Pull to refresh

Comments 815

Но и писать лично администрации сайта или кто там за него отвечает я тоже не горю желанием

Не стоит публиковать открытые дыры на хабре.
Все же сначала лучше написать администрации и уведомить, что будет публикация уязвимости через Х дней.
И, не теряя времени, начать собирать вещи и сушить сухари. Нафиг-нафиг.
Однако я находил две серьезных уязвимости на mos.ru, репортил их и проблем не было.
Я сто раз перебегал дорогу на красный свет и проблем не было.
Тут должно быть сообщение того кто перебежал дорогу на красный свет всего один раз и получил проблемы. Но он не может, так как проблемы оказались серьезные.
Ну так и переходящий на «зеленый» регулярно погибают. Не имея на руках подробной статистики по ДТП на регулируемых пешеходных переходах, разбитой по группам «перебегающих» и времени суток, невозможно дать обоснованный ответ на вопрос что безопаснее: перебегать на красный или переходить на зеленый. Бытовая логика подсказывает, что зеленый безопаснее, но где гарантия, что это не устоявшийся миф или устаревшая информация? В конечном итоге, кому вы больше доверяете — незнакомому вам водителю, который может отвлечься, потерять управление или ехать на неисправном ТС или своей оценке?
Либо я метафору не понял, либо Вы не в ту степь пошли.

Допрос:
— Людям свойственно ошибаться, рано или поздно это всегда случается.
— Это ошибочное суждение, основанное на непонятных данных. Что если вы в состоянии поймать только тех, кто совершает ошибки? Это ведь исказило бы вашу статистику, разве нет?
(с) Лютер
Я один раз перебежал (поленился дойти до светофора) и отделался выговором. А мог бы и не выговором. Так что, не перебегаю с тех пор.
А мне как-то штраф возле родного универа вкатали. Продолжаю перебегать, предварительно убедившись в отсутствии помех (т.е. инспекторов).

Пора переходить на следующий уровень: не перебегать, а идти неспеша на красный.

Не надо так — если один-два таких человека пойдут неспеша на красный, то велика вероятность, что остальные на автомате полезут за ними, даже не посмотрев на светофор…
Я так и делал. Там (около универа) все равно не улица, а парковка, зря только светофор стоит :-)
То есть транспорт уже и не помеха?
Возле Университета было место, где народ переходил «накопившись». Когда человек 10-15 начинают одновременно переходить на красный — водители останавливаются…
У нас была кнопочка на столбе для такого.
В прошлом веке там никаких кнопочек не было точно.
Проблема была не серьезная, отделался трещиной в бедренной кости. С тех пор прошло лет 15, с тех пор не перебегаю, да и на зеленый перехожу после полной остановки машин ))
Мда… Я до сих пор с благодарностью вспоминаю водителя грузовика, который остановился, не поленился выйти и наорать на меня (лет 12 было). Что-то в голове перещёлкнуло, с тех пор не перебегаю. Если бы не наорал — так бы и бегал, наверно, какое-то время.
Однажды я перебежал на красный, было очень очень больно.
ОЧЕНЬ.
Я один раз перебежал, теперь не могу даже ходить.
Тоже сразу в паблик информацию кидали? Или как нормальные люди — в поддержку сервиса?
только поддержка у них, как по мне, не «нормальная»
Есть противоположный опыт пусть и не госниками, но около того. Да, без каких-либо последствий, но, как говорится «ложечки то нашлись, но ...».
а куда репортили?
как реагировала поддержка?
«пришлите то, что только что написали»?
я позавчера обнаружил, что с мобильной версии под Android (точнее, если User-agent браузера содержит строку "android") на mos.ru невозможно зарегистрироваться, зарепортил им, на запрос описания ошибки приложил подробное описание со скриншотами, только для примера указал номер телефона не свой, а все девятки, а мне в ответ
Для работы с Порталом необходимо вводить федеральные номера вида +7-9ХХ-ххх-хх-хх.

ха-ха… а я о чём писал?
*там ещё косяков, типа, «невозможно отправить обращение в техподдержку, будучи залогиненным», «при вводе кода подтверждения не срабатывает Enter — нужно кликать на „подтвердить“, etc… (как будто школьники писали)....
Через форму на сайте.
В первый раз реакция была так себе.
Во второй, более серьезный подход был, уязвимость тоже был серьезной. Можно было подать воду на любую жилую площадь. Т.е. скажем соседям сверху, написать 50 кубов.
Нет, почему, я бы вполне мог создать одноразовую почту на каком-нибудь зарубежном сервисе и написать им с него. Но, давайте честно, вместо того, чтобы прикрыть уязвимость, будут сначала пытаться искать отправителя. А сейчас, когда, я надеюсь, набегут скрипт-кидди или реально серьёзные люди до данных — они будут вынуждены сначала закрыть сайт, а потом латать дыры.
они будут вынуждены сначала закрыть сайт, а потом латать дыры.

Тем временем, сайт уже не работает.
он уже больше часа не работает :)

До сих пор не работает.

Экранирование для всех параметров сделать — это вам не тяп-ляп за пять минут… Боюсь, что большую часть будет быстрее переписать с нуля, в плане заботы о безопасности, чем пытаться обезопасить текущую версию…
Вчера сайт открывался быстро, и уязвимость уже была устранена (по крайней мере, эксплуатировать ее так, как описано в статье, не получалось).
«А давайте, если мы обнаружим дыру в заборе, то сначала напишем про неё. Меня не найдут. Но потом, если уж даже взорвут весь забор – они будут вынуждены признать несовершенство своего забора. И пофиг, что успеют разворовать за это время»…

Простите, но ничего, кроме такого вот жёсткого стёба, подобная логика не вызывает. На кону база по дипломам миллионов людей, которые не имеют совершенно никакого отношения к этому вот нашему «скрипт-спорту». И Вы сейчас открыто публикуете подсказки по тому, как конкретно (!) её ломать.
А если эту базу реально и по-крупному ломанут??? Я «выживу». Вы «выживете». Думаю, и большая часть комментаторов «выживет». А с остальным «подавляющим большинством» как быть? Об этом мыслей не было???

P.S. Во многом настолько резкий ответ продиктован чрезвычайно агрессивной реакцией Вашей образовавшейся «группы поддержки» (которую Вы уж точно не заказывали, она внезапно образовалась сама по себе, в чём Вам верю, честное слово!).
Я бы хотел рассказать о моих мыслях о причинах существования этой дыры:
1. Сайт делался на коленке и дыра просто была упущена. В 95% случаях я не первый, кто её заметил. Возможное решение: дабы ускорить пресечение пользования дырой рассказать об этом громко и чётко, так как официальное обращение растянуло бы этот срок.
2. Сайт делался на коленке, но разработчику было известно о дыре. И хуже того, было известно о том, что её используют. В 95% случаях я не первый, кто её заметил. Возможное решение: рассказать о дыре незамедлительно, чтобы у администраторов точно не было поводов и отмазок оставлять дыру незакрытой. К тому же сказать, что я всё скачал и так может сделать любой.

И раз уже в 95% случаях (цифра выдуманная, но я думаю, Вы со мной согласитесь) дыру уже нашли и ею пользовались, а все до сих пор живы — значит тут работает более крупная схема, для которой, наоборот, выгодно, чтобы подавляющее большинство было «живым». Это моя логика, но она может быть неверна.
1) Склоняюсь именно к такому варианту событий.
2) Тут, думаю, вряд ли. Умный админ-злоумышленник может сделать гораздо более изящный «ключик для своих». А глупый админ-злоумышленник просто не догадается прятать «вход» в настолько очевидных и палевных вещах. Впрочем, это просто ИМХО.

В любом случае, как уже много раз тут указывал – публичное оглашение всех деталей явно привлекло в дыру на порядки большее количество «желающих проверить», чем было ранее. И вот среди них уже могло быть немало настоящих злоумышленников.
И в итоге вреда от публикации получится гораздо больше, чем пользы (вновь напоминаю всю преамбулу истории с прошлогодними массовыми атаками, в которой пострадало множество обычных юзеров). Сейчас у нас нет никаких гарантий, что полная база уже не на чёрном рынке. Очень надеюсь, что это не так – в этом случае уже даже закрытие дыры никак не поможет, как понимаете…

Вот именно об этой простой логике (продумать все последствия) и именно об этой профессиональной этике («не навреди обычным пользователям») шла речь во всех моих комментариях…
Вы знаете, вы правы, я совершенно не задумывался о том, что это привлечёт внимание хакеров. И считаю, что правильно сделал. То, о чём вы говорите — очень притянуто за уши. Вы хоть раз заходили на этот сайт? Пробовали как-то с ним взаимодействовать? Запросики там смотреть? Вконтакте очень популярный сайт со сложной системой, «хакеров», пытающихся его взломать набирается тысячи ежедневно. Одноклассники те же. Сайт Пентагона, если уж говорить о классике. И это всё сложные сайты, и что-то я не замечаю, что их взламывали ежедневно из-за того, что много народа пытается это сделать. Тут же одна страничка! Она отправляет пост запрос. Страница при этом выводит ровно ту информацию, которая есть в БД, либо не выводит ничего. Совершить ещё одну ошибку на этом ресурсе просто невозможно. Если вы со мной несогласны — я не хочу спорить. Просто приведите пример возможной уязвимости этой страницы. Желательно проверьте, есть ли место ей быть. Если да — то я заберу свои слова обратно. Да и вообще — это государственный сайт, он первый в поиске по запросу проверки дипломов, им пользуются практически все уважающие себя работодатели, на него ведут кучу других государственных и негосударственных сайтов. А я, значит, внимание привлекаю.

P.S.: Скажу честно, привлечение внимание к сайту, на котором уже заделана дыра — очень уж, по-моему, притянутая придирка. Не то чтобы я пытаюсь обелить себя, но тут своей вины точно не вижу, ну не верю я. Можем остаться при своих мнениях, вряд ли я изменю своё — а вы своё. Если спор не изменит чьего-либо мнения, то он не нужен. Но я надеюсь, что следующий свой ответ вы аргументируете так, что не согласиться с ним будет невозможно
А я, значит, внимание привлекаю.

Вы привлекаете внимание не к самому ресурсу, а к дыре в нём. Это несколько разные вещи, мягко говоря…

Можем остаться при своих мнениях, вряд ли я изменю своё — а вы своё. Если спор не изменит чьего-либо мнения, то он не нужен.

Согласен. Тут по каждой из наших позиций – либо понимать, либо нет. Третьего просто не дано. И компромиссы невозможны, судя по всему.
UFO landed and left these words here
Ну так с левой почты через TOR отправить. Или с protonmail какой-нибудь.
Абсолютно согласен! Ну опубликуйте Вы статью через неделю, дайте людям закрыть дыру. Да и кашу Вы заварили круче, чем если бы сообщили о проблеме.
А кто будет закрывать? Сайт, наверняка, делался по тендеру за минимальную плату. У студентов, которым достались копейки за создание сайта — уже и договор кончился.

Это прямое следствие структуры госзакупок (кто предложил наименьшую цену — тот и молодец) и непонимая того, что сделать сайт мало — его ещё поддерживать нужно!

Пока это не изменится — вариантов нет. Не с кем там работать в настоящее время. Просто не с кем.

Вот когда накопится определённое количество «пожаров» и денег, срочно выделенных на «затыкание дыр» и появятся люди, с которыми есть о чём говорить, как в Гугле или Яндексе — тогда да, тогда смысл появится…

Гарантийное обслуживание никто не отменял.

Это не совсем так. Я сам некоторое количество лет назад был таким студентом, который по госзакупке в рамках университетской практики делал сайт для муниципального образования.
Поддержка там определённая, скорее всего, будет прописана. Но отношение подрядчика (работодателя студента) к этой задаче будет очень легкомысленным, т.к. те деньги, которые заявляют обычно за такие заказы обычно не очень включают в себя много поддержки.
В конкретно моём случае, несмотря на то, что я к задаче подходил ответственно, ресурсы разработки достаточно быстро были перекинуты с этого проекта на другие проекты коммерческих заказчиков.
Правда, в случае моего проекта это вылилось в не до конца реализованную функциональность, а не дырявый сайт. Но это тоже сомнительный плюс.
Сайт, наверняка, делался по тендеру за минимальную плату. У студентов, которым достались копейки за создание сайта — уже и договор кончился.

