Frage:
Fordert man eine "Spende", bevor man Schwachstellen aufdeckt?
Jacco
2017-10-30 15:14:52 UTC
view on stackexchange narkive permalink

Wir wurden von einem "unabhängigen Sicherheitsforscher" über das Projekt Open Bug Bounty kontaktiert. Die erste Kommunikation war in Ordnung und er gab die gefundene Sicherheitslücke bekannt. Wir haben das Loch geflickt und "Danke" gesagt, aber eine Spende abgelehnt (siehe unten).

Der Forscher schickte daraufhin eine Folge-E-Mail, in der er sagte, dass er mehr Schwachstellen gefunden hat, aber weil wir dies nicht getan haben. Wenn Sie keine Spende machen, behält er diese Schwachstellen für sich.
Mit anderen Worten, er sagte uns nur, dass er mehr Schwachstellen habe, würde diese aber nicht offenlegen, nachdem wir beschlossen hatten, die vorgeschlagene freiwillige Spende nicht zu zahlen.

Nach meinem Verständnis entspricht dies nicht mehr dem verantwortungsvollen Verhalten des weißen Hutes. Habe ich Recht mit dieser Behauptung?


Update
Ja, die Person hat den vorgeschlagenen Betrag für die Spende ausdrücklich angegeben.

Die verschiedenen Gründe für die Nichtzahlung der angeforderten "Spende" sind:

  • die vorgeschlagene Höhe der "freiwilligen Spende" in Kombination mit der Schwere der festgestellten Sicherheitsanfälligkeit,
  • Die fragliche Sicherheitslücke wurde laut unseren Protokollen nicht von einer "hochqualifizierten" Person gefunden, sondern von einem automatisierten Tool,
  • der Tatsache, dass das Open Bug Bounty-Projekt erwähnt ausdrücklich, dass keine Zahlung erforderlich ist,
  • der passive aggressive Tonfall.

Das Obige in Kombination mit der Tatsache, dass, während wir uns im Prozess von befinden Das Einrichten eines Bug-Bounty-Budgets und der damit verbundenen Richtlinien haben wir noch nicht abgeschlossen.

Lassen Sie uns klar sein: Wir haben weder ein Kopfgeld festgelegt noch eines versprochen, und wir haben es getan nicht für dieses Projekt anmelden. Das Open Bug Bounty-Projekt ist ein nicht verbundenes Projekt, das ausdrücklich sagt: " Es gibt jedoch absolut keine Verpflichtung oder Pflicht, Dankbarkeit auszudrücken

.

Beachten Sie auch: Ich unterstütze zwar einen rechtlichen Rahmen zum Schutz gutgläubiger Sicherheitsforscher, aber dieser rechtliche Rahmen existiert derzeit in unserer Gerichtsbarkeit nicht. eine Tatsache, auf die unsere juristische Person nur allzu gern hinweisen wollte.

