Luka w oprogramowaniu strony 4programmers - kontynuacja

Poprzedni wątek został zamieniony przez użytkowników w śmietnik i został zablokowany, więc podzielę się swoim spostrzeżeniem tutaj:

nie upłynęły nawet 3 pełne dni od zgłoszenia, a po cichu została dodana brakująca walidacja niektórych pól:

https://github.com/adam-boduch/coyote/commit/e1b912bea88af7aa194d7d27928be9d303adee9c
https://github.com/adam-boduch/coyote/commit/f3331472844d792bbd9c785ccea97380e858a85f

Dwa commity to całkiem niezły wynik, jak na "nieistniejącą" lukę, o której żadnej informacji administracja nie dostała xD

Tavis Ormandy pisał kiedyś, ze zawsze się coś znajdzie, jeśli będzie się patrzeć na jakiś fragment kodu wystarczająco długo. Widać Adam poradził sobie ze znalezieniem potencjalnych problemów bez łaski wspomnianego użytkownika :)

Dwa commity to całkiem niezły wynik, jak na "nieistniejącą" lukę

Trudno powiedzieć czy to ta sama luka, albo czy autor w ogóle jakaś lukę znalazł, czy tak sobie tylko trollował.

E tam jakieś pi3rdololo uprawia tutaj OP. Niby coś zgłosił, ale nie powiedział co. Teraz przypiął sobie w ramach zasług, fakt że ktoś poprawił walidację. Poza tym, wg mniebrak walidacji to nie żadna luka, o ile nie powoduje to jakiegoś wycieku danych lub zwiększonych uprawnień. Luka jest wtedy jak jest walidacja, ale można spreparować dane tak, że niepoprawne dane przejdą. Ale OP nie podał żadnych danych. Może liczył na jakieś bug bounty, albo że każdy go tu wychwalil, za maila z tekstem "macie luke bezpieczeństwa". Moim zdaniem autor tego posta i ten z poprzedniego to jakiś max 18 latek, który jest takim wannabe-hakierem.

Ciężko mi to skomentować :| To miała być ta luka, o której niby zostaliśmy poinformowani, ale tak naprawdę nie zostaliśmy? Bo ciężko mi teraz zgadywać.

P.S. Przed chwilą poprawiłem kolejną lukę, o której nie wiedziałem: https://github.com/adam-boduch/coyote/commit/68e22c21d1fd68d1e8e20bb8b5f1ad42461fc404
Z tą różnicą, że o bugu w tej bibliotece zostałem poinformowany

Przecież nawet w tamtym wątku widać pierwszego maila z informacją:

Luka w oprogramowaniu strony 4programmers

A twierdziliście, że żadnego maila z informacją nie dostaliście:

Luka w oprogramowaniu strony 4programmers

Chociaż może faktycznie nie otrzymaliście żadnego maila z informacją, skoro maile do Was nie docierają.

Trochę nie chce mi się w to wierzyć, no ale po co miałbyś kłamać?

Ludzie kochani... przecież chodzi, że w mailu nie było żadnej informacji odnośnie błędu! Żadnych szczegółów, nazwy pliku czy chociaż zalążka informacji!

To tak jakbym ci powiedział, że jesteś brudny, ale nie powiedział ci w którym miejscu.

Na każdej stronie jest jakaś luka bezpieczeństwa. Równie dobrze można takiego maila wysłać na support każdej strony w internecie i nie skłamać.

PS. to jest troll więc nie wiem czy jest sens dyskutować.

Kolego @Prodzisz, masz ewidentnie jakieś problemy. Co najmniej z logicznym rozumowaniem, być może to coś więcej. Przede wszystkim to w większości aplikacji są jakieś istniejące luki (źródło: moje przeczucie). Ty natomiast się błaźnisz bo najpierw założyłeś wątek "się pochwalę" z którego nic nie wynikało, a później wstawiłeś zdjęcie maila o treści

W oprogramowaniu strony 4programmers chyba jest luka bezpieczeństwa.