Согласен.
Но очевидные коррупционные косяки структуры госзакупок не отменяют того факта, что от публикации этой информации теоретически может пострадать множество обычных людей, к этой самой структуре не имеющие вообще никакого отношения…

Вы путаете причину и следствие — люди страдают не от публикации, а потому, что "этой самой структуре" плевать на защиту данных этих людей.

Это вы путаете причину и следствие.
Люди страдают не столько от самих косяков защиты – сколько от того, что кто-то публично (!) озвучил эти косяки защиты. Что позволяет ломануться в эти дыры всем желающим – даже тем, кто ранее про эти уязвимости даже не знал. Я ведь не зря тут ранее уже вспоминал прошлогодние вирусные атаки – в которых абсолютно большая часть вины лежала как раз на тех, кто уязвимости опубликовал…

Единственные "люди", которые страдают от публичности — те, которые хотели бы этой публичности избежать. В данном случае — чиновники, у которых из-за этой публичности могут начаться неприятности.


Все остальные люди страдают от самого факта наличия этой дыры. Потому что если о ней не знает владелец сайта, либо знает, но недостаточно мотивирован на то, чтобы эту дыру закрыть — значит этой дырой пользуются те, кто нашёл её ранее и решил использовать в личных целях.


Что касается теоретического увеличения количества пострадавших из числа "остальных людей" в результате публичного раскрытия… доля истины в этом, безусловно, есть. Тем не менее, я считаю что эти люди пострадали не в результате full disclosure, а потому, что государство сначала не проконтролировало безопасность проекта, и потом сделало всё, чтобы отбить у исследователей желание следовать responsible disclosure. Если Вас не устраивает такая логика, и Вы предпочитаете считать виновным не того, кто является причиной проблемы, а того, кто причинил конкретный вред — тогда вина не на исследователе нашедшем и опубликовавшем дыру, а на том взломщике, который воспользовался этой дырой для нанесения вреда конкретным людям.

Единственные «люди», которые страдают от публичности — те, которые хотели бы этой публичности избежать.


Вы знаете, пострадать могут не только чиновники. Вы точно не пострадаете? Хотя, можете в подтверждение своих слов публично выложить: ваше ФИО, дипломы об образовании (серия, номер, год поступления, год окончания), также СНИЛС, ИНН, серию и номер паспорта, дату рождения, также ваш email для регистрации, логин и пароль от сайта, если вы на нём зарегистрированы?

Вы путаете пострадавших от того, что их данные не защищены, и пострадавших от того, что этот факт публично вскрыли.

UFO landed and left these words here
Все остальные люди страдают от самого факта наличия этой дыры.

Прежде всего – люди страдают не «от самого факта наличия этой дыры». А от того, что кто-то этой дырой пользуется.
И вот после публикации – количество последних резко увеличивается, как правило.

Публично описывая дыру в заборе – вы сразу же резко увеличиваете количество тех, кто в эту дыру полезет. Поскольку среди тех, кто прочтёт эту вашу информацию-«подсказку» – находятся далеко не только добросовестные люди.

Поэтому важнее всего – закрыть дыру, а не раструбить о ней по всей сети. Если, конечно, вы заботитесь именно о людях (чьи данные лежат в той базе), а не о собственном пиаре или каких-то иных «принципах» (которые у вас почему-то оказываются выше людей)…

Как ещё понятнее объяснить этот момент, на каком языке???

Да всё вполне понятно. Конечно, закрыть важнее, и лучше всего сделать это по-тихому. Никто с этим и не спорит.


Проблема в том, что текущая политика такова, что государство не заинтересовано в том, чтобы закрывать дыры по-тихому, оно заинтересовано в том, чтобы люди опасались эту дыры искать, а найдя опасались о них рассказывать. Эта стратегия, при успехе, приведёт к тому, что чиновники не будут нести никакой ответственности за дыры, потому что все, кто о них знают будут молчать или тихо использовать в личных целях. Больше всех при успехе этой стратегии пострадают как раз обычные люди, а чиновники и криминал будут в шоколаде. И единственный способ сорвать эту стратегию — full disclosure, который и чиновникам не даст замести проблему под ковёр, и криминалу попортит налаженный бизнес.


И хотя в краткосрочной перспективе может пострадать чуть больше обычных людей, в долгосрочной это пойдёт им на пользу.

Простите, но вот про «государство заинтересовано в молчании» – дичайшая конспирология.
Даже при всей моей нелюбви к сами-знаете-кому… Но дискредитировать собственные же дипломы – явно не в их интересах. Особенно после совсем недавнего скандала (ну, вы поняли, о ком речь)).

Для любого государства (каким бы… эээ… «суверенным» оно ни было)) этот вот «вопрос престижа» своих документов – гораздо важнее вопросов личных интересов отдельных персон (максимум, подобное разрешается лишь в виде «отдельных случаев»). И это прекрасно понимают даже самые отмороженные личности.

Поэтому тот самый пропагандируемый вами «full disclosure», конкретно в данном случае – как раз-таки ставит под удар 99% совершенно обычных людей, лишь 1% из которых «блатные» и всякие прочие «придворные».
Стоит ли оно того???
Простите, но вот про «государство заинтересовано в молчании» – дичайшая конспирология.

Никакой конспирологии, это абсолютно прозрачные выводы из факта преследования по закону тех, кто пытался сообщать о дырах по принципу responsible disclosure. Понятно, что не у всех есть возможность выплачивать за это вознаграждения, но в любом случае реакция на responsible disclosure должна быть настолько позитивной, насколько это возможно — если не могут дать денег, то хотя бы могут выложить благодарность за бесплатную помощь в улучшении безопасности их сайта… хотя бы на этом же самом сайте. Когда вместо этого исследователей пытаются найти и наказать — где тут конспирология, ведь всё совершенно очевидно?


Более того, по текущим законам исследователи действительно виновны, если действовали без предварительного разрешения владельца сайта. И вот пока эти законы никто не пытается изменить, или хотя бы саботировать их применение на практике — говорить что в таком отношении заинтересовано государство вполне корректно.

Я тут уже неоднократно писал о том, что любой хоть сколь-либо стоящий спец – всегда знает, как обеспечить себе максимальную анонимность.
Поэтому все дальнейшие рассуждения про «найдут и накажут» – простите уж, но выглядят крайне сомнительно. Особенно в свете нынешних «тёплых(сарказм)» отношений с Западом – где богатейший выбор почт на любой вкус…

А решить все описанные проблемы – в их же интересах. Тут же ж понты дороже результата.

Я не хакер, но около 20 лет активно интересуюсь безопасностью с целью защиты своих серверов как админ и своих проектов как разработчик. Лет 5 назад написал здесь статью Немножно анонимен. В общем, в категорию "сколь-либо стоящий спец" я, вроде бы, должен попасть. И я Вам уже писал, что для обеспечивания уровня анонимности "выше среднего" придётся и деньги тратить, и, скорее всего, совершать противозаконные действия. Просто комбинация Tor и VPN это, в моём понимании, начально-минимальный уровень анонимности — против государства этого уровня недостаточно.


Если Вы знаете какой-то другой способ, как обеспечить анонимность против розыска спецслужбами, который не требует ни заметных финансов ни противозаконных действий — просветите нас, пожалуйста. А без конкретики "любой хоть сколь-либо стоящий спец – всегда знает, как обеспечить себе максимальную анонимность" звучит как "тыж программист".

Да к чему вообще такие заморочки? ))
Как минимум, пользоваться текущей внешнеполитической ситуацией: когда «наши» ресурсы особо не выдают информацию «ихним», но, что самое главное – и наоборот (поправьте, пожалуйста, если ошибаюсь).

Ну, а всякие там Торы и прочие… ИМХО, это либо уж для совсем левых дел, либо для «шапочек из фольги».
Да к чему вообще такие заморочки? ))

Чтобы желание сделать доброе дело не привело к реальному сроку.


И что касается наших и ихних — скорее всего в делах вроде розыска мелких хакеров они продолжают сотрудничать, потому что это выгодно обеим сторонам. Именно поэтому на Tor полагаться нельзя — может ФСБ он и не по зубам, но вот АНБ его прослеживать в состоянии, как минимум частично.


Подход в стиле "открыть новый аккаунт на gmail для отправки письма, они ничего нашим не выдадут" — это и есть вариант "одноразовый" этичный хакер.


Но я понял, что Вы имели в виду под "обеспечить себе максимальную анонимность" — нет, это не максимальная, и нет, это не помешает Вас найти, причём довольно быстро.

Я вовсе не спорю, что текущее российское законодательство конкретно в сфере IT, мягко говоря, «не блещет интеллектом» (впрочем, оно и в прочих сферах особо не блещет, но это уже совершенно другие вопросы))…

Но вот конкретно в том (ну, если уж принять за некую «действующую модель» именно Ваше описание), что касается всяческих «гадостей» друг о друге между противоборствующими структурами – вот тут эти точно друг другу ничего не дают. Ибо «интересы» там всякие, «лояльность агентов» и прочие сопли…

Поэтому, ИМХО, хотите «не светиться» в российских структурах – всяческие Gmail и иже с ним. Хотите наоборот – всяческие Mail.ru и иже с ним. Ну, и так далее…

По-моему, рассчитывать на холодные внешнеполитические отношения чтобы обеспечить себе анонимность по чисто уголовному расследованию, в котором не замешаны ни политика, ни большой бизнес, очень опрометчиво.

Ну пока действует – почему бы и не воспользоваться, ради благого-то дела? Особенно если заботитесь действительно об оказавшихся под угрозой пользователях…

Тем более, что на Западе «белый» хакинг вовсе не запрещён, насколько помню. Поэтому вполне могут даже и открыто отказать в предоставлении данных.

P.S. Разумеется, это вовсе не «панацея» – есть и другие способы скрыть свою личность гораздо более надёжно (особенно для реального специалиста). Это всего лишь как наиболее простейший вариант, самый доступный даже для тех самых «кидди»…

Откуда у вас уверенность, что пока действует? Мне бы не хотелось проверять на своей шкуре, до, как минимум, официального выхода США или России из договоров о правовой взаимопомощи, включая выход минимум одной из них из Интерпола. Вот кстати, пример взаимопомощи между государствами в куда более худших отношениях чем Россия и США: "с января по июль 2015 года Генпрокуратура РФ приняла решение о выдаче на Украину 25 запрашиваемых лиц, в то время как украинская сторона решила выдать российским силовикам только 12 беглецов." Вы будете рассчитывать на то Россия не выдаст вас Украине и наоборот по внешнеполитическим соображениям, если совершите обычное уголовное преступление.

Я же указал, что это лишь самый простой способ, из разряда «минимально необходимых». Ну для кого был PS-то? )

Я вообще не считаю это способом.

На мой взгдяд все было сделано правильно.

Интересный тренд. Гос и прочие структуры на сообщения об уязвимости на их информационных ресурсах не устраняют оные, но преследуют граждан по доброй воле сообщившие об этом.
— Добрый день господа, на вашем ресурсе по адресу … обнаружена уязвимость…
Уведомляю вас что через семь дней будет размещена публикация о подобном случае, она поможет вам мотивировать разработчиков для устранения несоответствия.
как то так.
И в ответ:

Добрый день, Александр Дорощенко, на вас заведено дело о неправомерном доступе, о шантаже и ещё какое-нибудь. Ваша информация очень важна для нас, мы обязательно с вами свяжемся в ближайшие 10 лет.

-=-=-

Я считаю, что владельцам сайтов необходимо заслуживать привелегию получать данные о дырах первыми.
Я считаю, что владельцам сайтов необходимо заслуживать привелегию получать данные о дырах первыми.
Поддерживаю двумя руками. Если веб-сайты хотят получать информацию об уязвимостях — пусть, как минимум, разместят отдельный раздел на сайле для них, где гарантируют, что попытка им помочь не приведёт, хотя бы, к тому, что нужно будет тратить кучу денег на адвоката. Ну а если там условные 100 рублей обещают — тогда ещё лучше.

Но по умолчанию — открытая публикация, желательно в ночь на воскресенье — и пусть развлекаются. Топикстартер итак им одолжение сделал, что в понедельник утром статью опубликовал…
UFO landed and left these words here

ФСБ, СОРМ и прочие? Не-не, я понимаю, можно сидя в южной америке в кафе без камер с бесплатным wifi с только что купленного ноутбука отправить им сообщение, вопрос был задан со словом "мешает". То есть не препятствует, но, эээ, немного мешает, в плане что когда будут искать крайнего, могут и найти даже если не подпишешься.