Wenn Sie der Meinung sind, dass sich der Forscher unethisch verhält, können Sie ihn den Leuten von Open Bug Bounty melden, glaube ich.Und ich gebe Ihnen zu, dass jemand, der sagt: "Ich habe Fehler, zahle, wenn Sie wissen wollen, was sie sind", sich schlecht verhält (für mich fühlt sich das ein bisschen wie Erpressung an).Auf der anderen Seite, da Sie nicht angegeben haben, warum Sie sich geweigert haben, beim ersten Fehler ein Kopfgeld zu zahlen, bin ich mir nicht sicher, warum Sie glauben, dass dieser Forscher Ihnen die Tageszeit geben würde - diese Leute sind für das Geld dabei.
Ich habe ein Problem mit dem "Weil wir keine Spende gemacht haben, wird er diese Schwachstellen für sich behalten".Klingt bestenfalls nach kindlichem Verhalten oder schlimmer nach Extorsion.Natürlich bedroht er niemanden, aber es heißt implizit "das nächste Mal bezahlen oder mit unbekannten Schwachstellen umgehen".Und wenn der Typ nicht dumm ist, könnte er diese Schwachstellen trotzdem wo offen legen, ohne es vorher zu erklären.
@Kaël Es ist ein interessantes Rätsel.Wenn der Forscher die Ergebnisse nur vergräbt, dann ist es so, als hätten sie die Forschung nie durchgeführt, so dass es schwierig ist, Foul zu nennen.Wenn sie Heldentaten schufen und sie an Kriminelle verkauften, würde das definitiv als Erpressung erscheinen.Wenn sie sie nur in der Welt veröffentlichen, wird das OP auch von ihnen erfahren, sie haben einfach keinen Vorsprung.Eine ganz andere Sichtweise ist, dass das OP bereits kostenlose Hilfe erhalten hat.Warum sollten sie damit rechnen, mehr kostenlos zu bekommen?Ich denke, wenn man es als "Spende" bezeichnet, wirken die Dinge jedoch schäbiger.
@Jacco können Sie erläutern, was eine Antwort für Sie bedeuten könnte?Wenn die Antwort "Nein" lautet, was ist Ihr nächster Schritt?Fragen Sie, ob dieses Verhalten auf eine Bedrohung hinweist, vor der Sie sich schützen müssen?
@schroeder, Die Software wird neu geschrieben (Hauptrefaktor), daher ist der Wert der Kenntnis der genauen Schwachstellen gering (obwohl interessant).Mein Hauptanliegen ist die Einstellung, die im Grunde sagt: "Wir haben Schwachstellen in Ihrer Software gefunden, Pay-up";Es ist die implizite Bedrohung, die mir etwas ausmacht.Ich denke, das Verhalten zeichnet ein schlechtes Bild für unabhängige / freiberufliche Forscher.
@Jacco Angesichts der Beteiligung eines Kopfgeldprogramms eines Drittanbieters, das Legitimität bietet und den gesamten Kontext des Szenarios verschiebt, ist nichts klar - dies könnte ein schwarzer Hut oder ein frustrierter weißer Hut sein
@JohnDeters, Angesichts des aktuellen Vorschlags kann ich ihm legal kein Geld bezahlen, selbst wenn ich wollte.Wenn ich jetzt bezahle, stimme ich der Erpressung zu und begebe damit ein Verbrechen.
Sobald die andere Partei eine Bedingung für den Erhalt von Geld gestellt hat, kann dieses Geld nicht mehr genau als "Spende" bezeichnet werden.Es wäre fair und höflicher und ehrlicher für sie zu sagen: "Ich glaube, ich habe einige andere Schwachstellen gefunden, die ich Ihnen gerne verkaufen werde. Hier ist eine Liste meiner früheren zufriedenen Kunden. Sie können sich gerne an sie wenden, um zu überprüfen, ob ich es bin."bin ehrlich und erfahren. "
`Angesichts des aktuellen Vorschlags kann ich ihm legal kein Geld bezahlen, selbst wenn ich wollte.Wenn ich jetzt bezahle, stimme ich der Erpressung zu und begebe damit ein Verbrechen. "In welchem Fall ist es definitiv ein schwarzer Hut. Warum also den Faden machen?
@JᴀʏMᴇᴇ Weil Ethik und Recht nicht immer zusammenfallen.Ich habe nach dem ethischen Teil des Problems gefragt.Ich hoffte, dass die Community einen Konsens erzielen würde, aber es scheint, dass die Frage nicht zu so etwas geführt hat.
Fünf antworten:
Hector
2017-10-30 15:52:50 UTC
view on stackexchange narkive permalink

Nach meinem Verständnis entspricht dies nicht mehr dem verantwortungsvollen Verhalten von „White Hat“. Habe ich Recht mit dieser Behauptung?

Weißer (und grauer / schwarzer) Hut sind vage Begriffe. Es gibt keine feste universelle Definition. Nach den Wikipedia-Definitionen würden die meisten Forscher als Gray Hat angesehen, da es nicht ungewöhnlich ist, zu veröffentlichen, wenn der Softwarehersteller das Patchen ablehnt.

Die einfache Antwort auf Ihre Frage lautet Nein. Wenn es Ihr Ziel ist, die Welt sicherer zu machen, stimmt dies eindeutig nicht direkt überein. Es gibt ein indirektes Argument: Durch die Förderung der finanziellen Belohnung wird eine gesündere Beziehung zwischen Unternehmen und Forschern gefördert und mehr Menschen auf dem Gebiet ermutigt.

Warum fragst du überhaupt? Der Forscher ist in keiner Weise verpflichtet, Ihnen dies mitzuteilen. Wenn Sie nicht nachweisen können, dass er gegen das Gesetz verstoßen hat, um die Schwachstellen zu finden, haben Sie keinen Einfluss darauf, ihn zu zwingen. Bis heute haben Sie mehrere Stunden Arbeit von einer (hoffentlich - sonst wirft sich das in ein schlechtes Licht) hochqualifizierten Person völlig kostenlos erhalten. Entweder sehen Sie es als wertvoll an, ihn dafür zu bezahlen, dass er weiterhin Dienste anbietet, oder Sie tun es nicht.

