Comments 19
В итоге я получил 100 Euro.
Раскрывать название компании и клиентов компании я не стал по морально-этическим соображениям.
Ну и представители за репутацию переживают.
А Вы подписывали какие-то документы о нераспространении информации? Если нет — может, стоит поинтересоваться у представителей компании-разработчика не против ли они, чтоб Вы раскрыли продукт и компанию? Если не против — смело тут их указывайте. А если против — намекнуть, что Вы готовы заключить соглашение о нераспространении, но не за бесплатно. Может, удастся на этом «поднять» больше 100 евробаксов.
Заодно можно ссылку на эту статью кинуть — возможно, это повлияет на окончательную стоимость, на которой остановитесь. Всё же одно дело в бложике с 3 читателями, и другое — на крупном ресурсе
Я думаю автор, сильно схож со мной и что потраченое собственное время, которое я должен был потратить на жену и детей отдых, я потратил на задачу, которая сильно меня вовлекла и выйти из этой матрицы уже было нельзя, а там хорошо что вообще за это заплатили, ибо я все проделал чисто из соственного любопытства и для возможного развития.
По крайней мере у меня так часто бывает, а изменить себя сложно и некому.
По крайней мере у меня так часто бывает, а изменить себя сложно и некому.
У меня ситуация как и у человека с ником ivanius. Меня сейчас расстраивает не размер вознаграждения. А то что исправление многие клиенты не получат…
Тут нужно не расстраиваться, а действовать: опубликовать информацию о наличии критического бага и предложить клиентам «без поддержки» потребовать у производителя бесплатного выпуска патча.
Ситуация аналогична той, когда спустя год после покупки в продукте обнаруживается опасный заводской брак, большинство компаний, дорожащих своим именем, его исправляют. БЕСПЛАТНО.
Публичное раскрытие уязвимостей из принципиальных соображений я могу понять, но шантаж в личных корыстных целях… в общем, очень хорошо, что позиция автора отличается от вашей.
Valya-roller ildarz
Господа, где в моих словах вы услышали что-то про рекет и шантаж? Может, разберёмся в терминологии? Я вот сейчас на всякий случай специально загуглил: мало ли — вдруг отстал от изменений в родном языке. Но нет. Как и ожидалось, синонимы этих слов — угроза и вымогательство. А про вежливый деловой разговор приходилось что-то слышать?
Если человек не умеет стоить свою речь иначе как: «не заплатите мне бабла — выложу с потрохами» — это действительно похоже на угрозу и вымогательство. А речь вроде: «Теперь, когда пофикшены дыры в продуктах, Вы не против, если я раскрою информацию о найденных багах и предостерегу пользователей, которым Вы не будете поставлять обновления? Если находите раскрытие этих фактов чувствительными — может, заключим соглашение о нераспространении, где будет изложено что можно раскрывать, а что — нет?» И дальше уж условия, на которых договоритесь. Заодно подсветив своё человеческое желание защитить клиентов, которым обновления не видать. Если уж они так и не засобираются обновления им бесплатно выкатить.
Разумеется, дальше развитие ситуации зависит от умения найти общий язык и заинтересовать другую сторону. Это уже не угрозы, а вполне вежливый деловой разговор. Удивительно, что приходится объяснять такие вещи. Возможна даже ситуация, когда услышите что-то вроде: «Делайте что хотите, но если нам это не понравится — затаскаем по судам». Или вообще окажется, что изучаемое ПО поставляется с Соглашением, в котором чётко прописан запрет на изучение или распространении какой-то информации. Тут уж действительно стоит подумать стоит ли овчинка выделки.
Господа, где в моих словах вы услышали что-то про рекет и шантаж? Может, разберёмся в терминологии? Я вот сейчас на всякий случай специально загуглил: мало ли — вдруг отстал от изменений в родном языке. Но нет. Как и ожидалось, синонимы этих слов — угроза и вымогательство. А про вежливый деловой разговор приходилось что-то слышать?