UFO landed and left these words here
Анонимно уже не получится, боюсь. Возможно, по логам можно узнать, кто это так интересовался сайтом в три ночи, что напрудил аж 14 миллионов гет-запросов (или что-то в этом духе)
А чем это отличается от публикации на хабре? Кто мешает завести дело сейчас?
Шантажа то нет. Никто не угрожает что уязвимость будет опубликована.
Дело на что? HTTP GET запросы не запрещены. Размещение с дыркой (когда можно достать обычными запросами) разве не тождественна публичному размещению, т.е. виновности разместивших ПД с нарушениями, а не увидевших и прочитавших их?

Аналогия которую имею ввиду — валяющийся среди людной площади документ с грифом секретности.
Впрочем, понимаю что такая аналогия просто для яркости и простоты дела, и не стоит к ней цепляться сильно.

И конечно, всецело согласен с много раз вышесказанным, — что про эти уязвимости, да по госсайтам особенно, можно сообщать только хорошо продумав вопрос анонимности с позиции клинического параноика (адекватного человека 21 века).
Правильно думаете. А то будете потом эти аналогии следователю рассказывать. Которому плевать на SQL-инъекции.
и который SQL-инъекцию воспримет как героиновую и заведет еще и дело о распространении наркотиков.

«Ну вы же сами сказали — инъекция, сами во всем признались, что делали инъекции»
У вас ошибочные представления о том, как работает система правосудия. И я даже не говорю о российском правосудии.
Следуя вашей логике, взломщик, открывая дверь ломом, вовсе и не взламывает её, а только лишь пользуется тем, что она недостаточно прочно заперта. Ну а воров вообще всех без исключения следует немедленно отпустить из тюрем. Если, скажем, кто-то положил свой телефон в задний карман — по вашей логике он, считай, сам предложил вору этот телефон аккуратно вытащить.
По существующим в России законам автор статьи совершил противоправное деяние, причём умышленно.
Давайте продолжим аналогию с телефоном в заднем кармане. Вот кто-то видит телефон в заднем кармане, и сообщает: «Чувак, у тебя телефон могут легко спереть». Тут никакого преступления нет.
Если кто-то случайно (действительно случайно!) ввел в форму single quote и сообщил об увиденной ошибке администраторам — это не преступление. Впрочем, лучше этого не делать — могут заподозрить в посягательстве на преступление, или даже пришить ранее совершённое нераскрытое. Таковы уж особенности российской Фемиды.
Теперь если кто-то видит телефон в заднем кармане, аккуратно его вытаскивает, показывает владельцу и говорит: «Чувак, я у тебя вытащил телефон — но я не вор, а так только, проверял, получится или нет». Тут уже налицо противоправное деяние, и стоит лишь вопрос вины (умысел, дееспособность и тд). В теории бремя доказывания по уголовным — на обвинении, но в России «особая» презумпция. Та же ситуация, если кто-то целенаправленно мудохает форму, пытаясь извлечь данные из базы — тут тоже налицо противоправное деяние, и тоже стоит лишь вопрос умысла и тяжести.
Я еще лучше аналогии придумал:
— Идете по коридору, а там дверь у соседа открыта… и т.д.
— Идете вы по парку, а там красивая девушка без трусов и без сознания лежит на скамейке в позе удобной…
— А тут раз и машина стоит заведенная, а тебе так хочется узнать, а ездит ли она.
Подобные рассуждения в голову тоже приходили, конечно. Что с одной стороны можно описанный автором случай трактовать как кражу со взломом. Ну или кражу через вход в дверь, которую забыли закрыть.
С другой стороны, это не прямой аналог кражи физических предметов, поскольку здесь всё что было «в квартире» там же и осталось, и даже ни одной бесполезной фарфоровой статуэтки не повреждено. Но у субъекта проникновения в доме появилось всё ровно то же, что было тут в квартире, с помощью чудесного волшебного 3D принтера-копировальщика. Какой тут ущерб?.. Отсканируй «супер3Dсканером» у меня телефон торчащий из кармана и «отсупер3Dраспечатай» себе такой же девайс — да сколько хочешь.

Тут ближе именно что-то связанное с документами и тайной (коммерческой, гос, ПД и т.п.). Но бросать документы такие посреди прохожей площади (размещение в Интернет без аудита безопасности) — нельзя, это преступление того кто «бросил», а не кто подобрал. Это взгляд с другой стороны. Разве не логичен?
К тому же ввод символа в поле формы ввода — что уж тогда не сажать немедленно тех, кто ввёл букву «а» в поле ввода? Причём даже ещё не нажавших кнопку отправки, — налицо же уже преступный умысел, в поле разработчиком ожидался другой ввод, а это уже явное покушение. Ведь бред же.
Где грань?
Что является преступлением, а что нет, определяется не аналогиями, не материальным ущербом или общественной опасностью, а статьями УК. Аналогию я приводил лишь для того, чтобы показать, что такое противоправное деяние.
В случае кражи — одна статья и одни действия, в случае папки с секретными документами — другая статья и другие действия, в случае неправомерного доступа к компьютерной информации — третья статья и совсем другие действия.
Можно поспорить о том, разумны ли такие законы или нет — но факт нарушения это не отменяет.
К тому же ввод символа в поле формы ввода — что уж тогда не сажать немедленно тех, кто ввёл букву «а» в поле ввода?

Умысел требует доказательства. В случае однократного ввода буквы «a» это будет крайне затруднительно.

Как по-вашему должны квалифицироваться действия по публикации найденной на улице папки с грифом "Совсекретно", даже если пришлось тесёмочки развязывать, а может даже пломбу срывать? Естественно, при условии, что к гостайне ты допущен не был, подписок о неразглашении не давал и т. п. По совести и по действующему в РФ УК?

Вот, к примеру, Австралия, наши дни. Волнуюсь за чувака.

Надеюсь, что законодательство Австралии в этом плане аналогично нашему, а правоприменительная практика сильно отличается в лучшую для граждан сторону.

Где грань?

Статья 17 УПК
«Судья, присяжные заседатели, а также прокурор, следователь, дознаватель оценивают доказательства по своему внутреннему убеждению, основанному на совокупности имеющихся в уголовном деле доказательств, руководствуясь при этом законом и совестью.»
Вот где-то там, во мраке внутреннего убеждения и совести эта грань пролегает. Не очень утешительно, но dura lex.
«Чувак, у тебя телефон могут легко спереть». Тут никакого преступления нет.
Если кто-то случайно (действительно случайно!) ввел в форму single quote и сообщил об увиденной ошибке администраторам — это не преступление. Впрочем, лучше этого не делать — могут заподозрить в посягательстве на преступление, или даже пришить ранее совершённое нераскрытое. Таковы уж особенности российской Фемиды.
Не вижу разницы между этими двумя ситуациями. «Впрочем» относится к обоим одинаково.
Вы еще напишите «TCP/IP не запрещен». В общем случае наличие уязвимостей не тождественно публичному размещению.

Автор осуществил несанкционированный доступ к информации без согласия владельцев системы и пользователей, чьи данные там обрабатываются.

Ну, эксперт проводящий анализ кода сайта вполне может написать "Разработчиками сайта предоставлена возможность любому желающему выполнять произвольные SQL-запросы к базе данных путём прямого включения данных HTTP-запроса в SQL-запрос. Технически это означает, что вся база данных выложена в публичный доступ". Адвокат обвиняемого сообщит "Прошу суд обратить внимание, что в тексте пользовательского соглашения не было ограничений на виды отсылаемых HTTP-запросов, то есть мой клиент не знал и не должен был знать, что некоторые виды отсылаемых запросов противоправны. Исходя из того, что целевое назначение данного сайта раскрывать персональные данные выпускников вузов третьим лицам, мой клиент не знал и не мог знать, что федеральное предприятие раскрывает персональные данные выпускников без их согласия. Мы имеем все основания считать, что федеральные предприятия не нарушают законы РФ, в частности законодательство о защите персональных данных граждан и выкладывая персональные данные в публичный доступ озаботилось наличием согласия субъектов персональных данных или имеет законную причину не иметь этого согласия для обнародования."

Позвольте уточнить, если вы положили свой телефон на стол в публичном месте — вы его тоже отдали в «публичный доступ»?
А если «эксперт по открыванию дверей» проникнет в вашу квартиру — можно тоже считать, что он «не знал и не мог знать» что доступ в квартиру ограничен?
Лежит на улице телефон, ты его поднял, ткнул ВКЛ, пароля нет, посмотрел контакты, нашёл контакт «мама» и позвонил "-здравствуйте, тут ваш телефон посеял...". Всё, п##ц? Должен налететь бобик гвардейцев кардинала, повесить три пули в голову, реанимировать, кинуть в любимых-граждано-возку и впаять 50 лет строгача? Ну как, контакты же чужие смотрел, использовал чужую вещь, и вообще ты хакер и общественно-опасный тип. Или что там?

Доступ в незакрытую квартиру — вот ты сосед, увидал что незакрыто, номеров телефонов нет, фатально прям никуда не торопишься, понимаешь что открыта она на видном месте и наверняка его дурака (возвращаясь к гос.сайтику, но в случае если сначала предупреждать о баге приватно) обчистят — и решил зайти внутрь и дождаться хозяина из благих побуждений (соответственно чтоб не обчистили). И? Хрясь, наламывается два БТРа собров, дубинят всё что можно, 150 лет одиночки с конфискацией и работами на урановых рудниках.

Вот что-то такое бредовое в наказаниях за сообщение уязвимостей я вижу.
И похоже сильно не я один.

И да, конечно, закон уже должен быть давно для таких случаев, чтоб сообщать можно было спокойно — всем же лучше.
То что автор кинулся сразу багом на публику, — к сожалению, и не одобряю, хотя понимаю — мне видится от бесполезности иного способа действий для достижения цели «оперативное устранение уязвимости» относительно некоторых контор в настоящий момент.
Вы утрируете. Между тем мы обсуждаем реальную ситуацию.
Даже за кражу телефона никто, конечно, стрелять не будет.
Если вы зашли в квартиру соседа, у вас будет правдоподобное объяснение ваших действий. Прокурору придётся доказывать ваш умысел (кражу или что там вам будут вменять).
В общем ничего бредового. Я говорю о реальной статье УК и реальном наказании, которое грозит ТС. Нужна такая статья или нет — разговор отдельный, вы смотрите с одной стороны, я смотрю с обоих. Главный аргумент «за» — если за противоправный доступ не наказывать, то реальные злодеи будут прикрываться white hack-ингом. Arguable, но не бред.

Прокурору в любом случае нужно доказывать умысел, прямой или косвенный. Только в редких случаях можно вынести уголовный приговор без доказательств умысла, только по объективной стороне дела.

Я имел в виду, что в одних случаях ему это будет сделать проще, а в других сложнее.

В идеальном мире, с реально работающей судебной системой, такое вполне могло бы прокатить. Но мы живём в другом мире.

Мы живём в мире, где вполне возможно обеспечить себе максимально возможную анонимность, особенно в наших условиях (полной не бывает вообще нигде, по определению).

Так, миль пардон – на… уя вы тут советуете людям подставляться под реальную статью и намеренно уходить от законных решений? Вместо того, чтобы просто максимально честно и максимально безопасно «слить» всё либо напрямую админам, либо их начальству (либо ещё выше)?

Гапоны, помнится, были ещё век назад. Неужели до сих пор сохранились? Крайне не хотелось бы в это верить – при наличии реальных объяснений с вашей стороны, конечно же…
Гос и прочие структуры на сообщения об уязвимости на их информационных ресурсах не устраняют оные, но преследуют граждан по доброй воле сообщившие об этом.

Была года два назад история в Словении: студент, уязвимость у гос. органов, 15 месяцев условно. Детали здесь.
Ссылка на Микротех уже не работает — публикация скрыта.
Слабо представляю, как тут можно вырулить по-хорошему: неправомерный доступ к информ.системе уже произведён, перс.данные скопированы из «защищённого» контура — т.е. формальные признаки правонарушения налицо. Не в интересах автора лично обращаться к федералам, они не поймут благих намерений.
Автор на полном серьезе должен сообщить, что данную историю услышал в кафе от незнакомых лиц и сделал публикацию. Какие могут быть в таком случае претензии?
>данную историю услышал в кафе от незнакомых лиц
В каком кафе? Какие лица?
Кафе «Берёзка», два лица славянской национальности, без особых примет
«В какое время происходила беседа?» -> Изъятие записей видеонаблюдения в кафе и с прилегающей территории -> Проверка наличия на записи как самого фигуранта, так и двух этих лиц… не обнаружены.