* Wenn ich den Titel sehe, würde ich behaupten, dass dies kein Black Hat-Verhalten ist, es sei denn, er nutzt die Sicherheitslücken absichtlich zu seinem eigenen Vorteil oder zu Ihrem Vorteil eigenen Schaden (/ gibt sie direkt an jemanden mit dieser Absicht). Wenn er sich nur weigert, das Argument offenzulegen, liegt das zwischen den Definitionen für weiß / graue Hüte.

PStag
2017-10-30 17:44:53 UTC
view on stackexchange narkive permalink

Der Forscher hat die Sicherheitsanfälligkeit nicht erstellt und nicht damit gedroht, das, was er gefunden hat, freizugeben oder auszunutzen. Wenn Sie nicht für seine Arbeit bezahlen möchten, tun Sie dies nicht und Ihrem Unternehmen geht es nicht schlechter als vor seiner Kontaktaufnahme. Tatsächlich hat er Ihnen die Gabe gegeben, Ihnen mitzuteilen, dass es eine Sicherheitslücke gibt, die Sie selbst oder durch einen anderen Auftragnehmer finden können.

Also nein, er hat nichts Unethisches getan.

Wäre es nicht unethisch, sich einer Organisation anzuschließen, die behauptet, Spenden seien nicht obligatorisch, und dann eine Spende zu verlangen?
@corsiKa "sich ausrichten"?Auf der Open Bug Bounty-Website konnte ich nichts über die anhaltende Abhängigkeit zwischen Organisation und Person, die berichtet hat, finden.
Arminius
2017-10-30 19:04:28 UTC
view on stackexchange narkive permalink

Ich bin ein Insektenjäger und ich habe keine Ahnung, warum jeder hier der Meinung ist, dass es vollkommen in Ordnung für ihn ist, Ihre Website ohne Erlaubnis anzugreifen, selbst einen Kopfgeldbetrag zu ermitteln und potenziell gefährliche Fehler zurückzuhalten, weil er diese nicht bekommt das Geld, das er will. Warum hat er nicht vorher nach Ihrer Politik gefragt? Sie haben nie behauptet, ein Bug-Bounty-Programm auszuführen oder in der Lage zu sein, irgendjemanden für irgendetwas zu bezahlen.

Um dies noch einmal zu klären, hat sich OP nicht für das Open Bug Bounty-Projekt angemeldet. Das Projekt bietet an, ein Vermittler zwischen Forschern und Websites zu sein, die kein Kopfgeldprogramm durchführen. Außerdem erwähnen sie ausdrücklich, dass Sie nicht zur Zahlung verpflichtet sind, und der Forscher sollte sich dessen bewusst sein, wenn er die Richtlinien liest.

Ein Websitebesitzer kann dem Forscher auf eine Weise seinen Dank aussprechen, die er für am besten geeignet und verhältnismäßig zu den Bemühungen und der Hilfe des Forschers hält. Wir empfehlen Website-Eigentümern, dem Forscher mindestens ein Dankeschön zu sagen oder eine Empfehlung in das Profil des Forschers zu schreiben. Es besteht jedoch keinerlei Verpflichtung oder Pflicht, sich zu bedanken.

(Hervorhebung meiner eigenen)

Wenn er eine Geldsumme erwartet Belohnung, er sollte nach Fehlern in Unternehmen suchen, die tatsächlich ein Kopfgeldprogramm durchführen. Es gibt viele seriöse Programme, die hohe Belohnungen zahlen.

Der Forscher schickte daraufhin eine Folge-E-Mail, in der er darauf hinwies, dass er mehr Schwachstellen gefunden hat. Da wir jedoch keine Spende geleistet haben, wird er diese behalten Schwachstellen für sich.

Wenn er sie bereits gefunden hat und es nicht sehr aufwendig ist, sie in eine Liste aufzunehmen und Sie wissen zu lassen, dann finde ich es unethisch, die Fehler zurückzuhalten. 1 sup> Sie haben nicht gefragt er soll für dich arbeiten. Er hätte sich erkundigen können, ob Sie vorher für Fehler bezahlen. Und er hat Ihnen nicht so sehr sein Fachwissen für eine Spende angeboten - Ihrer Beschreibung nach klingt es eher nach einer leichten Bedrohung, dass Ihre Website in Gefahr ist, wenn Sie ihn nicht bezahlen.

