Comments 36
Ссылка на дзен в качестве подтверждения вашего тезиса о законности опубликоания переписки - это сильно. Хотелось бы тем не менее услышать юриста, наверняка тут на Хабре есть специалисты по всему
Переписка же публичная, по ссылке открывается обсуждение в телеге со свободным доступом
Подожди, но о каком нарушении тайны переписки может идти речь? Переписка не является тайной для её участников, и каких-то юридически значимых соглашений о неразглашении между участниками явно нет.
Не может идти речи и о клевете, или публикации каких либо порочащих сведений, ведь это слова другой стороны-участницы
А уж то что опубликованное не является личной и/или семейной тайной участников…
Там всё очень сложно и можно посмотреть под разными углами. Поэтому нормальный юрист не даст такого однозначного ответа. Есть определённые позиции КС и ВС, которые можно толковать в пользу автора статьи. Но, если, допустим, там был подписан NDA на хакер ван, то всё уже становится не так однозначно.
С моей точки зрения спорить разработчикам не стоило.
Какая разница баг это или CVE это всё равно должно быть поправлено, особенно, если это по части финансов.
Я работал на один банк, так там за каждую строчку могли список требований выкатить. И у тебя не было права не согласится.
И с точки зрения безопасности это правильный подход.
С точки зрения кода, то когда тебе разработчик высказывает свою идею и обязывает тебя к реализации, при том что она приносит массу проблем и минимум пользы, то вот тут всё очень плохо. Особенно, когда это даже не касается финансов и вообще чего-либо значимого в проекте, и даже не значимого не касается.
Поэтому я могу понять такие ситуации, когда такие "разработчики" встают в позу и всячески пытаются тебя задавить авторитетом, принизить твои навыки и опыт или выжить тебя с проекта вообще.
Например, меня задавили тем что "вот этот разработчик вообще-то ментейнер open source проектов", я промолчал, хоть и сам помогал людям в open source проектах, но не ради того чтобы кичиться этим при любом удобном случае.
В этой ситуации, я считаю вы сделали всё правильно. В чем-то мне даже помогла ваша статья, что хоть и частично, но справедливость победила.
А с такими людьми, как эти двое я бы не хотел работать. Особенно со вторым, который аж входит в Linux Security что-то там. Больше всего таких не люблю.
Желаю вам победы в этой ситуации и по больше покоя) В таких ситуациях его очень сильно не хватает.
Я работал на один банк и самым ценным сотрудником был разработчик 70 лет, который за каждую строчку с требованиями мог по матери и прожекта и продакта далеко и надолго, делал те задачи, которые хотел - после сокращения проекта ушел на другой за два часа, а не за неделю на бенче.
Свое мнение и границы тоже надо уметь отстаивать.
Дисклеймер: в статье приведены скриншоты из моих личных переписок с разработчиками. Публикация таких переписок одной из сторон не требует согласия другой
Не берусь судить, является ли в нашей стране публикация выдержек из личной переписки уголовным преступлением, но определенно так делать не принято. На то это и личная переписка.
Незаконной является публикация переписки если вы не были её участником, а, например, получили доступ по служебной необходимости (например почтальон знает содержимое телеграммы). Почему-то бытует мнение что публикация любой переписки не законна. Это не так
Я не про законность. Я про вынос личной переписки на публику без согласия другого участника этой переписки. Закон этого не запрещает, но такое поведение считается не этичным.
Мне кажется - при оценке этичности стоит оценивать конкретное содержимое распространяемой переписки. Если там обмен сугубо технической информацией (как в данном случае) и не содержит данных о частной жизни - этичность не нарушена. Пересказ же своими словами всегда наводит на сомнения вроде: "а не был ли искажён смысл? Может, автор отсебятины добавил? Или фразу из контекста вырвал? А почему нет оригинала?".