«Что кушали в кафе, на какую сумму, у кого заказывали?» — опрос сотрудников кафе, изъятие чеков с фиск.накопителя кассы, сопоставление… не подтверждается.

/Это я, как бы, за дознавателя сейчас играю…
В электричке два студента переговаривались. Сидел спиной и лиц не видел.
Тот самый эпичный вариант, когда пытясь отмазаться от одного подозрительного действия, человек нарушает закон уже явно — даёт заведомо ложные показания(307 УК РФ)…
Так вроде как дача заведомо ложных показаний применима только к свидетелям (тому кто проходит по делу, как свидетель), но не к обвиняемому.
А он на данный момент ещё не обвиняемый… (:
Коллеги, давайте будем точны в терминах.
А он на данный момент ещё не обвиняемыйосужденный
Коллеги, давайте будем точны в терминах.
UFO landed and left these words here
Ну, понятно, что сечас автору уже просто ничего менять не стоит. И заходить на хабр я бы на месте автора уже поостерёгся. Это-лишь вариант, как исходная информация могла бы быть представлена, чтобы задача «найти первоисточник слива» стала почти нерешаемой.

Не надо пытаться играть на чужом поле, считая себя умным, а правоохранительную систему — идиотами. Ибо потом "суд с недоверием отнесся к показаниями обвиняемого", и привет.

Нет оснований не доверять сотрудникам полиции (с)
Надо играть на чужом поле, считая себя самым умным, а правоохранительную систему — идиотами (ибо идиоты они и есть). Ибо суд в любом случае отнесется к показаниям обвиняемого с недоверием. Единственный вопрос — лучше не прохладные истории выдумывать, а просто молчать, у нас в стране пока презумпция невиновности, а что-то самостоятельно доказать идиоты из правоохранительных систем в судах второй инстанции не способны.
и лог провайдера со входящего впн сервиса на 5 гб
Ну, строго говоря, дамп на 5 гигов может лежать на виртуалке, болтающейся условно-незнамо-где, а у автора на домашней машине — в лучшем случае следы от ssh-а на ту виртуалку.
Студенты чётко и внятно переговаривались SQL запросами :)
UFO landed and left these words here
Автор на полном серьезе должен сообщить, что данную историю услышал в кафе от незнакомых лиц и сделал публикацию.

«Ствол не мой, случайно нашёл — иду сдавать, даже заявление вот уже написал.»
Не вижу разницы.
Только перед этим нужно почистить компьютер и удалить логи подключения у провайдера.
IP адресс с которого сделал скан — все еще на сайте. Так что поздно подтирать.
а толку? Если ТС делал со своего IP, то найти его можно простым grep'ом по логам nginx'а, если в GET параметрах, если POST и он логгируется, то чуть сложнее
*если POST и он НЕ логгируется
Достаточно добавить «so» в начале url'а: «habrahabr.ru» -> «sohabrahabr.ru», «geektimes.ru» -> «sogeektimes.ru».
они не поймут благих намерений.

Я бы тоже не понял. И если само скачивание данных (при условии, что потом он их удалил) могу принять за дейятельность по исследованию уязвимости (с теоретически благими целями), то сама публикация данной статьи с инструкцией по взлому — действие однозначно преступное.

+ Если бы на моём сервисе нашли уязвимость, сообщили о ней и после фикса написали бы статью, я бы только спасибо сказал(ну и если б была возможность, отблагодарил бы материально). А не сообщить и написать статью, чтоб набежали скрпитс кидди и засрали базу — это уже какое-то вредительство.
как я писал сильно ниже, не надо путать себя и госструктуру, в которой всем на все пофигу, пока люлей не прописали.
И всё таки можно было сообщить а уже в случае игнора написать статью, но ТС даже не попытался

Да он же:


  1. Бессмертный
  2. Не верит в карму
  3. Владеет карточкой выходом из тюрьмы
Такой SQL injection банально показывают в ВУЗах, когда учат студентов, «как не надо делать».
Преступное действие это этот ресурс вообще с такой детской SQL injection. И по хорошему наказать надо начиная с руководителя этого всего дела и до самого низа — исполнителя.

Да, но это не оправдывает автора статьи.

А исполнителя за что?
Исполнитель работает с известным качеством, с которым его нанимали (и зачастую даже лучше: чему-то научился). Наказывать надо CTO.
За то, что есть понятие врачебная ошибка, но нет понятия ошибка программиста. Хотя ущерб уже давно сопоставим в некоторых случаях.
Если он не знает что такое SQL-инъекция и не способен написать безопасный код то его задачи должны ограничиваться интернет-магазинами и домашними страничками всяких продавцов шаурмы.
Что значит «сопоставим»? Вы меня как программиста, обижаете. Предыдущая система которую я писал имела цену ошибки намного выше чем обычные выплаты людям, родственники котоых погибли по чьей-то ошибке.
Я же написал «сопоставим в некоторых случаях». Это значит что в некоторых случаях он такой же, в некоторых случаях он ниже, в некоторых случаях выше.
И в мыслях не было программистов обижать.
Это просто была неудачная шутка. Но в ней есть доля шутки, конечно.
Странно, что цену врачебной ошибки здесь рассчитывают в размерах выплат родственникам пострадавших…
Я всегда полагал, что человеческая жизнь бесценна.
Тогда её вообще бессмыссленно с чем-то сравнивать. Но тем не менее врачей за что-то штрафуют (в некоторых цивилизованных странах). Хотя надо просто простить — это же просто ошибка, стоимость которой всё равно невозможно оценить.
Каким образом из того, что цена ошибки неизмеримо огромна, следует, что за эту ошибку не следует наказывать?
Софистикой попахивает, простите.

Я лишь обратил Ваше внимание на то, что сравнивать дорогостоящую в финансовом смысле ошибку некорректно сравнивать с ошибкой ценой которой человеческое здоровье и, тем более, жизнь.
Люди, заявляющие о «бесценности человеческой жизни» либо — законченные идеалисты, которых ни к каким серьёзным решениям подпускать нельзя, либо — не менее законченные циники, которые пытаются делать вид, что уж то, чем они занимаются никакого отношения к человеческим жизням не имеет.

Если мы не можем оценить человеческую жизнь, то она, я извиняюсь, обесценивается. Как мы можем, скажем разрабатывать и применять лекарства у которых, на минуточку, в качестве возможного побочного действия имеется, скажем, «внезапная смерть»? А таких — не одно и не два.

Можно спорить о том, сколько стоит человеческая жизнь, но без возможности, скажем, сравнить экономию на газе где-нибудь в Великобритании с её стоимостью — как мы можем оценить последствия этой экономии? Люди замерзают насмерть — пусть и нечасто. Это уже трагедия или ещё можно на рыночную экономику уповать? Как оценить, если «жизнь бесценна» (то есть ничего не стоит — чего-то стоит только возможность получить штраф в суде)?
Людям делающим категоричные выводы — зачастую свойственно ошибаться.

Меня поражает, как уже второй комментатор манипулирует логикой: «бесценно» == «ничего не стоит»…

По поводу лекарств скажу лишь, что имею привычку читать их инструкции ДО применения и оцениваю их потенциальную пользу с учётом вероятных побочных действий.

Ну а про газ даже как-то не ловко получается. Я полагаю, что стоимость газа повлияла на описываемую Вами смерть в последнюю очередь. На сколько мне известно в России, например, не отключают отопление человеку зимой не смотря ни на какие задолженности.

Пожалуй, я воздержусь от дальнейшего участия в данной ветке обсуждений.
Ну а про газ даже как-то не ловко получается. Я полагаю, что стоимость газа повлияла на описываемую Вами смерть в последнюю очередь.
Я боюсь, что вы никогда не были в Великобритании и вам это просто никогда не интересовало. «Топливная нищета» — это хроническая проблема в этой стране. Уже далеко не первый год. Вот одна из недавних статей на эту тему.

На сколько мне известно в России, например, не отключают отопление человеку зимой не смотря ни на какие задолженности.
В России — во многих случаях это технически невозможно. Система теплоснабжения не позволяет отключить от отопления одну квартиру.

Меня поражает, как уже второй комментатор манипулирует логикой: «бесценно» == «ничего не стоит»…
Именно так. А как иначе? Огромное количество вещей, так или иначе, выливается в человеческие жизни. Повысили предельную скорость на автомагистрали? Получили дополнительно несколько смертей в год. Оправили солдат в Сирию — привезли оттуда несколько гробой и несколько заказов на С-400. Ну и то же самое разрешение или не разрешение отключать газ злостным неполательщикам — сюда же.

Как вы всё это собрались оценивать при условии, что жизнь у вас «бесценна»?

По поводу лекарств скажу лишь, что имею привычку читать их инструкции ДО применения и оцениваю их потенциальную пользу с учётом вероятных побочных действий.
Это пока у вас есть возможность это делать — то есть вы находитесь в сознании и можете прочитать аннотацию. А если нет?
Скажем так, я не верю что есть вещи, которые нельзя измерить в деньгах. И не понимаю чем человеческая жизнь принципиально отличается от жизни, например, собаки. Вопрос только в контексте оценки и в оценщике.
Я Вас понял, но у меня убеждение, что если человеческая жизнь (или жизнь животного) и может быть оценена, то только не в материальных мерИлах.
Да, Вы верно говорите, контекст имеет значение, следовательно оценка относительная, и отсюда я делаю вывод, что оценка весьма условная и субъективная.

Честно говоря, так не далеко до сложной философии дойти начав, например, рассуждать ценнее ли жизнь одного человека, чем другого. Я бы предпочёл не углубляться в подобные рассуждения.
Но ваше суждение можно отнести к чему угодно. Не существует объективной цены чего-то, существует только рыночнаяя или кем-то выставленная (в условиях когда рынка нет, например). Значит ли это что всё в мире бесценно? Да не, мы просто назначаем цены какие нам нравится и разрешает рынок и живём с этим.

Интересно что для вас ценность жизни это сложная философия, а для меня в общем-то понятный выбор.
Я всегда полагал, что человеческая жизнь бесценна.

Ваше мнение противоречит Конституции России: "Человек, его права и свободы являются высшей ценностью." Пускай высшая, но ценность.

Я полагаю, что «бесценно» означает «очень, сверх ценно». Да и словари говорят о том же.
Так что ни каких противоречий нету.
Вы путаете врачебную ошибку и некомпетентность/халатность. Программист, оставивший такую дыру — именно что некомпетентен.
Врачебная ошибка по моему пониманию в первую очередь исключает некомпетентность и халатность.