Nehmen Sie diesen Vorfall als Hinweis, dass Sie mehr in Ihre Sicherheit investieren müssen. Erwägen Sie die Einrichtung eines echten Bug-Bounty-Programms mit kleinen Kopfgeldern oder die Einstellung eines professionellen Penetrationstesters. Aber lassen Sie ihn kein Geld von Ihnen erpressen, wenn Sie es nie versprochen haben.

1 sup> Es ist nicht so, dass er freie Arbeit für Sie leisten sollte. Es ist die Tatsache, dass er erwähnt, dass es etwas gibt, das er Ihnen nicht sagen wird , es sei denn, Sie zahlen ihm einen bestimmten Betrag, der es unethisch macht, insbesondere wenn eine Ausbeutung dieser Fehler die Zukunft Ihres Unternehmens gefährden könnte.

Auf der verlinkten Seite wird auch erwähnt, dass sie "eine Null-Toleranz-Richtlinie für unethische Aktivitäten im Zusammenhang mit Einsendungen haben. Wenn das Verhalten des Forschers an Erpressung grenzt [...], werden solche Einsendungen sofort gelöscht."Der Forscher ist also definitiv aus der Reihe.
Nur eine Frage von jemandem außerhalb dieser Domain.Ich gehe davon aus, dass der Berichtsprozess für diese gefundenen Fehler kein trivialer Arbeitsaufwand ist.Warum sollte ein Forscher ethisch verpflichtet sein, weitere Anstrengungen zu leisten, wenn es eine Fehlausrichtung darüber gibt, wie er * "dem Forscher auf eine Weise seinen Dank ausdrückt, die er für am angemessensten und verhältnismäßigsten zu den Bemühungen und der Hilfe des Forschers hält" *?Wenn ich der Meinung bin, dass der Ausdruck der Dankbarkeit nicht angemessen und verhältnismäßig ist, warum sollte ich dann weitere Anstrengungen zur Verbesserung des Codes unternehmen?
Er war nicht verpflichtet, nach den Fehlern zu suchen.OP ist jetzt tatsächlich besser dran als zuvor, als der Sicherheitsforscher sie kontaktierte.OP kennt jetzt eine Sicherheitsanfälligkeit und weiß auch, dass andere existieren.All diese wertvollen Informationen erhielt OP kostenlos.Ich habe sogar versehentlich Schwachstellen gefunden und sie aus verschiedenen Gründen nicht gemeldet.Bin ich jetzt ein böser schwarzer Hut?Ich könnte sie wahrscheinlich verwenden, um Geldverluste für diese Unternehmen zu verursachen.Dies wäre ein Verhalten mit schwarzem Hut.Aber nirgendwo muss ich die Informationen über die Sicherheitslücken teilen.
@Myles Ich habe meine Argumentation in der Antwort klargestellt.Der Reporter sollte keine zusätzliche Arbeit leisten.Aber er nutzt sein Wissen über mehr Sicherheitslücken eindeutig als Hebel, um an Geld zu kommen.Er beschloss, die Fehler zu erwähnen, um Druck auf OP auszuüben, mit der impliziten Drohung "Sie müssen nicht bezahlen, aber dann kann ich Ihre Sicherheit nicht garantieren".Außerdem ist es normalerweise nicht so teuer, bereits gefundene Fehler in einer einfachen Liste zusammenzufassen.
@Arminius von OP: * Der Forscher schickte daraufhin eine Folge-E-Mail mit dem Hinweis, dass er mehr Sicherheitslücken gefunden hat. Da wir jedoch keine Spende geleistet haben, wird er diese Sicherheitslücken für sich behalten. * Es gibt eine Annahme in "... es sei dennSie bezahlen ihn ... ", dass der Tester weiterhin um Geld bittet, während der Tester nach den Angaben des OP seine Beteiligung beendete, weil die vorherige Anfrage nicht erfüllt wurde.Es gibt keine Aussage darüber, dass der Tester diese fehlenden Fehler bereitstellen wird, nachdem er entschieden hat, dass diese Organisation es nicht wert ist, behandelt zu werden.Vermisse ich hier etwas?
@Myles Ich bin mir nicht sicher, worum es Ihnen geht.Ich behaupte nicht, dass der Forscher nach der ersten Nachuntersuchung eine weitere E-Mail mit der Bitte um Geld gesendet hat.Ich behaupte auch nicht, dass der Forscher die Fehler später bereitgestellt hat.