Если человек не умеет стоить свою речь иначе как: «не заплатите мне бабла — выложу с потрохами» — это действительно похоже на угрозу и вымогательство. А речь вроде: «Теперь, когда пофикшены дыры в продуктах, Вы не против, если я раскрою информацию о найденных багах и предостерегу пользователей, которым Вы не будете поставлять обновления? Если находите раскрытие этих фактов чувствительными — может, заключим соглашение о нераспространении, где будет изложено что можно раскрывать, а что — нет?» И дальше уж условия, на которых договоритесь. Заодно подсветив своё человеческое желание защитить клиентов, которым обновления не видать. Если уж они так и не засобираются обновления им бесплатно выкатить.
Разумеется, дальше развитие ситуации зависит от умения найти общий язык и заинтересовать другую сторону. Это уже не угрозы, а вполне вежливый деловой разговор. Удивительно, что приходится объяснять такие вещи. Возможна даже ситуация, когда услышите что-то вроде: «Делайте что хотите, но если нам это не понравится — затаскаем по судам». Или вообще окажется, что изучаемое ПО поставляется с Соглашением, в котором чётко прописан запрет на изучение или распространении какой-то информации. Тут уж действительно стоит подумать стоит ли овчинка выделки.
А может даже пофиксят дырки =D
Если нет никаких договоров о неразглашении, не раскрывать подобную компанию аморально, а не наоборот.
Вы молодец, что нашли и зарепортили. Однако, если беспрестрастно, то статья вызывает смешанные чувства.
> Но хорошо, что вообще что-то получил!
Вы сами сказали, что у компании нет багбаунти. Время вы тратили сами, вас никто не заставлял и не просил.
В таком случае 100E — это, правда, более, чем неплохая выплата. Да еще и расписали, как посчитали сумму! Право, вы придираетесь.
> Из-за «интересной» политики поддержки пользователей, большинство клиентов так и останется без этих критических обновлений и исправлений.
В чем интересность политики, дайте ссылку или текст? Откуда вывод про большинство клиентов — как считали? Компания реально не даёт обновления безопасности коммерческим клиентам?
Простите, не поверю без пруфов. Если это правда, то скрывать нечего — таких «героев» должны знать.
> В каком то смысле 0day получилась (уязвимость не имеющая исправления).
Это совершенно не 0day.
>На мой взгляд можно бы было поступить разумнее и благороднее. Microsoft вон все еще патчи выпускает для Windows XP.
Разумнее, благороднее — это красивые слова. Как именно они должны были поступить и что они не сделали? За M$ — вот не надо, вы вряд ли знаете, какие выкрутасы они вытворяют с вендорами по безопасности.
Таймлайн, кстати, тоже вполне даже приличный. 1 мес на XSS и 3 мес на CSRF для реально сложного продукта (а ДО это реально сложно ) — весьма и весьма хорошая скорость. Это же не овносайтик пропатчить, простите. В любой серьезный интерпайз выпускать фиксы надо крайне осторожно. Вот придется поподдерживать продукты с >100k пользователями на разнообразных платформах — ощутите =)
> Но хорошо, что вообще что-то получил!
Вы сами сказали, что у компании нет багбаунти. Время вы тратили сами, вас никто не заставлял и не просил.
В таком случае 100E — это, правда, более, чем неплохая выплата. Да еще и расписали, как посчитали сумму! Право, вы придираетесь.
> Из-за «интересной» политики поддержки пользователей, большинство клиентов так и останется без этих критических обновлений и исправлений.
В чем интересность политики, дайте ссылку или текст? Откуда вывод про большинство клиентов — как считали? Компания реально не даёт обновления безопасности коммерческим клиентам?
Простите, не поверю без пруфов. Если это правда, то скрывать нечего — таких «героев» должны знать.
> В каком то смысле 0day получилась (уязвимость не имеющая исправления).
Это совершенно не 0day.
>На мой взгляд можно бы было поступить разумнее и благороднее. Microsoft вон все еще патчи выпускает для Windows XP.
Разумнее, благороднее — это красивые слова. Как именно они должны были поступить и что они не сделали? За M$ — вот не надо, вы вряд ли знаете, какие выкрутасы они вытворяют с вендорами по безопасности.
Таймлайн, кстати, тоже вполне даже приличный. 1 мес на XSS и 3 мес на CSRF для реально сложного продукта (а ДО это реально сложно ) — весьма и весьма хорошая скорость. Это же не овносайтик пропатчить, простите. В любой серьезный интерпайз выпускать фиксы надо крайне осторожно. Вот придется поподдерживать продукты с >100k пользователями на разнообразных платформах — ощутите =)
>В таком случае 100E — это, правда, более, чем неплохая выплата. Да еще и расписали, как посчитали сумму! Право, вы придираетесь.