Если врач забыл назначить необходимые анализы — это халатность.
Если врач спутал названия лекарств и выписал не то — это некомпетентность.
Если (оптять же условно) все симптомы и проведенные анализы указывали на рак, врач диагностировал рак, а оказался туберкулез — это врачебная ошибка.
Неистово поддерживаю. 15 лет вижу все эти вещи и ничего не меняется. Покажите людям уже параметризованные запросы наконец хотя бы.
UFO landed and left these words here
Вы правда не понимаете почему?
Посадят еще пару WhiteHat'ов или программистов, думаю додумаются, и таких статей тоже не будет. В итоге годами базы будут уходить на черный рынок.
Конечно, госорганы, которые не проводили контроль качества (потому что хотели сэкономить) не виноваты. Это виноваты студенты, которым на какой-нибудь университетской практике поручили разработать прототип и фрилансеры, которые его потом «допилили» до «рабочего» состояния.
А те, кто на этом пилили экономили — не виноваты. Студенты и фрилансеры их обманули!
Зато посмотрите, сколько лайков. Это же так круто — обнаружить проблему на государственном сайте.
UFO landed and left these words here
Всё наоборот. Скачивание — действие преступное, независимо от того, удалил или нет.
А публикация сведений о уязвимости — не преступное действие. Хотя она косвенно свидетельствует о совершении преступления.
Совершенно очевидно, что у автора не было никаких благих намерений.
UFO landed and left these words here
Но сам то IP адрес с которого производилась выкачка то остался в логах. По этому все еще можно идентифицировать автора. Если же автор конечно не через proxy или tor все делал.
Конечно же, не со своего IP)
Но первую, пусть и случайную, инъекцию вы наверно все же сделали со своего IP. Если вы не выждали месяцы, то с высокой вероятностью подозрения пойдут именно на него, если конечно не каждый второй пользователь натыкался на эту проблему самостоятельно.
Тогда надо и сюда заходить через анонимайзер, и зарегиться тут накануне написания статьи тут, иначе начнут серьёзно искать, могут вычислить по старым сообщениям, логам с этого сервера… ))
Всё, как по учебнику) анонимайзер-опасно, таким образом доверяешь свой ip ему, если выбрать правильный браузер. А аккаунт действительно свежий. Жаль, что на основной аккаунт карма не повлияет(
Отлично, ещё cookie надо стирать да localStorage чистить, а то сейчас веб программисты ух! Все им любопытно и хочется узнать, даже когда выходишь из учётки.
Проще воспользоваться браузером в свежей виртуальной машине с её последующим уничтожением. И, конечно, это должен быть TorBrowser.
Tails есть для такого или Whonix лучше для виртуалок.
По учебнику — это когда статью и комментарии пишет в виде изложения сторонний человек. В противном случае найти вас будет легче, чем вы думаете (тут очень кстати упомянутый вами «основной» аккаунт).
Вообще да, существуют методы, которые по набору комментариев, оставленных человеком, позволяют человека идентифицировать. И чем больше комментариев, тем выше точность результата.
тут очень кстати упомянутый вами «основной» аккаунт

Не факт, что он существует.
А аккаунт действительно свежий. Жаль, что на основной аккаунт карма не повлияет(


Как бы теперь кого нибудь невиновного с Хабры не забрали… )
Жаль, что на основной аккаунт карма не повлияет(

А ты напиши, какой у тебя основной, товарищ майор будет благодарен и добавит тебе кармы :)
omg, если это действительно так, то снимаю шляпу
Ваши скобочки могут выдать вас. (отнюдь не как lisp'ера)
Я уже намекал автору об этом выше (и судя по тому, что поток комментариев резко прекратился, можно предположить, что посыл был услышан). Но конкретно по скобкам — это сейчас один из самых распространенных стилей среди молодежи (что соответствует представленной нам легенде о студенте). А вот некоторые его пунктуационные ошибки весьма и весьма непопулярны… ;-)
Надо без знаков препинания писать, как в пирожках.
Или использовать двойной автоматический перевод)
Ждём продолжение — статью о деанонимизации автора статьи… Я ради любопытства попробовал — за час с гуглом не получилось. Но при наличии доступа к базе хабра автора можно легко деанонимизировать по нескольким характерным признакам, типа систематического использования «ё».
по нескольким характерным признакам, типа систематического использования «ё».

Ждём

Что-то и вы подозрительный какой-то))
Использующие букву «ё» вообще страшные люди — им не лень тянуться до неё.
А мне норм «ё» набирать. У меня пальцы обычно расположены не в районе ФЫВА, а в районе ЙЦУА) — так удобнее кодить.
К сожалению, это палка о двух концах, как верно уже написали выше. По-хорошему (и по-совести), нужно сообщать разрабам. Но внятного общего механизма пока нет и можно навлечь приключений на свою точку. Это смотря на кого нарвешься.
Можно попробовать петицию создать, чтобы министерство связи разработало такой механизм хотя бы для гос.порталов (с)Арказм
Писать надо обращения в РосКомНадзор, они обязаны принять обращение и в положенный срок ответить о принятых мерах по устранению недостатков. В РосОбрНадзор писать бесполезно: они облажались и не в их интересах принимать правильные решения в данной ситуации.
В роспозор? Вы серьезно предлагаете писать людям, которые сотню раз проявили свою некомпетентность?

Да, я серьезно.
То, что они лажают, еще не повод игнорировать их существование и лишать их возможности заниматься прямыми служебными обязанностями.
Надо озадачивать людей и контролировать исполнение :)

Ну кстати да. В данном случае эксплуатация уязвимости настолько проста, что она под силу даже инспектору роскомнадзора, вооруженному internet explorer-ом на windows XP. Как следствие, процедура «взаимодействия» роскомпозора с минобразом оказывается для первого простой, понятной и сводящейся к базовой операции «выписать предписание» + «проконтролировать исполнение», причем выполнение обоих операций не требует отрыва пятой точки, а обе операции автоматом попадают в критические для них KPI — «обработано обращений граждан», «проведено проверок по обращениям граждан», «выписано предписаний».
«некомпетентность» — это мутация в ДНК вообще всего гос. аппарата, тем не менее это прямая обязанность Роскомнадзора:
1.1 Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) является федеральным органом исполнительной власти, осуществляющим функции [...] по контролю и надзору за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных
Других регуляторов вроде как не предусмотрено. А вот то, что «писать в Роскомнадзор» равносильно «писать в Спортлото» — это конечно вопрос к другим товарищам.

Конкретно — в прокуратуру, по факту непринятия действенных мер… Но там уже надо обоснование очень грамотно составлять, чтобы сработало.

UFO landed and left these words here
Ну туда пишут явно не с фейкового аккаунта, а они могут и заинтересоваться «откуда у вас такие картинки? откуда знаете про уязвимость? а не проще ли палок на нём заработать (или в плюс к нагибанию сайта)?»
До того как они стали ещё и органом цензуры, у них были вполне адекватные обязанности типа контроля за использованием радиочастот и т.п. Следить за работой других гос. органов в плане защиты ПД — это вполне себе хорошая обязанность.
На мой взгляд куда большие проблемы могут возникнуть выложив информацию об открытой уязвимости здесь, с полным мануалом о том, как ее использовать. Нежели если бы вы сначала уведомили об этом разработчиков и дождались закрытия уязвимости. Во всяком случае, если вы боитесь гонений, уведомить разработчиков можно и анонимно.

А на мой взгляд, пора уже этику хакерства дополнить требованием к владельцам сайтов: если на сайте не выложен контакт для связи по вопросам обнаруженных уязвимостей и гарантия отсутствия преследования при условии сообщения об уязвимости данному контакту за X дней до публичной публикации — значит владелец предпочитает об уязвимостях узнавать из СМИ.

UFO landed and left these words here
> И где публиковать эти требования?

Вот здесь: security.txt

Не понял, при чём тут законы… я о том, что если владелец сайта хочет, чтобы о дырах сообщали ему, а не в СМИ, то он должен на этом самом сайте выложить страничку, на которой будет написано, что a) искать уязвимости разрешено, b) за это не будут преследовать при соблюдении стандартной этики (сознательно не нарушать работу сайта, не портить данные, не распространять полученные через дыры данные), c) публикация найденной уязвимости разрешена через X дней после сообщения о ней владельцу сайта. Если нечто подобное будет принято на уровне законов, то ознакомились с ним или нет значения иметь не будет — незнание законов не освобождает.

UFO landed and left these words here

Куки не имеют никакого отношения к этой теме, вообще. И к формам, кстати, тоже. (Да и вообще затея бредовая — хоть один психически здоровый человек в мире отказался от использования нужного ему сайта когда увидел на нём сообщение об использовании кук?)


Здесь более уместна аналогия с выкладыванием на сайте ToS — это тоже делают далеко не все, но многие, потому что заинтересованы в этом именно владельцы сайта.

UFO landed and left these words here
Много ли владельцев сайтов оповещают об использовании кукисов в формах?

Много, даже пришлось заводить в AdBlock подписку, которая блокирует эти попапы. Просто в России нет такого требования, но есть в ЕС. И зачастую с европейского IP оно всплывает, а с российского нет.

Спасибо за подсказку, тоже добавил подписку блокировки предупреждения о куках. Реально надоедает.

Уже довольно много. В Европе очень серьезные штрафы за отсутствие этого предупреждения.
При посещении любого сайта пора выдавать предупреждение «Вы пользуетесь интернетом»
К этому вроде все привыкли. А несколько лет назад — были реальные проблемы, когда люди отключали Internet-пакеты, искренне считая что Интерентом они не пользуются — только Вацапчиком…
Я бы тех, кто эти предупреждения делает, блокировал бы на уровне роскомнадзора. Достали эти попапы уже. Какой чудак их придумал?
Типичный пример того, что в Европе тоже умеют принимать тупые законы.
Слишком много уже, даже для меня, практически не шастающему по всему интернету. Любой магазин/банк (как забугорный, так и наш) сообщают об этом. У кого-то плашка сверху/снизу, у кого-то попап во весь экран. Уже пора принимать обратный закон — что куки используются всеми и предупреждать если ты не используешь их.
«Кого-то», скорее всего даже не брали на работу…
Сомневаюсь. Сайт скорее всего разрабатывался сторонней организацией через тендер. Администратор ресурса тут не при чем. Т.к. Ошибка именно в коде. А т.к. данный сервис является публичным и соответственно трудно отличить полезную нагрузку от выкачки всей базы целиком.
Ну тут сомневаюсь, не думаю, что к сайту прилетают запросы чаще, чем раз в минуту.
Тогда вообще тухляк. А в ТЗ была прописана защита от иньекций? Нет? Тогда давайте еще сто-пятсот миллионов на доработку.

Ах, была прописана? А работу у нас приняли? Ну значит — вы согласились, что работа выполнена в соответствии с ТЗ. Тогда давайте еще сто-пятсот миллионов на доработку.
Вы правы по обоим пунктам. Увы, тендеры на сайты устроены как тендеры на вывоз мусора. О секрете айсберга никто [пока?] не подозревает.

Потому оцениваются — только и исключительно пупочки. Ну иконки ещё. Шрифты. А на то как устроена база внутри и безопасна ли система — всем наплевать.

Единственное лекартсво, которое приходит на ум — вот именно такое: ставить всех на уши и делать заказчикам (а не исполнителям) больно. Тогда, со временем, настанет понимание, что всё не так просто и кроме красивых кнопочек у сайта ещё и «нутро» есть.
Я думаю, что заказчики, после прочтения этой статьи, сейчас первые прыгают от радости, и кричат «пиастры, пиастры» :(
Вы заказчиков с исполнителями не перепутали? У заказчиков — был бюджет на создание сайта. А теперь его нет. И нужно как-то выбивать его на «какую-то фигню» (сайт же и так работал, зачем его чинить-то?).

А излюбленное их решение (наехать на человека, «вынесшего сор из избы») теперь уже бессмысленно.
Неа, не перепутал. :) Очень хорошо знаю, как прикрываются ткие косяки. Например:
1. Я же не спец в ИТ, а бизнес-заказчик. С ИТ-подразделением ТЗ было согласовано, какие ко мне вопросы?
2. Я приглашал на приемку и подписание акта ИТ-подразделение. Пришел мальчик, формально прошел по ПМИ (программа и методика испытаний), и сказал — нет вопросов. Почему теперь ко мне вопросы?
3. ТЗ в области безопасности составлял мой сотрудник, но он уволился полгода назад. Что теперь с него взять?
4…
5…

n…

А сам зову на обед исполнителя, и говорю: Петрович, фартит. Скоро новый заказ у тебя размещу.

По бюджету — тоже особо вопросов нет. Просто какие-то другие из запланированных проектов будут отменены или сокращены :) Тем более сейчас только январь, бюджеты не потрачены. Если бы автор этой статьи разместил ее в октябре и ноябре… ну было бы тяжелее.
UFO landed and left these words here
Конечно, ничего не будет. Вы сделали ТЗ, показали начальнику, он сказал — «хорошо, Петя, спасибо». Это означает, что Петя выполнил в работу в рамках своей должностной инструкции, и начальник его работу принял. Поэтому ничего этому сотруднику уже не сделать, особенно если он уже уволился.

А вот если будет доказано, что Петя был в сговоре с исполнителем, и ввел в заблуждение руководство в рамках исполнения должностных обязанностей — это уже уголовка. Поэтому так мало айтишников этим пользуются, и именно в рамках госорганизаций.

А вот в частном секторе — этим пользуются многие айтишники. Пришел, договорился, отпилил, ушел. Доказать сложно, а даже если доказать, то корпорация мало что сделает потом. Если это мощная корпорация, может быть подключена СБ для «восстановления справедливости» и компенсации потерь. Но это не часто, и нужно очень нагло все сделать, чтобы такие последствия были. Плюс для корпораций огласка таких случаев оооооооооочень невыгодна.