@Arminius Basierend auf den Aussagen des OP hat der Forscher im ersten Follow-up nicht um Geld gebeten.Lesen Sie sorgfältig * *, aber weil wir keine Spende geleistet haben, wird er diese Schwachstellen für sich behalten. * Keine Aufforderung zur Einreichung von Geldern, lediglich eine Beendigung der Beziehung.Das ist wesentlich dafür, dass es nicht erpresserisch ist.Können Sie Ihre Grundlage für die Annahme klären, "... dass es etwas gibt, das er Ihnen nicht sagen wird, wenn Sie ihm nicht diesen bestimmten Betrag zahlen ..."?Ich sehe in den dargestellten Informationen einfach kein "es sei denn, Sie zahlen".
@Myles In diesem speziellen Kontext gehe ich davon aus, dass von * "Ich gebe Ihnen keine wertvollen Informationen, weil Sie mich nicht bezahlen." * Folgt * "Ich würde Ihnen wertvolle Informationen geben, wenn Sie mich bezahlen." * Das ist offensichtlichfür mich, von dem, was OP berichtet hat.
@Arminius Ich bin damit nicht einverstanden.Ich denke, es ist ein logischer Sprung, der auf einer unbegründeten Annahme beruht.Vielen Dank für die Klarstellungen, ich habe ein viel besseres Verständnis für Ihre Argumentation.
@Josef: Obwohl es stimmt, dass OP besser dran ist, zu wissen, dass es eine Sicherheitslücke gibt, ist das Argument meiner Meinung nach umstritten.Dies ist wie wenn jemand Ihr Haus betritt, weil die Haustür nicht verschlossen war (oder das Schloss mit einem Dorn öffnete), nachdem er alle Türen in der Nachbarschaft ausprobiert hat.Dann hinterlässt dieser Typ einen Brief auf Ihrem Küchentisch, in dem Sie aufgefordert werden, ihm Geld zu geben.Ernsthaft?Was lässt Sie denken, dass das gesamte Unternehmen legitim und zunächst nicht sehr kriminell ist?Die Tatsache, dass jemand sagt "Oh, aber ich breche und gehe ein, nur um dein Zuhause sicherer zu machen"?Dies wurde nicht verlangt.
@Damon Was hat das mit der Frage zu tun, ob es um die Ethik geht, um Geld zu bitten, um eine gefundene Sicherheitslücke aufzudecken?Die Ethik, ohne Einladung nach Schwachstellen zu suchen, ist eine ganz andere Frage.
@Damon: Ihre Analogie hätte lauten sollen, anstatt "einen Brief auf Ihrem Küchentisch zu hinterlassen", "die offene Tür an die Verbrechensbekämpfungsvereinigung in der Nachbarschaft zu melden, die Berichte über Schwachstellen fördert".Ein ziemlicher Unterschied.Und die Realität ist, dass, wenn diejenigen, die über Schwachstellen informiert werden, nicht bezahlt werden, es kaum einen Anreiz gibt, diese Schwachstellen offenzulegen.Und schließlich frage ich mich, warum es Open Bug ** Bounty ** heißt?
@Damon die Analogie wäre so korrekter: Ich gehe an OPs nach Hause und sehe, dass sein teures Fahrrad ungesichert auf dem Rasen steht.Auch ein Fenster im ersten Stock ist offen und eine Leiter direkt darunter.Ich gehe zur Tür, klingele und sage OP "Hey Mann, dein Fahrrad ist ungesichert. Ich würde das reparieren."OP sagt mir "F * ck off you ass".Ich gehe weg und sage ihm: "Wenn Sie meine Hilfe nicht schätzen, werde ich Ihnen nichts über Ihre anderen Sicherheitsprobleme erzählen. Auf Wiedersehen!".Was genau ist daran falsch?Wenn meine Hilfe nicht geschätzt wird, werde ich sie nicht bereitstellen.
Mark Stewart
2017-10-31 00:04:54 UTC
view on stackexchange narkive permalink

Er muss nichts preisgeben - aber er wusste, dass Sie in der zweiten Runde nicht bezahlen. Was ist seine Motivation? Sie können es nicht wissen - also nutzt er diese Lücke, um Druck auf Sie auszuüben, um zu zahlen.

