Mutt
Professional
- Messages
- 1,056
- Reaction score
- 644
- Points
- 113
Бесконечные циклы, ошибки и ответственность
Недавно появилась история о 13-летней студентке из Японии, которой было предъявлено обвинение за публикацию веб-страницы, на которой был запущен сценарий, показывающий предупреждающее сообщение в бесконечном цикле, которое выглядело следующим образом.
Откровенно говоря, это так же смешно , как он получает , и я сначала подумал, что - то было потеряны в переводе между первоисточником и Ars Technica взять «s на истории, но другие сообщает ту же историю, так в предположении, что это правда, я просто Сказать, что это действительно странный случай.
По сути, рассматриваемый «вредоносный» код сводится к одной строке кода JavaScript, размещаемой на их собственной веб-странице.
Когда вы его запускаете, ничего зловредного не происходит, в лучшем случае это небольшая неприятность. Большинство браузеров на самом деле будут иметь флажок, как показано на скриншоте выше, который предотвратит появление новых сообщений после проверки, и, в конце концов, всегда можно закрыть вкладку браузера.
Все это просто странно, черт возьми, эта девушка могла бы стать разработчиком рок-звезды в Кремниевой долине, она полностью следует принципам современной веб-разработки, используя всплывающие окна и модальные диалоги.
Вы виноваты в загрузке файлов с нашего публичного сервера
Это подводит меня к другой истории, вспыхнувшей в 2018 году, когда молодого канадца обвинили в загрузке файлов, общедоступных с портала о свободе информации Новой Шотландии.
Фактически произошло то, что на сайте были все файлы, которые, как они утверждали, не были предназначены для публичного использования, публично доступны на их сервере, где каждый файл был назван в определенной последовательности.
Представьте, что файл находится по адресу и все, что вам нужно сделать, это изменить цифру в номере файла, чтобы перейти к следующему файлу. Ну, это в основном то, что он делал, у него было умение собирать и архивировать вещи в сети, что, если вы спросите меня, в этом нет ничего плохого.
Опять же, еще один действительно странный случай, и ирония в том, что это портал свободы информации. Это как если бы вас взяли за то, что вы выбрали секретную книгу в публичной библиотеке, рядом со всеми другими книгами, которые вам разрешено читать, но та книга, которая выглядит как все остальные, была запрещена.
Если файлы действительно настолько чувствительны, это серьезный случай небрежности с их стороны, но давайте не будем на этом останавливаться.
Не бейте F12
И, наконец, есть случай с ребенком, который был арестован за сообщение об ошибке около двух лет назад. По сути, Транспортное управление Будапешта написало свою систему онлайн-платежей как кусок мусора без проверки их цен на стороне сервера. Итак, «хакер» возился с инструментами разработчика браузера и изменил цены на странице, что позволило ему дешево покупать билеты (это мог сделать любой, кто хоть немного знает, как работает сеть). Затем он сообщил им о своих выводах, что, барабанная дробь, угадайте, что? За это его арестовали.
Кроме того, отвернись! Здесь не похоже, что кто-то проявил халатность, это вина пользователей, которые заглянули за занавеску.
Ответственность и вина
Все эти случаи объединяет то, что, на мой взгляд, они никогда не должны были существовать. Думаю, большинство людей согласятся с этим, особенно коллеги-программисты и другие технические специалисты, которые понимают, что происходит.
Здесь спекулируют, но похоже, что кто-то, кто имел очень слабое представление о том, как работает эта технология, решал, как действовать. Хотя ни в одном из этих дел не было осуждений, насколько я могу судить, репутация человека все еще серьезно подрывается, когда 15 копов вышибают у вас дверь за попытку сообщить об ошибке и поступить правильно.
Возможно, он ошибся, но опять же, это 18-летний ребенок.
Лично я больше не беспокоюсь о том, чтобы сообщать о недостатках и ошибках безопасности. Поиск по правильным каналам и «ответственное» раскрытие ошибки компании - довольно неприятное и трудоемкое мероприятие.
Подобные случаи не вызывают у меня особого желания обращать внимание на какие-либо ошибки, когда человек, обнаруживающий проблему, оказывается виноватым в вопиющих провалах компании, как в случае с Управлением транспорта Будапешта.