В общем случае, в частном секторе подход такой: если аудит и/или безопасность поймала в процессе работы человека за такими делами — доводим до суда. Если человек уже уволился — завидуем счастливчику.
UFO landed and left these words here
По Сеньке шапка. За редким исключением, туда берут или тех, у кого мало (нет) опыта работы, у кого проблема с уровнем и качеством знаний и т.д. А что вы хотели, если платят они ниже рынка от 1,5 до 3 крат? Подрядчики у них такие же, потому что демпингуют на госзакупках (и/или распилиивают) и набор ведут опять же малоквалифицированной рабочей силы.
Всё так, но помимо низких зарплат более важным фактором является еще и абсолютное непонимание предметной области.
Чтобы лучше было понятно что абсолютное это именно абсолютное, а не гипербола, я приведу цитату:
Я не требую от тебя чтобы ты писал программы,
я просто хочу чтобы ты выполнял свою работу программиста!

Данные слова слова я слышал от начальника крупной гос.структуры где я тогда работал тыжпрограммистом.
В трудовой было «ведущий специалист» или что-то вроде, не суть. Искали они «программиста», должность была эникейщик.
Пошел я туда разумеется не за зарплатой или откатами а просто в силу того что после некоторых личных событий сидеть дома и фрилансить было невыносимо, хотелось быть среди людей.
Спустя буквально несколько месяцев после моего поступления на работу обстановка резко изменилась, и нужно было строить полноценный отдел АСУ (внедрение и обслуживание большой и сложной системы автоматизации сделанной руками примерно того же радиуса кривизны что и у авторов обсуждаемого сайта).
Бюджет был по прежнему ограничен. Зарплаты низкие, требования высокие (обязательно высшее образование, хоть сколько-то притягиваемое за профильное) и т.п.
Но поскольку была компетенция (у меня была техническая компетенция плюс опыт руководства людьми, хоть и небольшой, плюс у нас была очень крутая тетка — начальница отдела кадров, понимала и бюрократию, и людей и ругаться умела очень страшно, и хвалила убедительно), то задача собрать хорошую команду решалась.
Я брал студентов (свеже выпустившихся), брал за интерес. Брал девочек у которых муж хорошо зарабатывает, дома сидеть она не хочет, хочет в коллективе и чтобы интересно было. Брал фрилансеров (два по полставки уже один целый, а фикс.доход пусть и слегка пониженный — всегда в плюс, особенно если семья). Я выбивал материальные и нематериальные блага. По разному бывало. То каждому по фотоапарату (были на складе для инспекторов, им надо, нам тоже надо. Им фоткать нарушения, нам… не помню что я в служебке писал, в общем надо и все). Я дружил с руководством профсоюза, так что все путевки и подарки детям нашего отдела были самые лучшие. Я умел пользоваться справочником бюджетной классификации чуть ли не лучше главбуха (частенько выдумывая формулировки позиций позволявшие купить то что нужно по другой статье расходов, когда главбух был неспособен). Я мучал главбуха чтобы копию нашего бюджета я получал чуть ли не одновременно с начальством, поэтому всегда знал когда можно купить какую-то малинку/ардуинку чтобы поиграться «испытать концепцию тонких клиентов с целью удешевления парка компьютерной техники». Выбивал по возможности различные курсы, чтобы мотивировать тех кто пришел «потому что интересно», т.е. почти всех. Выбил служебную машину на отдел (да старенькую калину, да резину и аккумулятор пришлось за свой счет менять, но зато к ней в комплекте шло какое-то колво топлива в месяц).
В результате получилась прекрасная команда. Компетентная и эффективная (ну спускаемые сверху кривые велосипеды исправить мы не имели право, но подрихтовывали до работоспособного вида достаточно успешно).
Но все это требовало не столько материальных ресурсов сколько мотивации и компетенции. Если бы первый начальник не понимал что без хорошей команды будет бардак и это закончится увольнением не меня а его, то ничего бы не было. Если бы ему не повезло получить человека с технической компетенцией (меня), то тоже ничего бы не вышло — тупо некому было бы собеседовать людей, обучать людей и т.п.). Если бы не было талантливого кадровика (действительно талантливого, чего в гос.аппарате редко найдешь) то тоже сомневаюсь что удалось бы — я тогда был слишком слаб в бюрократии. Даже подними зарплату в три раза — ничего бы не вышло.
Потом были другие начальники. Разные. И другая политическая обстановка, и другая степень важности ит-инфраструктуры (в головах руководства). В этих условиях я бы не смог поднять отдел. Но чтобы сохранить то что уже отлажено — много не надо. Потом уже личными отношениями обросли, что тоже спасало. Потом были слияния и поглощения. Дружественные и не очень (да, в госсекторе все как у людей — ничего личного только бизнес). Потом структуру разделили, и отдел соответственно тоже. Потом мне надоело и я ушел. Потом сменилось большинство из костяка администрации во всей структуре. Но оба отдела продолжали плыть. Кто-то приходил, кто-то уходил.
И вот наконец спустя три года после моего ухода очередное новое, некомпетентное руководство уволило последнего моего сотрудника имеющего глубокую компетенцию. Остался один эникейщик в другой структуре, который тоже что-то понимает (примерно на уровне разработчиков этой системы, но хоть что-то), но это уже не торт. Если за полгода транзакцию не откатят, то компетенция будет утеряна окончательно. Я еще пару лет назад не помнил половину простых вопросов. Внутренняя вики конечно существует, но когда «а личные вещи тебе вынесут на проходную» — обычно теряется не только содержимое вики но и сам факт ее существования. Плюс все равно в древней кривой системе всегда куча вещей работает чисто на «мышечной памяти», а преемственности компетенции тут не было. Впрочем такие «яждиректоры» обычно довольно быстро самооткатываются, так что есть шанс что все вернется. Уволенный человек довольно медлительный, да и «раз уж выплатили компенсацию за три месяца отпусков, то надо их отгулять, а там посмотрим».

Многобукв получилось. Хотел просто сказать что «маленькая зарплата ничто, компетенция всё».
Полностью согласен в этом с Areso сообщением выше. Тендер не приводит к формированию качественного продукта. Тендер приводит к «отжиму цены» так, что выгодно привлекать дешевую рабсилу.

При этом такая тактика имеет, как минимум, два преимущества: а) увеличивает маржу, б) формирует «задел» на будущее. Все что заказчик не учел — будет конвертировано в будущие заказы.

PS: все сказанное относится не только к госструктурам, но и к крупному бизнесу, у которых есть подразделения управления закупками.
Тендер не приводит к формированию качественного продукта.

Это у нас так – тендеры проводятся только тупо по цене. Особенно в госструктурах силён этот странный карго-культ.
А если «как положено», то тендер достаточно эффективная штука – если рассматривается комплексное соотношение «цена/качество». И, конечно, если на стороне заказчика имеются люди, способные это самое соотношение оценить…
Честно — не видел «как положено» :) Возможно, все дело в системе мотивации. HR люди простые: что делает отдел управления закупками? Сбивает цену. Значит — им KPI на процент «отжима» — то есть цена была… стала… разница должна быть 25%.

И дальше — убейся. Если пришел нормальный исполнитель, но не догадался на входе завысить цену на 25% — не будет он победителем.

Я не знаю, как мотивировать такие службы, чтобы они обеспечивали «цена/качество», а не просто «цена». Может — ставить им тоже в KPI сроки внедрения, что заставит их хотя бы смотреть на компетенцию? Но они тоже не дураки, и скажут — что от них сроки не зависят, влиять они на них не могут, а почему их результаты деятельности должны оцениваться в зависимости от показателей, на который они непосредственно не влияют? Простой аргумент и понятный HR. Круг замыкается.

Теоретически, я готов поверить, что «как положено» возможно там, где на закупки ставят родственника или доверенное лицо. В одной из компаний, где я работал, таким был сын собственника. И тогда да — модель работала. А в иных случаях — эффективные отделы закупки не встречал, и не понимаю даже теоретически, что может их сподвигнуть работать не только на цену.
Меня наши «тендеры» (тут именно в кавычках, увы) тоже крайне удручают. Но это ещё вовсе не значит, что плоха вся система тендеров в целом. Это значит лишь то, что конкретно здесь «не умеют их готовить»…

А если вообще «как положено» – то за результаты тендера должно отвечать не только непосредственно «ответственное лицо», но и профильные специалисты (настоящие, не в кавычках), контролирующие решения этого самого «ответственного лица» и имеющие реальное право голоса…
Для начала — нужно, чтобы за результаты тендера вообще хоть кто-нибудь отвечал на стороне заказчика.

Потому что с подходом «ошибка-то на стороне программиста» (и за неё, типа, только этот несчастный студент и несёт ответственность) так и будет осуществляться «отжим цен» до уровня Равшана и Джамшута…
… так и будет осуществляться «отжим цен» до уровня Равшана и Джамшута…

Согласен.
Но, во-первых, Вы сейчас копаете уже намного глубже уровня тендеров вообще. «Отжим цен» уже чуть ли не общее явление, нередко даже в коммерческих структурах. Увы…
А во-вторых – именно про ответственность заказчиков (точнее, про её необъяснимое фактическое отсутствие) я и писал. Особенно если это госструктура – там «крайним» всегда назначат либо исполнителя, либо какую-нибудь уборщицу, но почти никогда не руководство (которое и принимает решение о работе конкретно с этим исполнителем)…
Обычно — это генеральный, который должен разрулить зама по ИТ и зама по закупкам. Победит — второй, поскольку его аргументы для ГД проще.

Тогда генеральный и должен нести ответственность за то, что не прислушался к мнению профильного специалиста, а решил просто сэкономить денег.

А перед кем должен нести ответственность генеральный? :)
Перед акционерами / учредителями.
За негативные последствия и связанные с ними материальные и нематериальные потери и издержки.

Генеральный, в общем случае, не царь и не бог, а наёмное должностное лицо (за исключением ситуаций, когда он является единоличным учредителем или единственным акционером).
Я ждал этого ответа :)

Вот за случай, описанный в этой статье — не будет. Взывает генерального акционер, и спрашивает: «как у нас дела?». И Генеральный ответит: «Выручка в норме, уровень маржинальности — достигнут. Есть проблема с одной ИТ-системой, потребуется выделить сверх бюджета на доработки, примерно 0,05% от общего объема инвестиций этого года».

В худшем случае — акционер скажет: «не парь меня ерундой». В лучше, пропустит сквозь уши.

Акционер — он не занимается операционкой. Он отдает ГД 100 руб., и говорит — сделай к концу года 120 руб. А что происходит внутри — если выручка и маржа выполняются, акционеру до лампады.

Поэтому случаи, описанные в статье, которую мы все обсуждаем — для Генерального остаются без последствий от слова «вообще».
Каков вопрос — таков ответ :)

Вы не указали граничные условия: что единственный акционер — пофигист и не одупляет, из чего складывается стоимость принадлежащих ему акций (в случае учредителя — какие существенные факторы оказывают влияние на деятельность его учреждения).

Я ответил в общем смысле, не зная подробностей придуманной Вами орг.структуры и личных особенностей её руководства :)
Да, это факт. Я немного лукавил :) Сорри.

Если в его действиях нет состава уголовного преступления и(или) административного правонарушения, то перед собственником. Если есть, то и перед государством. По статьям частного обвинения на усмотрение пострадавших.

"Набедокурить" в смысле накосячить, допустить грубые ошибки — не будет, если кто-то из начальства не воспримет как личное оскорбление. Могут даже не уволить, ну премии лишат. А вот сознательное вредительство — it depends.

UFO landed and left these words here

Подозреваю, что там не пару строк исправить, а, значит, скорее всего затребует. Причём не за исправление ошибки, а за доработку по новому требованию.

Ну, тут не все так линейно — там будет тендер и госконтракт. Или доработку придется втиснуть в 100т.р… И автор поста, между прочим, может на этот госконтракт подписаться (при наличии у него афиллированной фирмочки и выполнении какой-то ещё кучки условий).
Допустим есть готовая ИТ-система, на поддержке исполнителя, наверняка. Не очень понимаю, как возможно сделать тендер на ее доработку? Хотя Вы меня озадачили. Формально — Вы правы, госкомпания обязана привлекать исполнителя только по тендеру. Но тендер на доработку заказной разработки проводить… Никто же даже заявку не сможет сформировать, не зная внутренности системы… Не могу прокомментировать, с таким не сталкивался :(
Тут всё просто. В этом случае первоначальный исполнитель снимается как с права на дальнейшее обслуживание системы, так и с права участия в любых последующих тендерах данной организации. Плюс ещё и обязательства по полной передаче документации на систему новой обслуживающей конторе (очень часто прописано в контрактах).
А на «латание» созданных дыр объявляется новый тендер. Причём, по идее – первоначальному исполнителю при этом должен быть выкачен нехилый иск со стороны заказчика («ненадлежащее качество работ» плюс «понесённый ущерб»).
Ну… я уже писал выше. Акты подписаны заказчиком? Значит работы надлежащие, а иначе — зачем приняли.