No faktycznie, pomocne w ch*j :D Teraz z kolei założyłeś ten wątek, próbując przypisać sobie poprawki w kodzie swoim "zasługom". Nic konkretnego nie napisałeś, w niczym nie pomogłeś. Każdy mógłby wysłać maila do 4P o takiej treści, później wybrać losowe commity i twierdzić że to dzięki niemu a administracja 4P się nie przyznaje. Co Ty próbujesz udowodnić, i komu?

Ps: Jeśli to trolling to całkiem niezły.

Chyba kolega od lukratywnego kontraktu znów przestał brać leki. Chyba gość sądzi, że powinien coś dostać za wskazanie tej luki i nikt tematu nie podjął...

Otóż już w pierwszym mailu i wątku była informacja: o tym, że luka istnieje, że dotyczy Coyote (a nie np. zewnętrznej biblioteki) i że została wykryta.

Taka informacja jest o tyle przydatna, że może być impulsem do przeglądu kodu, audytu serwisu, pentestów, itd. I chyba tak to zadziałało, bo kod najwyraźniej został przejrzany :-)

Natomiast szczegółowe podawanie luk na tacy, może spowodować fałszywe poczucie bezpieczeństwa (bo luka została usunięta), zlekceważenie i zaniechanie np. audytów bezpieczeństwa, pentestów, itd., bo przecież informacje o lukach dostaje się za darmo.

Co więcej, przekazanie bardziej szczegółowych informacji mogłoby w mojej ocenie stanowić czyn nieuczciwej konkurencji wobec tych, którzy zawodowo zajmują się bezpieczeństwem i na bezpieczeństwie zarabiają. Czyn nieuczciwej konkurencji polegałby na dostarczaniu za darmo informacji, które normalnie dostaje się np. w ramach pentestów, a więc na pozbawieniu zarobków osób zajmujących się bezpieczeństwem.

Tym bardziej, że rynek związany z bezpieczeństem IT aktualnie prężnie się rozwija i ja nie zamierzam tego rynku psuć.

@Adam Boduch albo droga moderacjo, dajcie to do Perełek bo szkoda żeby znikło w czeluściach archiwum forum :D

No czyli chodzi o kasę, tak jak mówiłem XD Już abstrahując od kuriozalnie złożonej oferty sprzedaży informacji o luce, tak pierwsze słyszę, że wolontariat jest nieuczciwą konkurencją...

No jednak tej luki nie próbowałem sprzedawać xD

Czyli jednak się przyznałeś, że Ty to Ty więc powinieneś polecieć za multikonto. Tak czy siak - o co ci chodzi chłopie ;p ?

@pieczarek: Ale gdzie się przyznałem, że to ja? Pisząc, że tej luki nie zamierzałem sprzedawać? xD

A jeśli to ja, to multikonta na 4P są zabronione? Chyba nie, przynajmniej w regulaminie nie ma takiego zapisu :D

pieczarek napisał(a):

No czyli chodzi o kasę, tak jak mówiłem XD Już abstrahując od kuriozalnie złożonej oferty sprzedaży informacji o luce, tak pierwsze słyszę, że wolontariat jest nieuczciwą konkurencją...

Ale ceny dumpingowe są. A świadczenie usług za darmo to skrajny przypadek ceny dumpingowej.

Natomiast szczegółowe podawanie luk na tacy, może spowodować fałszywe poczucie bezpieczeństwa (bo luka została usunięta), zlekceważenie i zaniechanie np. audytów bezpieczeństwa, pentestów, itd., bo przecież informacje o lukach dostaje się za darmo.

Co więcej, przekazanie bardziej szczegółowych informacji mogłoby w mojej ocenie stanowić czyn nieuczciwej konkurencji wobec tych, którzy zawodowo zajmują się bezpieczeństwem i na bezpieczeństwie zarabiają. Czyn nieuczciwej konkurencji polegałby na dostarczaniu za darmo informacji, które normalnie dostaje się np. w ramach pentestów, a więc na pozbawieniu zarobków osób zajmujących się bezpieczeństwem.