Da er jedoch nicht damit gedroht hat, Malware freizugeben oder an schwarze Hüte zu verkaufen, ist er möglicherweise rechtlich und vielleicht sogar klar ethisch gesehen, wenn er dies niemals tut oder wenn er nur einen offenen Dump des Exploits macht, ohne ihn an schwarze Hüte zu verkaufen.

Er könnte ihn legal an Nationalstaaten und Sicherheitsunternehmen verkaufen, ohne jedoch die Bedeutung zu kennen Von Ihrem Code ist es unmöglich zu sagen, ob dies ein verkaufsfähiger Ort für den "Forscher" ist.

Die Zahlung eines fairen Marktwerts ist wahrscheinlich die beste Wahl. Die Person hat Zeit mit der Recherche verbracht und die Informationen haben einen Wert für Sie. Auch wenn sie es offen veröffentlichen, ist er rechtlich klar. Es kommt darauf an, welchen Schaden eine Veröffentlichung ohne Benachrichtigung für Sie anrichten würde. Wenn die Antwort nicht viel ist, ignorieren Sie sie. Ansonsten kommen Sie mit dem Geld. Dies ist übrigens rein zweckmäßig - spricht nicht wirklich für die Ethik. Ethisch gesehen hätte er die Recherche Ihrer App / Website einstellen sollen, von der er wusste, dass Sie nicht an einer Zahlung interessiert waren, es sei denn, es gibt öffentliche Daten, von denen er glaubt, dass Sie sie gefährden.

Eine tatsächliche ethische Analyse!Willkommen auf der Website.
"Selbst wenn sie es offen veröffentlichen, ist er rechtlich klar." Sind Sie sich da sicher?In allen Gerichtsbarkeiten?
Eine verwandte Version davon könnte darin bestehen, die Person als Auftragnehmer einzustellen (da das OP befürchtet, dass es sich um Erpressung handelt).Wenn einfache automatisierte Tools ausreichen, um Exploits in Ihrer Software zu finden, ist es möglicherweise sinnvoll, jemanden auf die Gehaltsliste zu setzen, um diese Software auszuführen.Ich würde argumentieren, dass es nicht als Erpressung gelten sollte, wenn Sie einen geschäftlichen Bedarf identifizieren, sich seinen Lebenslauf ansehen und ihm einen fairen Lohn zahlen, der auf seinen tatsächlichen Fähigkeiten und seinem Ruf basiert.Wenn er nur automatisierte Tools ausführt, ist dieser Preis möglicherweise niedrig (sogar niedriger als die "Spende"), aber es kann sich um Wiederholungsgeschäfte handeln.
A. Hersean
2017-10-30 21:27:40 UTC
view on stackexchange narkive permalink

Auch wenn dies gesetzlich nicht vorgeschrieben ist, halten es viele für unethisch, jemanden nicht für seine Arbeit zu entschädigen. Dies ist unabhängig von den Werkzeugen, die diese Person für ihre Arbeit verwendet hat, oder dem Ton, der für die Kommunikation verwendet wird, insbesondere da ein Ton in der schriftlichen Kommunikation leicht falsch interpretiert werden kann.

Diese Person hat Ihnen eine Probe ihrer Arbeit geschenkt und dann gehänselt Sie mehr zu haben. Dies ist eine gängige Geschäftspraxis und in keiner Weise ein böswilliges Verhalten.

Aus den in der Frage enthaltenen Informationen kann der Forscher daher genauso gut in gutem Glauben und ohne böswillige Absicht handeln. Das OP könnte in der Darstellung der Fakten voreingenommen sein und versuchen, den Forscher als schwarzen Hut zu rahmen, um seinen Standpunkt zu legitimieren. Das ist nur eine Vermutung, und das OP könnte in gutem Glauben sein und der Forscher könnte das OP tatsächlich bedroht haben, aber das ist unklar.

