看板 Soft_Job作者 JokerCatz (JokerCatz)標題 Re: [討論] 維護者、道德與安全時間 Thu Feb 21 09:54:30 2013
hmm...我發現很多所謂的熱心人士,七嘴八舌的...
我不常上來PTT,不過這應該是PTT的特性
有人要我穿西裝打領帶,要我去談對方的安全性問題,有人說我不該那樣做怎樣的
那...換你們做一下如何?:)
我身邊還有很多他們的漏洞,可是這些漏洞可能不痛不癢很難打下來
所以我公開其中一個,就如同有人要我公開發表在其他網站一樣
https://www.ssllabs.com/ssltest/analyze.html?d=members.popo.tw
那...現在換所謂的能人如何?所有對這件事情事後諸葛的人去建議看看如何?
Your turn :)
--
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 114.35.31.145
推 LaPass:這是PTT的特性沒錯..... 當你講了某件事/某件觀念之後,通常會有不一樣的聲音冒出來,這時候,能接受就回應一下,不能接受就別管對方。一但兩邊都擺出「我是對的」的態度、姿態在討論的話,通常最後就會變成鬼打牆式的筆戰,直到被板主出面制止為止。1F 02/21 09:58
推 hSATAC:聽說是 rails 232...?搞不好 hash collision 跟
remote code execution 的洞都沒補呢...6F 02/21 10:02
→ JokerCatz:我很不愛無意義的筆戰,是真希望它好,所以誰去解決它?@hSATAC 你知道的太多了...不過還有Rails超大的隱憂8F 02/21 10:03
推 LaPass:對了,想請教這個漏洞的關鍵字,我不懂這一塊,想去搞懂。10F 02/21 10:04
→ JokerCatz:session cookie decode => 尋找plugin漏洞((加密無作用11F 02/21 10:05
→ JokerCatz:@LaPass上個版本的bug被拿去用,下個版本修好但尚未更新@LaPass網路太黑暗了,歷史包袱很多,且無解13F 02/21 10:06
→ Gitangan:原PO做了一些事想改變某站的態度,網民說了一些話想改變原PO的態度的想法。有人說原PO不該管城邦的事,那你們管原PO那麼多做什麼?16F 02/21 11:31
推 bleed1979:我覺得樓上想太多了,評論不代表要改變對方想法。
不過「棒打落水狗」這種事情在PTT倒是很常見。19F 02/21 12:35
→ andymai:不是想改變!真要改變的話~對我來說~最起碼要我很在乎他~會提出意見也不過是認為有更好的做法罷了~就像寫程式一樣~不是只有一種寫法!接不接受當然是看個人~討論區本來就是讓人發表意見用的~不是嗎?至於要不要管~那原本就是自己的抉擇!21F 02/21 12:59
→ nobody1:事主都下來討論了 竟反問鄉民管太多 州官放火百姓點燈?25F 02/21 13:04
→ andymai:像現在就很流行把警告資訊po到FB上面流傳~而且對我來說~我並不是他們的使用者~所以我只會分享到FB上提醒大家注意
而且像現在新聞都報出來了~還要繼續成為使用者~那不就是個人自己選擇的嗎?就像美牛的問題~要不要吃是自己選的?不是嗎?再者~自以為是的爛公司就是該淘汰~你這樣犧牲自己去救還是沒救到那間公司和那些使用者啊...
就像我覺得HTC很爛!但我既不是他們的客戶~也不是股東~那我到底憑什麼跑到人家面前要求人家改善???就讓市場去決定吧!26F 02/21 13:04
→ TonyQ:盲點在於真的有人去做也不需要跟你報備啊,等著看一個月內有沒有人修吧。(笑
不要預設太多事情,慢慢等著看吧
不過是說公佈漏洞你上次挑的是簡單跟危險性高的xss,
這次這個看起來條件多了不少,不那麼公平啊(笑
還是來查查 remote execution 他們修了沒好了 :p34F 02/21 13:32
→ JokerCatz:挑那個跑分就知道,上面那個要打的啊XD我兩年不能犯案哩40F 02/21 13:50
推 yauhh:換我來就是在旁邊寄個信提醒提醒,有辦法就把demo寫成文件
告知就好了. 因為我知道我個人的責任義務及權力就那麼大而已41F 02/21 14:42
推 pcyu16:如果在網路公開網站的漏洞 這會造成法律問題嗎?43F 02/21 14:49
推 luciferii:丟 Qualys Scan的垃圾結果出來..我確認你只是想吵架44F 02/21 15:30
推 xvid:你可以找防毒版的嗨嗨每個人交朋友45F 02/21 17:41
→ Winggy:...... 這個掃描結果基本上意義不大,連缺失都算不太上
不知道貼出來的用意為何 ?46F 02/21 19:58
→ JokerCatz:單純的因為很多東西我不能貼就是了,所以只能貼這個||||至於算不算缺失...SSL被輕易地解掉對方用GET作登入的LOG所以只要看到該網域的網址就偷到帳密,這算不算缺失?對我公司算是就是了,而他們還有很嚴重的flow的問題....其他的就太詳細了Orz"...很抱歉48F 02/22 09:31
→ Winggy:這個要成為漏洞的前提是要介入雙方的通訊之中...
如果被 MITM 了,那你該頭痛的事情比這個大很多
整件事情說穿了,原本提醒完後就沒你的事情了
對方要不要改善是他們的問題,但是你介入去 'POC' 以後依照我國的超讚無限上綱妨礙電腦使用罪你已經立於不勝了
緩起訴已經是檢察官很開明很給你機會的最佳狀況
如果下次你還要堅持問題沒修是對方的錯硬要其他人照你規矩做事,那被告真的只是剛好而已
把別人的問題變成自己的刑事責任,這種要求還是第一次碰到勸你好好想想,不要枉費檢察官給你一次機會54F 02/23 01:22
→ JokerCatz:A...事情其實早結束了,我也只是單純的丟出話題討論罷了會不會再做不知道,不過至少不會讓自己變得那麼麻煩就是64F 02/23 11:08
推 este1a:私人的不行,公家的可以66F 02/23 17:08
推 luciferii:據之前某人經驗,臺灣檢察官喜歡表面說你很強,然後背後捅一刀。這次沒事是走運,還是建議去拜拜一下。67F 02/23 22:38
※ Last modified: 02/23/2013 22:39:03
--
※ 同主題文章:
… ×4
Re: [討論] 維護者、道德與安全
02-21 09:54 JokerCatz.
… ×2