Chyba tak jest w Twoim wyimaginowanym świecie. Oczywiście że wszelkie luki się raportuje, niektóre korporacje nawet płacą za coś takiego jeśli w ich systemach znajdzie się lukę. Co oczywiście nie idzie w sprzeczności z szeroko stosowanym dobrowolnym raportowaniem. Niestety, ale z tego wszystkiego wynikło że- jeśli faktycznie znalazłeś jakąś lukę- to okazałeś się ***** (wstaw dowolną inwektywę) bo postanowiłeś nie dzielić się szczegółami w imię jakiejś pokrętnej logiki.

A jeśli to ja, to multikonta na 4P są zabronione? Chyba nie, przynajmniej w regulaminie nie ma takiego zapisu

Jest zakaz obchodzenia banów, co właśnie robisz. Jak taki specjalista jesteś w znajdowaniu luk to znajdź sobie odpowiedni zapis w regulaminie na ten temat.

Jeśli chodzi o Luki, to tylko jeden jest prawdziwy.

Aventus napisał(a):

Natomiast szczegółowe podawanie luk na tacy, może spowodować fałszywe poczucie bezpieczeństwa (bo luka została usunięta), zlekceważenie i zaniechanie np. audytów bezpieczeństwa, pentestów, itd., bo przecież informacje o lukach dostaje się za darmo.

Co więcej, przekazanie bardziej szczegółowych informacji mogłoby w mojej ocenie stanowić czyn nieuczciwej konkurencji wobec tych, którzy zawodowo zajmują się bezpieczeństwem i na bezpieczeństwie zarabiają. Czyn nieuczciwej konkurencji polegałby na dostarczaniu za darmo informacji, które normalnie dostaje się np. w ramach pentestów, a więc na pozbawieniu zarobków osób zajmujących się bezpieczeństwem.

Chyba tak jest w Twoim wyimaginowanym świecie. Oczywiście że wszelkie luki się raportuje, niektóre korporacje nawet płacą za coś takiego jeśli w ich systemach znajdzie się lukę. Co oczywiście nie idzie w sprzeczności z szeroko stosowanym dobrowolnym raportowaniem. Niestety, ale z tego wszystkiego wynikło że- jeśli faktycznie znalazłeś jakąś lukę- to okazałeś się ***** (wstaw dowolną inwektywę) bo postanowiłeś nie dzielić się szczegółami w imię jakiejś pokrętnej logiki.

Ty nie jesteś kimś, żeby mnie oceniać.

A jeśli to ja, to multikonta na 4P są zabronione? Chyba nie, przynajmniej w regulaminie nie ma takiego zapisu

Jest zakaz obchodzenia banów, co właśnie robisz. Jak taki specjalista jesteś w znajdowaniu luk to znajdź sobie odpowiedni zapis w regulaminie na ten temat.

O, a gdzie?

Mniejsza o regulamin, który jest tak napisany, że każdy może polecieć za widzimisie kogokolwiek z ekipy, bez informacji nawet, ale co ma na celu ten temat? Podałeś dwa fakty - ktoś a ja myśle, że Ty zgłosiłeś pomówienie o luce w serwisie. Potem po kilku dniach inny fakt - ktoś coś zacommitował - nie ma tutaj żadnego powiązania. Co tym chcesz pokazać? W projektach robi się mnóstwo commitów.

Prodzisz napisał(a):

A jeśli to ja, to multikonta na 4P są zabronione? Chyba nie, przynajmniej w regulaminie nie ma takiego zapisu :D

§4. 2.

pieczarek napisał(a):

Co tym chcesz pokazać? W projektach robi się mnóstwo commitów.

Ale nie w każdym poprawia się walidację w ciągu 3 dni od zgłoszenia "nieistniejącej luki".

somekind napisał(a):

Prodzisz napisał(a):

A jeśli to ja, to multikonta na 4P są zabronione? Chyba nie, przynajmniej w regulaminie nie ma takiego zapisu :D

§4. 2.

"Użytkownik może korzystać z Forum pod warunkiem, że dostęp do Serwisu nie został mu odebrany (patrz §9 niniejszego Regulaminu)."