Помню как выложил CVE, а вендор свзялася и пригрозил обратиться в органы если ещё такое проверну. Естественно, что после уязвимости не публиковались и не передавались вендору :)
Какой смысл со стороны разработчиков так остервенело отрицать факты? Чтобы не оказалось и толики сомнения в собственной непогрешимости? Других бенефитов я придумать не могу, они все по другую сторону, за признанием фактов)
В любой группе профессионалов есть те, кто уверен, что они безупречны. Причем, в общем смысле они - действительно, делают свою работу очень хорошо, но иногда случаются мелкие факапы, как у всех. Но вот признать это и исправить - не-не-не! Будут отрицать до-последнего.
Как я понял, эта проблема слишком фундаментальна и не имеет решения. Таким образом весь блокчейн в опасности.
Если только отчасти. В версии 3.0.0 сделали определённый фикс. Но, его логика отличается от EVM блокчейнов, где время следующего блока всегда строго "в будущем" (т.е. больше предыдущего). В Hyperledger Fabric время следующей транзакции может быть меньше предыдущего. И фикс лишь ограничивает эту разницу во времени. Т.е. на уровне смарт-контракта всё равно нужно учитывать этот нюанс.
Я бы сказал, что сейчас самая большая проблема блокчейна - отсутствие сложившейся практики безопасности. Причём на всех уровнях: от безопасной настройки блокчейна до кода смарт-контрактов. Подробнее на эту тему я рассуждал в статье Актуальные проблемы безопасности ЦФА и трансграничных платежей на основе блокчейн технологий
Основной минус статьи: огромное количество ссылок практически в каждом абзаце, и ознакомиться с их содержимым с телефона не получится не покидая статью.
Я наоборот за ссылки - подтверждает, что автор не придумывает факты на ходу. А, как редактор Вики, мне такие заархивированные ссылки душу согревают.
Ссылки не есть плохо. Просто представьте себе флоу при чтении статьи:
Читаем, натыкаемся на ссылку
Открываем ссылку, читаем текст по ней
Возвращаемся в статью
Переходим на пункт 1.
Учитывая количество ссылок в статье, это может затянуться. При чтении с пк это, несомненно, проще: можно фоном открыть все, и потом читать текст в каждой.
До 3 пункта можно не дойти, если текст по ссылке тоже их содержит.
Но ведь на мобильном устройстве тоже можно открывать ссылки в новых вкладках.
Если читать через оф приложение - нет.
Наличие ссылки не обязывает к нажатию на неё. Можно открывать только те ссылки, где хочется подробнее узнать о чём-либо.
я уверен, что когда докладчик с горящими глазами, и дрожащим голосом, рассказывает про ужасы и показывает что мол вот смотрите че может быть когда разработчик не понимает что он делает, а фреймфорк не читает мысли того самого разработчика и вот ужас, мы накрутили процентов... ну да, я уверен что все проголосуют что уязвимость....
в копиляторе С кстати дохера таких, например, когда пытаешься прочитать непроинициилизированный поинтер, а компилятор ничего с этой попыткой не делает
Мде. Походу челы ваще не понимают как нативный код работает, коли ждут от Сишечки проверок.
Зашел в этот телеграм-чат "Hyperledger Russia" - какой же он токсичный ). Или только из-за этих двух персонажей из статьи так кажется. Автору - победы.
Для меня вишенка на торте - где в канале Артём не стесняется выражаться в мой адрес.
эх, hyperledger fabric... Максимально странный блокчейн со своими приколами, самое веселье с ним начинается, когда начинаешь гонять большие данные, а тормоза couchdb при записи - это вообще песня. В итоге приходится там хранить данные одним гигантским жсоном, чтобы оно меньше тормозило, мне на эту тему до сих пор кошмары снятся
А можно и продать уязвимость вместе с poc, раз они такие оказались, компаний достаточно которые скупают подобные вещи.
Не знаю, каковы эти разработчики в программировании, но русский письменный они не потянули(
Информация о проблемах во взаимодействии с разработчиками в процессе багхантинга упоминается лишь изредка (и часто - вскользь).
А ведь они бывают.
Начиная отказом принять баг с формулировкой "а нечего что попало в адресную строку пихать", заканчивая угрозами и попытками судебного преследования за ст. 272 "Неправомерный доступ к компьютерной информации".
Как я зарегистрировал CVE и разозлил вендора