Есть дефекты, которые могут быть выявлены только в процессе эксплуатации. Не знаю правоприменительную практику к подобным дефектам в ИТ, но в строительстве вполне возможно получить компенсацию с подрядчика за дефекты, выявленные в процессе эксплуатации даже после окончания гарантийного обслуживания и при наличии всех актов. Прежде всего это дефекты, вызванные нарушением технологических процессов, которые заказчик в общем случае не контролирует, принимает пускай и промежуточные, но результаты работ.

Скрытые недостатки — это те, которые не могут быть выявлены в процессе приемки. Например, дом приняли летом, и, очевидно, проверить морозостойкость материалов невозможно.

А SQL-инжекции — это известная уязвимость и могла быть выявлена на этапе приемки сразу. Поэтому тут аналогия не работает.
Тут вопрос в том, что принимающие лица в подавляющем большинстве случаев таких «шибко вумных словей» вообще не знают (да и не должны знать, по идее-то). То есть, выявляется тоже исключительно в процессе эксплуатации. Если только на приёмке не нанимать специальную команду каких-нибудь «кулцхакеров», чтобы провели системе полный тест на устойчивость.

Но если тендер не левый, то задача исполнителя, действительно дорожащего своей репутацией – не просто пройти приёмку, но и минимизировать все дальнейшие риски. То есть, просто сделать «как надо».
Контора, которая готова сделать «как надо» — НИКОГДА не выиграет конкурс у конторы, которая сделает «как вместиться в бюджет». :)
Да, вы правы.
Но если выигрывает такая «резиновая» (не будем называть именем соответствующего изделия)) контора, «вмещающаяся в любые бюджеты» – так и можно публиковать всего лишь конкретные уязвимости (без описаний!!!) с многократным указанием авторства конкретно этой конторы.
И после такой публичной огласки – есть громадная доля вероятности, что такая откровенно «левая» контора уже ни в каких тендерах участвовать вообще не сможет.

Тут ведь косяк не только самой госструктуры – они в этом откровенно ни хрена не понимают (что крайне печально, но это уже отдельная тема). Тут косяк конкретного исполнителя, сделавшего всё не просто за копейку – но и с соответствующим копеечным качеством (китайцы одобряют).
Тут ведь косяк не только самой госструктуры – они в этом откровенно ни хрена не понимают (что крайне печально, но это уже отдельная тема).

А почему, собственно, это отдельная тема? Если Вы целенаправленно дали работу тем, кто обещал сделать всё дешевле всех конкурентов, и забыли уточнить за счёт чего именно получается такая экономия (или вообще работу получили по знакомству или за откат) — почему это вся ответственность оказывается на исполнителе? Следуя этой логике мы дойдём до того, что в дыре виноват программист Вася, который просто выполнял свою работу максимально хорошо — в рамках выделенного ему времени, бюджета и тестировщиков — а не те, кто принял решение на всём этом сэкономить. Если Вам надо нанять исполнителей, а Вы "откровенно нихрена не понимаете" — разберитесь сначала, или наймите того, кто разбирается и пусть исполнителей нанимает он (и отвечает за результат). Ответственность за такие ошибки лежит на тех, кто принимал решения, которые привели к этим ошибкам.


Если это одиночный и нетипичный баг — это ответственность программиста и/или тестировщика. Но если это громадная детская дырища — это ответственность начальников, которые приняли решение разрабатывать гос.сайт без учёта проблем безопасности, и чиновников, которые приняли решение о приёмке и готовности к эксплуатации сайта без проведения аудита безопасности.

Отдельная тема – именно потому, что они в этом действительно ни хрена не понимают. Да и не должны, не их эта область компетенции, не чиновичья.
В идеале, под такие крупные и важные проекты должна привлекаться третья сторона, в виде консалтинга и прочего привлечения независимых лиц. В нашей реальности (да и не только в нашей) – такого тупо нет.

Но тут даже в «тупо нет» – громадные различия. У нас просто «тупо нет» потому, что очень часто не менее тупо просто не хватает денег. Либо, если даже денег вдруг хватает – подрядчики знают, что «в случае чего» их отмажут.
«У них» – часто просто потому, что подрядчики и без того рвут пятые точки на британский флаг, чтобы доказать качество сервиса, пробиться в госсектор и получать «вкусные» контракты. И прекрасно понимают, что, в случае недоброкачественного исполнения – при малейшей проверке к ним может прийти полярный лис. И что после этого дорога в госсектор им будет закрыта навсегда.
Иначе говоря, главная разница – в контроле. Но не в заказчиках, и даже не в исполнителях…
Иначе говоря, главная разница – в контроле. Но не в заказчиках, и даже не в исполнителях…
Главная разница — в подходе.

Вот, почитайте. Сделали сайт под Obamacare… а он — как решето, о безопасности — просто забыли. Ну и нагрузку не держит, да. Примерно как и с обсуждаемым сайтом.

Но что произошло после того как это вскрылось? Всех экспертов дружно отправили на лесоповал? Нет — их наняли на работу, чтобы они всё привели в порядок.

Вот и вся разница.

И не надо тут рассказывать сказок о том, как «за бугром» всё хорошо. Нет — не всё. Но главное — ищут не как «посадить гонца», а как исправить проблему.
Ёпт, ну кто ж тут против-то исправления собственных косяков??? Или кто тут против того, что в системе госзакупок лютует коррупция?

Речь исключительно о том, что нельзя подобными постами открывать доступ к данным миллионов людей, совершенно непричастных вообще ко всей этой бадье!
Это и есть уже прямой выход за границы профессиональной этики.

Пожалуйста, ответьте адекватно и вежливо, в чём конкретно я неправ в данном вопросе.

Доступ не открывали. Он уже был открыт скорее всего с момента начала эксплуатации.

Ещё раз приведу прямую аналогию с дырой в заборе. Если про неё знаете только вы и некое количество других «знающих» – ущерб составит N единиц.
Если же вы публично описываете эту дыру и как до неё добраться – ущерб составит уже N^2 единиц. Тогда в неё толпами полезут «на халяву» уже даже те, кто ранее подобным не промышлял (в силу отсутствия либо умения, либо мозгов, либо всего вместе).

Мораль сей басни такова… Сначала сделайте так, чтобы дыру закрыли – и чтобы в неё не полезли другие. А уже только потом публично рассказывайте о том, как накосячили реально ответственные за эту дыру. И тут уже не возбраняются ни детальные описания, ни скриншоты, ни любые другие доказательства.

Ну простейшая ведь логика, ёпт…
Простейшая ведь логика — гулял неподалеку от режимного объекта. Увидел что половины забора вокруг объекта тупо нет. Залез, посмотрел что там да как, и написал об этом статью.
Именно так оно и выглядит. А вы просто придумываете то чего нет. А нет вот этого вот: «про неё знаете только вы и некое количество других «знающих»». Это банальная дырища в заборе, которую видят все кому надо. А не «знающие».
А значит и выводы ваши нерелевантны.

ПС: и да, если вы всерьез думаете что не бывает такого что у режимного объекта тупо украли забор и никого этого не волнует, то у меня для вас сюрприз.
Да отчего ж? Всякое бывает. )))

Но вот если вдруг случается подобная хрень – вы должны, прежде всего, сообщать непосредственному начальству объекта, плюс всем вышестоящим инстанциям (а желательно сразу «повыше», чтобы конкретно ступившее непосредственное начальство уже точно не отмазалось).

А если вы сразу трубите на всю округу о том, что там-то и там-то в заборе дыра – в эту дыру сразу налетает всякая гопота. Объект грабят, в минусе вообще все, кроме гопоты.
Формально – вы действительно «ничего не украли». Но это только лично вы.
Фактически же – вы дали прямую наводку гопоте на разграбление «дырявого» объекта. Вследствие чего это ограбление и произошло. Не было бы вашей наводки – не было бы и такого крупного ограбления.

Ну, и где тут бОльшая релевантность?
Т.е. по ссылке вы не ходили. Ок.
Ходил, увы…
А теперь вот вопрос лично вам… Если вдруг туда бы за это время кто-то налетел на основании данной заметки, то кто был бы виноват больше – нерадивое руководство и/или подрядчики, либо же тот, кто во всеуслышание сообщил, что забора там нет?

Подрядчики косячили в любом случае – несомненный факт. Но тот, кто опубликовал подобное, тот распространил эту информацию о «дыре» по максимальному количеству подписчиков (насколько позволяет система конкретного ресурса) – тем самым поспособствовав (о, это ключевое слово!!!) совершению уже вполне реальных преступлений.
Надо ли наказывать руководство объекта? Да, на 100%. Надо ли наказывать таких вот «беспринципных правдорубов»? Да, но уже на 300%.
Ну ок. Допустим.
Ваши действия на месте Ланы?)
Ваши действия на месте Ланы?)

Как и говорил – письма во все вышестоящие инстанции. Пока не закроют.
Разве это не очевидно?
Царь хорошый, это бояре р… и.
Ну да, ну да.
Все инстанции уже ответили: нехороший человек периметр поломал, мы возмущены! Поставить камеры, пустить гулять охранников с собаками? А зачем? Ну стратегический объект, ну режимный, но мы же объявление повесили что у нас периметр поломали, с нас взятки гладки.
Или вы думаете что они об этом не написали в вышестоящую инстанцию? Да написали первым же делом. «Чем больше бумажек тем чище жопа» — главный девиз любого чиновника (это цитата если что).
Все всё знают, и всем пофиг.
Я специально привел пример с Энергомашем, чтобы факт того что «писать в спортлото» бесполезно был очевиден. Но видно недооценил степень… в общем недооценил я вас).
Хм… Скажите, а вот про царя и бояр – это сейчас вообще к чему??? Где в моих словах вы увидели хоть малейшую отсылку к этому тезису?
Я вас тоже недооценил. Точнее, ваш уровень рефлексии. )

А конкретно про письма…
Во-первых, всегда найдётся хотя бы одна инстанция, которая «возбудится» по этому поводу. Хотя бы ради того, чтобы самой срубить бабла с виновных нижестоящих чиновников. Это как минимум.
Нам (пока)) неважно, пусть рубят с этого хоть бабло, хоть головы друг другу. Лишь бы закрыли дыру.

Во-вторых, «неравнодушие» у вас получается какое-то выборочное. Старый знакомый принцип «цель оправдывает средства», только на новый лад…
Ну добьётесь вы того, что снимут одного дебила и на его место назначат другого дебила. Но люди (обычные, не чиновники) в итоге всё равно пострадают – и получается, что тупо зря. Разве в этом смысл, в ротации дебилов?

Но вот если планомерно и в рамках закона (это важно!) задалбливать все инстанции сообщениями «неравнодушной общественности» (которые, напомню, регистрируются и подшиваются к «делу» каждого чиновника) – тогда начнут реально шевелиться, начнут реально бояться таких сообщений, начнут больше думать.

Ведь конечная цель-то – не завалить с поста какого-то конкретного Василия Васильевича Пупкина (на место которого, как уже говорил, просто тупо придёт ещё один такой же дуболом). Настоящая конечная цель – чтобы в целом стало лучше (вам, мне, соседям, кому угодно).

Поправьте, пожалуйста, если неправ…
Но вот если планомерно и в рамках закона (это важно!) задалбливать все инстанции сообщениями «неравнодушной общественности» (которые, напомню, регистрируются и подшиваются к «делу» каждого чиновника) – тогда начнут реально шевелиться, начнут реально бояться таких сообщений, начнут больше думать.

А ещё лучше делать это не в одиночку, а привлекая тысячи единомышленников, путем публикации данных о вопиющих фактах нарушения законности со стороны государства или его бездействия в случае нарушения закона иными лицами. Кстати, это одна из основных целей свободной политической журналистики.

Согласен, так намного лучше.
Но без подробностей, которыми могут воспользоваться злоумышленники. Вы до сих пор не понимаете, в чём основная суть претензий? Даже многократное повторение в теме сравнений с прошлогодними «ваннакраями» и «петями» не навело вас на мысли о том, что же именно ставится в упрёк тем, кто публикует именно в таком формате?