No na szczęście dostęp do forum nie został mi odebrany, czego dowodem jest m.in. niniejszy post :-)

Użytkownik forum to człowiek, nie konto.

I znów poleciał i się nie wysłowił o co mu biega. Powinien od tego zaczynać, może jakiś manifeścik napisać, zdaje sie ma dużo czasu.

Stawiam dolary przeciwko orzechom, że to jest multikonto jakiegoś wieloletniego użytkownika, który na codzień wypowiada się normalnie i po prostu z nudów trolluje. Muszę przyznać, że to nawet zabawne :)

przekazanie bardziej szczegółowych informacji mogłoby w mojej ocenie stanowić czyn nieuczciwej konkurencji wobec tych, którzy zawodowo zajmują się bezpieczeństwem i na bezpieczeństwie zarabiają

Dokładnie, tak samo jak widzę złodzieja, który kradnie samochód to w żadnym wypadku nie podejmuję działań - bo przez policję oraz firmy ochroniarskie mogłoby to zostać uznane za wchodzenie w zakres ich kompetencji i nieuczciwą konkurencję. Nie wspominam już nawet o tych idiotach, którzy w ramach wolontariatu siedzą w hospicjach czy innych szpitalach i w ten sposób szkodzą pielęgniarkom :D

Serio, nie wiem, co myśleć. Jeśli to trolling to doceniam i wielki szacun, podziwiam za wytrwałość i pomysłowość. A jeśli Ty tak na serio to polecam kontakt z lekarzem lub farmaceutą, gdyż kontakt z bazą masz mocno osłabiony.

imo bezsensowna analogia z tym złodziejem samochodów.

Bardziej pasuje tu: jak widzę, że od samochodu odpadła ważna część, to ostrzegam właściciela o potencjalnym zagrożeniu wypadkiem, nie wdając się w szczegóły techniczne, bo po co? (analogicznie: poprzedni wątek na forum)

Jednocześnie informuję producenta o zagrożeniu, również nie informując o szczegółach, żeby dla pewności sprawdził całą linię produkcyjną. (mail do support@)

O 11 minut zajęło mu założenie nowego konta. Analogia jeszcze lepsza - widzisz, że gość zostawił otwarte okno w aucie, krzyczysz do niego "Twoje auto jest narażone na złodziei", gość sie pyta "jak, ale ocb?", a Ty "Przecież powiedziałem!". Gość idzie wynieść śmieci, widzi otwarte okno, to je domyka po czym drzesz się "In your face złamasie!"...

Nie rozumiem tej analogii, przecież po zwróceniu uwagi w ten sposób, na widok otwartego okna każdy by wiedział, o co chodzi.

Coraz ciekawiej się robi na tym forum. No i po co się błaźnisz dalej @Prodzisz @dialout czy jak tam dalej?
Takie samobiczowanie sprawia Ci przyjemność?
Podchodząc do tematu jak to robisz, to piszę do wszystkich producentów aut, że mają problem i niech sobie sprawdzają.
Opisz jasno co to za luka w tych commitach, jak ją wykorzystałeś i co da się osiągnąć.
Jeśli nie umiesz, to zamilknij. Wróć na forum za kilka lat jak już dorośniesz do tego.

jurek1980 napisał(a):

Coraz ciekawiej się robi na tym forum. No i po co się błaźnisz dalej @Prodzisz @dialout czy jak tam dalej?
Takie samobiczowanie sprawia Ci przyjemność?
Podchodząc do tematu jak to robisz, to piszę do wszystkich producentów aut, że mają problem i niech sobie sprawdzają.

Chyba nie myślisz, że pisałem o luce w Coyote do adminów wszystkich forów w Internecie?

Opisz jasno co to za luka w tych commitach, jak ją wykorzystałeś i co da się osiągnąć.
Jeśli nie umiesz, to zamilknij. Wróć na forum za kilka lat jak już dorośniesz do tego.

Przecież @Adam Boduch napisał, że dodaje walidację. To powinno być oczywiste, jak otwarte okno w zaparkowanym bez nadzoru samochodzie.