Мое возмущение вызвала не сумма а расчет. Никогда не встречал, на том же h1, когда к примеру одну xss считали как баг. А все остальные xss этого же продукта помечали дублями. Это даже с точки зрения QA коим я являюсь — неправильно.
>В чем интересность политики, дайте ссылку или текст? Откуда вывод про большинство клиентов — как считали? Компания реально не даёт обновления безопасности коммерческим клиентам?
Ссылку или текст не приведу. Но к сожалению все что я написал — не вымысел. Подтверждение я получил и от исполнительного директора данной компании. И от руководителя отдела тестирования. Да и задавал я вопрос по обновлению всех клиентов не на ровном месте. У меня за плечами опыт работы в течении нескольких лет на компанию разработчика подобного продукта. Там политики поддержки клиентов были абсолютно такие же. И от части я даже понимаю почему. Когда продукт прошел несколько ступеней развития, то внести любые существенные изменения во все версии крайне сложно. Не потому что их много. А потому что продукт-конструктор со своей прикладной бизнес логикой. Покрыть тестами все сочетания версий и конфигураций невероятно сложно. А прикладная разработка для каждой компании в процессе внедрения становится уникальной. Взять риск на то что ничего не ушатается при обновлении — точно никто не захочет.
>Это совершенно не 0day.
Не спорю. Согласен.
>Таймлайн, кстати, тоже вполне даже приличный.
Таймлайн стал таким, когда я озвучил что хотел бы опубликовать рассказ о подобных проблемах. Дабы люди не забывали что многие баги живут и по сей день. И как их тестировать. Практически сразу исполнительный директор подключился. И сроки исправления были обозначены реальные.
Мое возмущение вызвала не сумма а расчет. Никогда не встречал, на том же h1, когда к примеру одну xss считали как баг. А все остальные xss этого же продукта помечали дублями. Это даже с точки зрения QA коим я являюсь — неправильно.
>В чем интересность политики, дайте ссылку или текст? Откуда вывод про большинство клиентов — как считали? Компания реально не даёт обновления безопасности коммерческим клиентам?
Ссылку или текст не приведу. Но к сожалению все что я написал — не вымысел. Подтверждение я получил и от исполнительного директора данной компании. И от руководителя отдела тестирования. Да и задавал я вопрос по обновлению всех клиентов не на ровном месте. У меня за плечами опыт работы в течении нескольких лет на компанию разработчика подобного продукта. Там политики поддержки клиентов были абсолютно такие же. И от части я даже понимаю почему. Когда продукт прошел несколько ступеней развития, то внести любые существенные изменения во все версии крайне сложно. Не потому что их много. А потому что продукт-конструктор со своей прикладной бизнес логикой. Покрыть тестами все сочетания версий и конфигураций невероятно сложно. А прикладная разработка для каждой компании в процессе внедрения становится уникальной. Взять риск на то что ничего не ушатается при обновлении — точно никто не захочет.
>Это совершенно не 0day.
Не спорю. Согласен.
>Таймлайн, кстати, тоже вполне даже приличный.
Таймлайн стал таким, когда я озвучил что хотел бы опубликовать рассказ о подобных проблемах. Дабы люди не забывали что многие баги живут и по сей день. И как их тестировать. Практически сразу исполнительный директор подключился. И сроки исправления были обозначены реальные.
> Мое возмущение вызвала не сумма а расчет.
Вы противоречите сами себе.
Если вам важен фикс, то какая разница, как считали сумму.
Если вам важна сумма, то ваше возмущение можно понять.
> Никогда не встречал, на том же h1, когда к примеру одну xss считали как баг. А все остальные xss этого же продукта помечали дублями. Это даже с точки зрения QA коим я являюсь — неправильно.
Нууу… Здесь нельзя сказать определенно, не видя код. XSS это же проблема фильтрации ввода. Если весь ввод идёт через один интерфейс, то это именно 1 баг, а вы всего лишь нашли несколько его проявлений. Совершенно стандартная ситуация.
> Ссылку или текст не приведу. Но к сожалению все что я написал — не вымысел.