Das sind viele Werturteile ... abgesehen davon wird Ihr letzter Absatz von den anderen Antworten abgedeckt.
@schroeder Das OP bittet um ein Werturteil.Ich könnte meinen letzten Absatz entfernen.
Basierend auf der Frage kann die Sicherheitslücke von einem Programm gefunden werden.Ich weiß, dass die meisten Urheberrechtsgesetze keine Arbeiten abdecken, die von einer Maschine erzeugt werden können.Natürlich sind eine Sicherheitslücke und etwas, das urheberrechtlich geschützt ist, zwei verschiedene Dinge, aber sie teilen eine Art Kern.
Sie sagen also, wenn Sie eines Tages von der Arbeit nach Hause kämen und jemand Ihren Rasen gemäht hätte, wären Sie ethisch verpflichtet, diese Person zu bezahlen?Das Unternehmen hat den Forscher nicht gebeten, diese Arbeit auszuführen, daher kann ich mir keine mögliche Grundlage vorstellen, für die er verpflichtet wäre, den Forscher zu bezahlen.
"Auch wenn es gesetzlich nicht vorgeschrieben ist, halte ich es für unethisch, jemanden nicht für seine Arbeit zu entschädigen."- Wenn Sie um die Arbeit gebeten hätten und zumindest angedeutet hätten, dass es eine Zahlung geben würde, dann hätten Sie Recht.Eine Arbeit zu machen, die nicht verlangt wurde und dann eine willkürliche Zahlung verlangt, ist jedoch eine ganz andere Situation.
@itsme2003 Gute Analogie, aber etwas anders.Sie sind nach Hause gekommen und haben festgestellt, dass jemand Ihren Rasen gemäht hat.Du akzeptiertest.Er kam später zurück und beantragte diesmal erneut eine Entschädigung.Du hast ihm nicht gesagt, er soll das erste Mal scramen, also nahm er an, dass es in Ordnung ist, es noch einmal zu tun.
@Itsme2003 Der Rasenmäher müsste zuerst in Ihr Eigentum eindringen, das ist illegal.Der Forscher drang nicht in das Informationssystem des OP ein (dies wäre in den meisten Ländern ebenfalls illegal).Außerdem hat nichts gebrochen, gegenüber dem Rasenmäher (der das Gras geschnitten hat).
@A.Hersean wie ist ein nicht autorisierter Sicherheitstest mit einem automatisierten Tool *** kein *** Eingriff?
@schroeder Ein nmap-Scan oder die Verwendung von testssl.sh sind keine Eingriffe.Gleiches gilt für das Basteln mit offen zugänglichen Daten (auf der Suche nach Fehlern in HTML + JS + Cookies).Dies ist vergleichbar mit dem Fotografieren einer Immobilie und dem anschließenden Analysieren.SQLi wäre ein Eingriff, da es zur Offenlegung privater Informationen oder zur Ausführung von Fremdcode durch das System verwendet wird.
@A.Hersean Sie machen Überstunden, um die spezifischen Details im Szenario abzulehnen und durch Ihre eigenen Vorurteile zu ersetzen, weil Ihnen eine Aktion, die das Unternehmen aufgrund einer bewussten Entscheidung durchgeführt hat, nicht gefällt.Ich ziehe mich nur zurück.
@schroeder Aus meiner Sicht scheinen Sie so viele Annahmen zu treffen wie ich.(Ich mache keine Überstunden) und ich mache ein kontroverses Urteil, weil es genauso gültig ist wie die in den anderen Antworten gemachten (ich bin hier nur der Anwalt des Teufels).Das OP präsentiert den Forscher als jemanden in böser Absicht, ohne ihn mit Beweisen zu belegen. Es könnte auch andersherum sein.Darüber hinaus bittet das OP um eine Stellungnahme, die Menschen müssen nicht zustimmen (diese Frage auf Eis zu legen, war das, was zu tun war).
@A.Hersean Sie lehnen die angegebenen Fakten aktiv ab, ersetzen sie durch Ihre eigenen und urteilen dann persönlich über den Charakter des OP.Das ist sehr, sehr anders, als die angegebenen Tatsachen zu akzeptieren (auch wenn sie möglicherweise voreingenommen sind) und das Gedankenexperiment voranzutreiben.Sie haben das OP auf persönlicher Ebene * angegriffen *.Das ist einfach * nicht * ok.
Ich habe meine Antwort neu formuliert.Ich hoffe, es passt besser zu den erwarteten Standards dieses Ortes.Ich bin damit einverstanden, dass mein Ad-Hominem-Angriff zu weit ging, es war nicht nötig, um meinen Standpunkt zu verdeutlichen.Ich hoffe, @jacco akzeptiert meine Entschuldigungen.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...