Comments on: Sisteminizde güvenlik açığı buldum, bu da kanıtım!

By: zapatov

zapatov — Tue, 24 Nov 2009 12:07:19 +0000

açığı bulan arkadaş bu olayda beyaz değil gri şapka olmuş (:

By: Ayberk

Ayberk — Mon, 23 Nov 2009 18:44:12 +0000

In reply to Murat Çimen. Sanırım en iyisi buldukmu susalım :)

By: Murat Çimen

Murat Çimen — Mon, 23 Nov 2009 01:00:46 +0000

Selamlar,

Bu tür tartışmalarda öncelikle olayın parçalarını tespit etmek gerekir. Bu olayda görünen o ki

1* açık bulunmuş
2* haber verilmiş.

Etik olarak, durumu farkeden arkadaş bulduğu açıktan yararlanmadığı sürece suç işlemiş sayılmaz, bilgilendirdiği için de teşekkür edilir.

Hukuki açıdan da durum şöyledir, eğer kişi sizin web siteniz üzerinde umuma açık bir alandaki bir hatanın farkına varır ve bildirse sorun olmaz, yeterki durumda yararlanmasın!

web sitesinin arka yüzüne geçmek (veritabanı üzerinde) ise suç teşkil eder.

Kısaca şöyle özetleyeyim, evinizin kapsını açık bırakırsanız, bunu görüp size bildiren adam Suç İŞLEMEMİŞ olur. Ancak evinizin kapısı KİLİTLİYKEN girip içerdeki odaların kapılarını kontrol ettiyse o zaman suç işlemiş olur.

Ayrıca, bu işi yapan şirketler varken, durumdan vazife çıkaran arkadaşların başına iş gelmesi mümkündür.

Bu durumun genellikle, “açık buldum, sizden iyiyim” kompleksi veya “açık buldum, beni ödüllendirin” gibi temellere dayandığını düşünüyorum.

By: Huzeyfe ONAL

Huzeyfe ONAL — Sun, 22 Nov 2009 19:25:19 +0000

Aslında işin bu kısmı hukukun alanına giriyor, sonucu suc olabilecek bir olayda niyetinizin iyi olması bizim acimizdan onemlidir ama hukuk acisindan pek de onemli degildir diye dusunuyorum. İyi niyetli bildiren arkadasin oradan faydalanip faydalanmayacagini kimse bilemez. Evet teknik acidan bakarsak merakimizi yenemedik deriz ama bu bir suctur aynı zamanda.

By: Ayberk

Ayberk — Sun, 22 Nov 2009 10:37:09 +0000

Bankanın lütfedip geri dönmesi mucize.Daha önce çevremde bu durumu banka yetkililerine bildirenler genelde geri dönüş almazlardı.
Ancak şu konuyu anlayamıyorum;
Sistemde güvenlik açığı bulup bilgilendiren kişi neden bu bilgiyi yetkililerle paylaştığında zan altında kalabiliyor.
Sonuçta bir çoğumuzun içinde dizginleyemediğimiz merak var ve bu merak küçükten başlayıp büyük sistemlerdeki açıkları saptamaya kadar gidiyor.
Bir bankada Sql açığı bulmak ama bu açığı sömürmek yerine banka yetkililerine bildirmek suç olmamalı. Bunu örneklendirirsek, kilidini düzgün kitlenemeyen bir dükkanın kilidini düzgün kitlememişsin bak açılır böyle diyerek uyarmak “haysiyetlice” bir davranış olarak nitelendirilip taktir edilmeli diye düşünüyorum.