Ну хоть своими словами — в чем конкретно эта ужасная «интересность»? Не то, чтобы я не верил вашим словам, скорее я уверен в различной интерпретации. Но без текста говорить серьезно не о чем, и обвинять в «неправильности» — также некорректно.
> Таймлайн стал таким, когда я озвучил что хотел бы опубликовать рассказ о подобных проблемах.
Ох ох, чем дальше в лес, тем толще партизаны.
Простите, вот это уже звучит, как шантаж чистой воды.
Не говоря о том, что что БЫЛО БЫ, если БЫ — это сослагательное наклонение, которое выражает лишь ваше предположение.
Вы противоречите сами себе.
Если вам важен фикс, то какая разница, как считали сумму.
Если вам важна сумма, то ваше возмущение можно понять.
> Никогда не встречал, на том же h1, когда к примеру одну xss считали как баг. А все остальные xss этого же продукта помечали дублями. Это даже с точки зрения QA коим я являюсь — неправильно.
Нууу… Здесь нельзя сказать определенно, не видя код. XSS это же проблема фильтрации ввода. Если весь ввод идёт через один интерфейс, то это именно 1 баг, а вы всего лишь нашли несколько его проявлений. Совершенно стандартная ситуация.
> Ссылку или текст не приведу. Но к сожалению все что я написал — не вымысел.
Ну хоть своими словами — в чем конкретно эта ужасная «интересность»? Не то, чтобы я не верил вашим словам, скорее я уверен в различной интерпретации. Но без текста говорить серьезно не о чем, и обвинять в «неправильности» — также некорректно.
> Таймлайн стал таким, когда я озвучил что хотел бы опубликовать рассказ о подобных проблемах.
Ох ох, чем дальше в лес, тем толще партизаны.
Простите, вот это уже звучит, как шантаж чистой воды.
Не говоря о том, что что БЫЛО БЫ, если БЫ — это сослагательное наклонение, которое выражает лишь ваше предположение.
И чего это вы к человеку прицепились?
Да, статья раздутая, да XSS тривиальный, да автор любит деньги и славу не меньше остальных людей, но еще не научился это правдоподобно скрывать на письме.
Нет, косякнувшая сторона не молодцы, таймлайн приличный только до начисления вознаграждения, нет сброс паролей не стоит EUR100, как бы кто к этому не относился, если продукт хоть немного рыночный — от 1к. А разумный менеджер рассмотрел бы возможность сконтрактоваться на дополнительный аудит.
Обновления с фиксами только для обладателей «абонемента поддержки» — вот где шантаж чистой воды и свинство. Если вывоз за собою де*ьма кому-то в сладких снах представляется поддержкой, а не гарантийным обслуживанием, он имеет неиллюзорные шансы поближе познакомиться с реалиями действующего законодательства (и быть оплёванным в приличном обществе, разумеется).
Да, статья раздутая, да XSS тривиальный, да автор любит деньги и славу не меньше остальных людей, но еще не научился это правдоподобно скрывать на письме.
Нет, косякнувшая сторона не молодцы, таймлайн приличный только до начисления вознаграждения, нет сброс паролей не стоит EUR100, как бы кто к этому не относился, если продукт хоть немного рыночный — от 1к. А разумный менеджер рассмотрел бы возможность сконтрактоваться на дополнительный аудит.
Обновления с фиксами только для обладателей «абонемента поддержки» — вот где шантаж чистой воды и свинство. Если вывоз за собою де*ьма кому-то в сладких снах представляется поддержкой, а не гарантийным обслуживанием, он имеет неиллюзорные шансы поближе познакомиться с реалиями действующего законодательства (и быть оплёванным в приличном обществе, разумеется).
> нет сброс паролей не стоит EUR100,
Стоимость бага определяет владелец. В данном случае программы бб вообще не было.
Пришел человек, нашел баги (молодец), и под угрозой дисклоза требует скорейшего фикса. При том, даже не являясь клиентом. Как бы весьма сомнительное поведение.
>Обновления с фиксами только для обладателей «абонемента поддержки» — вот где шантаж чистой воды и свинство.
Абсолютно согласен. Поэтому и не верю на слово, и прошу конкретные тексты соглашений, т.к слишком очевидное свинство =)
Стоимость бага определяет владелец. В данном случае программы бб вообще не было.