Недавно появилась история о 13-летней студентке из Японии, которой было предъявлено обвинение за публикацию веб-страницы, на которой был запущен сценарий, показывающий предупреждающее сообщение в бесконечном цикле, которое выглядело следующим образом.
Откровенно говоря, это так же смешно , как он получает , и я сначала подумал, что - то было потеряны в переводе между первоисточником и Ars Technica взять «s на истории, но другие сообщает ту же историю, так в предположении, что это правда, я просто Сказать, что это действительно странный случай.
По сути, рассматриваемый «вредоносный» код сводится к одной строке кода JavaScript, размещаемой на их собственной веб-странице.
Code:
while (true) { alert("beep"); }Когда вы его запускаете, ничего зловредного не происходит, в лучшем случае это небольшая неприятность. Большинство браузеров на самом деле будут иметь флажок, как показано на скриншоте выше, который предотвратит появление новых сообщений после проверки, и, в конце концов, всегда можно закрыть вкладку браузера.
Все это просто странно, черт возьми, эта девушка могла бы стать разработчиком рок-звезды в Кремниевой долине, она полностью следует принципам современной веб-разработки, используя всплывающие окна и модальные диалоги.
Вы виноваты в загрузке файлов с нашего публичного сервера
Это подводит меня к другой истории, вспыхнувшей в 2018 году, когда молодого канадца обвинили в загрузке файлов, общедоступных с портала о свободе информации Новой Шотландии.
Да, вы правильно прочитали, для загрузки документов в свободном доступе с портала о свободе информации.
Фактически произошло то, что на сайте были все файлы, которые, как они утверждали, не были предназначены для публичного использования, публично доступны на их сервере, где каждый файл был назван в определенной последовательности.
Представьте, что файл находится по адресу и все, что вам нужно сделать, это изменить цифру в номере файла, чтобы перейти к следующему файлу. Ну, это в основном то, что он делал, у него было умение собирать и архивировать вещи в сети, что, если вы спросите меня, в этом нет ничего плохого.
Опять же, еще один действительно странный случай, и ирония в том, что это портал свободы информации. Это как если бы вас взяли за то, что вы выбрали секретную книгу в публичной библиотеке, рядом со всеми другими книгами, которые вам разрешено читать, но та книга, которая выглядит как все остальные, была запрещена.
Если файлы действительно настолько чувствительны, это серьезный случай небрежности с их стороны, но давайте не будем на этом останавливаться.
Не бейте F12
И, наконец, есть случай с ребенком, который был арестован за сообщение об ошибке около двух лет назад. По сути, Транспортное управление Будапешта написало свою систему онлайн-платежей как кусок мусора без проверки их цен на стороне сервера. Итак, «хакер» возился с инструментами разработчика браузера и изменил цены на странице, что позволило ему дешево покупать билеты (это мог сделать любой, кто хоть немного знает, как работает сеть). Затем он сообщил им о своих выводах, что, барабанная дробь, угадайте, что? За это его арестовали.
Ура за то, что поступил правильно, да? Этот, возможно, немного более злонамерен, но он раскрыл его. Я полагаю, что мораль этой истории в том, что никогда не стоит поступать правильно, никогда не идти на поводу у белой шляпы.
Кроме того, отвернись! Здесь не похоже, что кто-то проявил халатность, это вина пользователей, которые заглянули за занавеску.
Ответственность и вина
Все эти случаи объединяет то, что, на мой взгляд, они никогда не должны были существовать. Думаю, большинство людей согласятся с этим, особенно коллеги-программисты и другие технические специалисты, которые понимают, что происходит.
Здесь спекулируют, но похоже, что кто-то, кто имел очень слабое представление о том, как работает эта технология, решал, как действовать. Хотя ни в одном из этих дел не было осуждений, насколько я могу судить, репутация человека все еще серьезно подрывается, когда 15 копов вышибают у вас дверь за попытку сообщить об ошибке и поступить правильно.
Возможно, он ошибся, но опять же, это 18-летний ребенок.
Лично я больше не беспокоюсь о том, чтобы сообщать о недостатках и ошибках безопасности. Поиск по правильным каналам и «ответственное» раскрытие ошибки компании - довольно неприятное и трудоемкое мероприятие.
Подобные случаи не вызывают у меня особого желания обращать внимание на какие-либо ошибки, когда человек, обнаруживающий проблему, оказывается виноватым в вопиющих провалах компании, как в случае с Управлением транспорта Будапешта.
