. Tej samej karze podlega, kto informację uzyskaną w sposób określony w § 1-3 ujawnia innej osobie.
» § 5. Ściganie przestępstwa określonego w § 1-4 następuje na wniosek pokrzywdzonego.
Jeżeli włamujesz się do swojego własnego konta, to znaczy uzyskujesz dostęp do danych, których jesteś właścicielem, czyli i tak jesteś uprawniony, to nie ma tu mowy o popełnieniu przestępstwa!
Problem się pojawi dopiero, jeżeli uzyskasz dostęp do części systemu, do których dostępu nie miałbyś bez zastosowania hacku. IMHO.
0
» § 5. Ściganie przestępstwa określonego w § 1-4 następuje na wniosek pokrzywdzonego.
Pokrzywdzony to jest osoba na której konto wchodzę, czy poszkodowana może się poczuć inna osoba nawet jeśli jej konto zostało nienaruszone?
0
Pokrzywdzonym jest właściciel informacji lub systemu informatycznego, do których uzyskałeś dostęp bez uprawnienia.
0
czyli bezpieczniej jest nie zgłaszać błędów? np. jakbym na 4programmers zgłosił jakiś bug związany z bezpieczeństem to @Adam Boduch mógłby poczuć się porzywdzony i mnie pozwać?