Пришел человек, нашел баги (молодец), и под угрозой дисклоза требует скорейшего фикса. При том, даже не являясь клиентом. Как бы весьма сомнительное поведение.
>Обновления с фиксами только для обладателей «абонемента поддержки» — вот где шантаж чистой воды и свинство.
Абсолютно согласен. Поэтому и не верю на слово, и прошу конкретные тексты соглашений, т.к слишком очевидное свинство =)
>Стоимость бага определяет владелец. В данном случае программы бб вообще не было.
Пришел человек, нашел баги (молодец), и под угрозой дисклоза требует скорейшего фикса. При том, даже не являясь клиентом. Как бы весьма сомнительное поведение.
Попробую до вас донести свою «философию» еще раз. Я никогда не был материально-заинтересованным человеком работая на ту или иную компанию. Обычно мои материальные потребности закрывала внерабочая деятельность. После переезда все немного поменялось конечно, «философия» осталась, но это уже личное. Угрозу дисклоза для компании я не создавал и всегда оставался открытым для общения. Для компании я озвучивал возможность опубликовать историю только лишь по одной причине — после продолжительного молчания с их стороны было четкое ощущение что проблема уходит в бэклог. И мне было грустно наблюдать пассивную реакцию на происходящее. Я никогда не понимал и не понимаю когда кто-то находит проблему и публикует ее до фикса. Я всегда держу в голове ст.272 и возможные последствия. И я не сторонник называть названия компаний. Т.к понимаю что мои скилы не достаточные для того что бы увидеть все угрозы и риски. И есть вероятность что после публикации названия, придет более скиловый товарищ и сделает что-то непоправимое в отношении компании и ее клиентов. Публикацию я написал лишь в образовательных целях. Дабы мои коллеги не забывали включать базовые проверки безопасности того что тестируют. Ведь тестировщики — это первые люди которые видят продукт до выкладки на прод. И в их руках ответственность за то что случится после выкладки. Ну, а компании, как я считаю, должны периодически заказывать квалифицированный пентест продукта. У меня все.
Пришел человек, нашел баги (молодец), и под угрозой дисклоза требует скорейшего фикса. При том, даже не являясь клиентом. Как бы весьма сомнительное поведение.
Попробую до вас донести свою «философию» еще раз. Я никогда не был материально-заинтересованным человеком работая на ту или иную компанию. Обычно мои материальные потребности закрывала внерабочая деятельность. После переезда все немного поменялось конечно, «философия» осталась, но это уже личное. Угрозу дисклоза для компании я не создавал и всегда оставался открытым для общения. Для компании я озвучивал возможность опубликовать историю только лишь по одной причине — после продолжительного молчания с их стороны было четкое ощущение что проблема уходит в бэклог. И мне было грустно наблюдать пассивную реакцию на происходящее. Я никогда не понимал и не понимаю когда кто-то находит проблему и публикует ее до фикса. Я всегда держу в голове ст.272 и возможные последствия. И я не сторонник называть названия компаний. Т.к понимаю что мои скилы не достаточные для того что бы увидеть все угрозы и риски. И есть вероятность что после публикации названия, придет более скиловый товарищ и сделает что-то непоправимое в отношении компании и ее клиентов. Публикацию я написал лишь в образовательных целях. Дабы мои коллеги не забывали включать базовые проверки безопасности того что тестируют. Ведь тестировщики — это первые люди которые видят продукт до выкладки на прод. И в их руках ответственность за то что случится после выкладки. Ну, а компании, как я считаю, должны периодически заказывать квалифицированный пентест продукта. У меня все.
Ну попробуйте донести =)
Давайте смотреть. Вы пишите:
" Для компании я озвучивал возможность опубликовать историю только лишь по одной причине — после продолжительного молчания с их стороны было четкое ощущение что проблема уходит в бэклог. "
Далее, из вашей статьи:
«19 июля — были сделаны репорты
9 августа — подтверждены все репорты и начислено вознаграждение»
Вот даже если тупо вычесть — от репорта до выплаты прошло 3 недели. Вы же упоминали h1, значит вам должны быть приблизительно знакомы расклады по времени, и вы прекрасно знаете, что 3 недели — это быстрая реакция. Это для компаний, которые _специально_ ведут бб.
Посчитаем теперь точнее. 19 июля — это среда, середина рабочей недели. На чей-то email среди гор спама прилетает ваш репорт (или у них есть публичный багтрекер? вряд ли).
Его могли пропустить, не понять, отодвинуть. Ок, допустим сообщение перенаправляют разработке. Скорее всего до понедельника им серьезно заняться не успеют, даже если приняли и поняли.
Итак, у нас осталось 2 недели + пара дней до выплаты вам денег.
Идём дальше. Июль-август — это период отпусков, все планы нужно слепо умножать на 2-3, потому что — увы, мало кому под силу держать реплику к каждому разработчику, а людям над отдыхать и они обычно хотят делать это летом.
В это оставшееся время нам следует уложить, очень утрировано:
— организацию общения с вами
— воспроизведение бага, заведение репортов, корректировка текущих планов из-за фиксов
— анализ проблемы, поиск решения, фактический фикс
— прогон тестов, тестовые сборки, передача в тестинг
— прогон тестов, регрессий, итп
— подготовка и выпуск релиза/фикса в паблик
Дальше, не знаю о какой стране речь, но скорее всего так везде: юр лицо не может вот так взять и просто начислить вам даже 1$, с записью в бухгалтерии «ну вот Вася нашел баг и мы решили заплатить ему денег». Т.е даже не говоря о размере выплаты, нужно организовать финансовые моменты, чтобы законно перечислить вам денег.
Я напомню, у нас на дворе лето и это, вероятно, более-менее крупная организация. Увы, с ростом организцаии — растёт и бюрократия, замедляющая процессы, это просто факт.
Поэтому я выступаю на стороне защиты нашей неведомой компании. Если даты в вашей же статье правильные, то у вас просто не было времени на «четкое ощущение что проблема уходит в бэклог.» Ну вот просто по календарю — не было =)
Давайте смотреть. Вы пишите:
" Для компании я озвучивал возможность опубликовать историю только лишь по одной причине — после продолжительного молчания с их стороны было четкое ощущение что проблема уходит в бэклог. "
Далее, из вашей статьи:
«19 июля — были сделаны репорты
9 августа — подтверждены все репорты и начислено вознаграждение»
Вот даже если тупо вычесть — от репорта до выплаты прошло 3 недели. Вы же упоминали h1, значит вам должны быть приблизительно знакомы расклады по времени, и вы прекрасно знаете, что 3 недели — это быстрая реакция. Это для компаний, которые _специально_ ведут бб.
Посчитаем теперь точнее. 19 июля — это среда, середина рабочей недели. На чей-то email среди гор спама прилетает ваш репорт (или у них есть публичный багтрекер? вряд ли).
Его могли пропустить, не понять, отодвинуть. Ок, допустим сообщение перенаправляют разработке. Скорее всего до понедельника им серьезно заняться не успеют, даже если приняли и поняли.
Итак, у нас осталось 2 недели + пара дней до выплаты вам денег.
Идём дальше. Июль-август — это период отпусков, все планы нужно слепо умножать на 2-3, потому что — увы, мало кому под силу держать реплику к каждому разработчику, а людям над отдыхать и они обычно хотят делать это летом.
В это оставшееся время нам следует уложить, очень утрировано:
— организацию общения с вами
— воспроизведение бага, заведение репортов, корректировка текущих планов из-за фиксов
— анализ проблемы, поиск решения, фактический фикс
— прогон тестов, тестовые сборки, передача в тестинг
— прогон тестов, регрессий, итп
— подготовка и выпуск релиза/фикса в паблик
Дальше, не знаю о какой стране речь, но скорее всего так везде: юр лицо не может вот так взять и просто начислить вам даже 1$, с записью в бухгалтерии «ну вот Вася нашел баг и мы решили заплатить ему денег». Т.е даже не говоря о размере выплаты, нужно организовать финансовые моменты, чтобы законно перечислить вам денег.
Я напомню, у нас на дворе лето и это, вероятно, более-менее крупная организация. Увы, с ростом организцаии — растёт и бюрократия, замедляющая процессы, это просто факт.
Поэтому я выступаю на стороне защиты нашей неведомой компании. Если даты в вашей же статье правильные, то у вас просто не было времени на «четкое ощущение что проблема уходит в бэклог.» Ну вот просто по календарю — не было =)
Sign up to leave a comment.
Как скомпрометировать систему документооборота в несколько кликов