Да, есть такая форма соучастия в преступлении как пособничество, но она предполагает умышленное соучастие в умышленном преступлении. Для обвинения лиц, сообщающих сведения, которые потом использовались для совершения преступления, нужно чтобы раскрывающий эти сведения имел умысел на совершение конкретного преступления. Даже если иное использование этих сведений сложно придумать, то доказательства умысла на совершение преступления нужно иметь.


Допустим, у вас дверь в квартиру на сигнализации. Допустим я случайно узнал, что код на снятие с охраны у вас состоит из номера дома и квартиры. Допустим я рассказал это человеку, который знает нас обоих (в частности ваш адрес) в качестве анекдота как люди выбирают пароли, вычисляемые методами социальной инженерии. Нет ни грамма моей вины в том, что он вас обкрадет, если до момента рассказа мне в голову не пришла мысль, что он может вас обокрасть. Ключевое словосочетание "в качестве анекдота" — я не рассказывал как вас можно обокрасть, я рассказал какой смешной код вы или ваша охрана выбрали.


Да, наши правоохранительные органы могут признать мою вину в пособничестве, но это будет ошибка правосудия, а то и умышленное осуждение невиновного, а не правосудие. Кстати, именно поэтому лучше с подобной информацией не соваться в официальные инстанции, а то потом обвинят в пособничестве и подстрекательстве к преступлению, путём сообщения информации, намекающей как даже админу этого сайта получить доступ к информации нештатными методами, не оставляющих явных следов его причастия. Да, он может просто сдампать бэкап в консоли из под своей учётки, но это палевно. Он давно думал как это сделать, но не придумал. А тут вы приходите и сообщаете ему как это сделать с правами обычного неаутенфицированного внешнего пользователя. Он взял и сдампал, а потом сознался и указал, что не рисковал этого делать пока не получил информации от вас, поскольку все остальные способы, пришедшие ему в голову, требовали изменений в системе, которые только он мог провести, а тут он узнал о способе, их нетребующих.

Да, наши правоохранительные органы могут признать мою вину в пособничестве, но это будет ошибка правосудия, а то и умышленное осуждение невиновного

Глупость и/или болтливость ни разу не является оправданием. Если вы владеете такой информацией – вполне логично не рассказывать о ней направо и налево. Особенно если речь не только об одной «квартире», а о миллионах.
При этом, разумеется, вина непосредственно укравшего – на многие порядки выше вашей персональной вины. И я даже за то, чтобы вас не наказали (как и автора). Я лишь за то, чтобы думать – что и как можно рассказывать. Не ради себя, а ради окружающих, внезапно…
Но вот если вдруг случается подобная хрень – вы должны, прежде всего, сообщать непосредственному начальству объекта, плюс всем вышестоящим инстанциям (а желательно сразу «повыше», чтобы конкретно ступившее непосредственное начальство уже точно не отмазалось).

Не "вы должны", а "вы можете". Это право гражданина выбирать наиболее подходящий именно ему в данной ситуации способ информирования заинтересованных лиц о, например, преступной халатности должностных лиц. Нет законов, обязывающих сообщать о фактах, могущих затрагивать интересы миллионов, не публично. Более того, при обращении по инстанциям, есть ненулевая вероятность получить прямой запрет на разглашении таких фактов в любой форме, который сложно нарушить законопослушному гражданину, даже если запрет незаконный.

Да «право»-то есть на что угодно, хоть ключи от тёщиной квартиры продать третьим лицам (кстати, доказать реальное соучастие тоже будет крайне сложно)).
Речь сейчас вовсе не о «правах» – а о моральной ответственности за последствия.
Нет законов, обязывающих сообщать о фактах, могущих затрагивать интересы миллионов, не публично.

Конечно же, нет. Это подразумевается само собой. Называется «гражданской ответственностью», внезапно.
Но вот если огласите публично что-либо, что нанесёт вред миллионам – это уже вполне может рассматриваться как противоправное действие. Увы.

А я называю гражданской ответственностью публичное сообщение с целью максимально быстро прекратить нарушение прав сограждан, если считаю, что такой способ хоть на час, но быстрее будет. В подобных ситуациях обращение по инстанциям считаю недопустимо медленным.


Ну это как видя, что человек на рельсы на ж/д переходе упал, начинать звонить спасателям вместо того, чтобы помочь ему встать.

Ну это как видя, что человек на рельсы на ж/д переходе упал, начинать звонить спасателям вместо того, чтобы помочь ему встать.

Примеры у вас как-то всё страннее и страннее… ))

Нет, у вас сейчас получается несколько иначе… там, где регулярно кто-то падает на рельсы – специально разлить на рельсы масло, чтобы упало как можно больше людей и чтобы спасатели были просто вынуждены успеть до прибытия поезда…
Эффективно, но небезопасно.

Понимаете, подобными действиями вы не помогаете людям – вы лишь подстёгиваете ответственных лиц на более оперативные действиями. Причём, подстёгиваете путём провокации – подставляя под удар множество тех самых людей, которых хотите спасти.
Весьма странная мораль, не находите?

Нет, не подливаю масло, а вместо криков "остановите поезд, человек упал", начинаю звонить в МЧС. Как бы руку подать — это уязвимость закрыть.


Я не считаю, что я подставляю кого-то под удар, публикуя сведения об уязвимости подобного рода. В моей картине мира, с одной стороны, не нанесёт вреда больше, чем уже имеющийся то, что вместо 1000 человек, базу скачает 10000. А с другой, эксплуатант должен закрыть уязвимость или приостановить эксплуатацию до закрытия, быстрее чем кто-то воспользуется моей информацией.

Уязвимость закрыть (то бишь, «подать руку») – надо в любом случае. Вопрос лишь в методах достижения этой цели (несомненно, благой).

Что же касается «подставления под удар» – вновь напоминаю историю со всеми Ваннакраями. Тоже ведь, вроде бы, хотели «как лучше». Причём, руководствовались явно теми же самыми принципами, что и вы…
И в той истории (как и в этой) совершенно неочевидно, кто конкретно виновен в том, что пострадало столько людей – прохлопавшие уязвимость или публично (именно это самый важный момент!) указавшие на уязвимость…

Я о ситуации, когда руку подать или уязвимость закрыть сам не могу. Только проинформировать тех, кто может. Наиболее эффективно проинформировать как можно большее число людей, особенно если не знаешь, кто может, а кто нет.


Мне совершенно очевидно, что виноваты, как вы выражаетесь, морально, две стороны: прохлопавшие уязвимость и использовавшие её для атаки, повлекшей реальный физический и экономический вред.


В случае с WannaCry виновато ещё и АНБ, обнаружившее уязвимость, но каким-либо способом не известившее MS, или известившее, но не проконтролировавшая устранение. Но тут скорее ваша моральная вина. Если оставить за скобками, что скорее всего, они не просто обнаружили её, но и эксплуатировали.

Только проинформировать тех, кто может.

Ну так вот и информируйте. Вроде как, на каждом ресурсе есть возможность связаться как минимум с конторой-владельцем, а как максимум сразу с админами.
Что мешало сделать это с самого начала?
Мне совершенно очевидно, что виноваты, как вы выражаетесь, морально, две стороны: прохлопавшие уязвимость и использовавшие её для атаки, повлекшей реальный физический и экономический вред.

Вы пропустили самое важное звено – между уязвимостью и теми, кто её использовал. Да-да, те самые, кто опубликовали. Не было бы этого звена – не было бы настолько массовой атаки.
Если бы авторы вирусов знали об уязвимости ранее – атака случилась бы уже давным-давно. Но узнали они явно из публикации…
Всё ещё не чувствуете связь между этими событиями? ))
Вроде как, на каждом ресурсе есть возможность связаться как минимум с конторой-владельцем, а как максимум сразу с админами.
Вот ресурс, о котором мы говорим.

И… Хде там связь? Только два адреса, даже телефона нет. Вы предлагаете топикстартеру садиться на поезд/самолёт и туда ехать? Проще статью на Хабре опубликовать. Действенней будет.

Что мешало сделать это с самого начала?
Отсутствие уверенности в том, что это на что-то повлияет, очевидно.

Не было бы этого звена – не было бы настолько массовой атаки.
А она была? Насколько массовая? Кто вам про неё рассказал?
Только два адреса, даже телефона нет.

Внезапно, правда? XD
Отсутствие уверенности в том, что это на что-то повлияет, очевидно.

Кэп сообщает, что «отсутствие уверенности» не является поводом к действию. Таким поводом может являться лишь точное знание – которое, внезапно, появляется лишь после проверки всех вариантов.
А она была? Насколько массовая?

В случае с Виндой – внезапно, была. В случае с ресурсом – мы этого не знаем (и очень надеюсь, что не узнаем).
Только два адреса, даже телефона нет.
Внезапно, правда? XD
Довольно внезапно: перехода на указанную вами страницу с исходного сайта нет, так что вообще неясно — сколько инстанций отделяют данную страницу от обсуждаемого сайта.

Всё равно как на замечение что в Макдональдсе в Москве нет жалобной книги вы привели бы ссылку на сайт штаб-квартиры в Чикаго.

Да, между ними есть какая-то свзязь, наверное, но… опубликовать заметку о тараканах у них в салате в местной газете — надёжнее. Быстрее сработает.

Кэп сообщает, что «отсутствие уверенности» не является поводом к действию.
Кэпу отвечают, что решение что является поводом к действию, а что не является — дело индувидуальное.

А она была? Насколько массовая?
В случае с Виндой – внезапно, была. В случае с ресурсом – мы этого не знаем (и очень надеюсь, что не узнаем).
Что, собственно, и показывает всю разницу.

Уязвимость, которая влияет на миллиарды устройств по всему миру, у которых миллиарды же владельцев и которые требуют изрядных усилий и времени для обновления вы сравниваете с уязвимостью на сайте, у которого владелец один, а выкатить обновление можно за час.

Вам не кажется, что это — таки натягивание совы на глобус?
перехода на указанную вами страницу с исходного сайта нет

Хоспидя, ну неужели так трудно??? )))

Кэпу отвечают, что решение что является поводом к действию, а что не является — дело индувидуальное.

Абсолютно согласен. Но Кэп также сообщает, что далеко не каждое индивидуальное решение является верным, и что таковым оно является лишь с точки зрения самого индивида.
А ещё Кэп сообщает, что если решение индивида всё же оказалось неверным – за любые возможные последствия индивид должен пенять только сам на себя…

Вам не кажется, что это — таки натягивание совы на глобус?

Вовсе нет. Ведь сравниваются вовсе не масштабы. Описывается сам принцип последствий подобных публикаций – когда авторы явно хотели «как лучше», а получилось…
И тут, на самом деле, не принципиально – миллиарды, миллионы, или вообще всего один человек. Важен сам факт того, что публикация может повлечь за собой вред кому-то другому.

Я информирую тем способом, которым считаю нужным. Особенно если в способе нет ничего незаконного или массово осуждаемого обществом.


Связь есть, но она не причинно-следственная. Не вынуждала публикация их садиться и писать вирус. Как не вынуждает наличие кухонного ножа дома к убийству кого-то. Как не вынудил меня или вас этот пост идти и скачивать базу.


А не было бы массовой атаки МС может до сих пор бы её не закрыла, а АНБ ею бы дальше пользовалось. Вы связи не видите, что благодаря публикации была закрыта уязвимость, которой пользовалась или в любой момент могла воспользоваться организация, официальной целью деятельности которой является разведка в пользу США и защита, в том числе проактивная от любых угроз электронным коммуникациям госучреждениям США?

Я информирую тем способом, которым считаю нужным.

Да. Но если вы «считаете нужным» наиболее неправильный способ из всех возможных – тогда уж будьте готовы и на справедливую критику своего «способа»…
Вы же, надеюсь, не из тех, кто считает, что никогда не может ошибаться и все его поступки априори непогрешимы? ))

Как не вынудил меня или вас этот пост идти и скачивать базу.

Вторая распространённая ошибка – судить всех по себе. Ну тогда уж можете написать тут публично в комментарии пароль от своего аккаунта или даже данные кредитки – я точно обещаю, что не буду пользоваться. Да и остальные тут, вроде как, люди порядочные. Докажите же слово делом. )))

А не было бы массовой атаки МС может до сих пор бы её не закрыла, а АНБ ею бы дальше пользовалось.

А тем, кто пострадал – уже пофиг на все эти «бы». Они уже пострадали. И лучше бы уж этой дыркой пользовались АНБ, чем Ваннакрай. По крайней мере, АНБ уж точно не зашифровало бы у знакомой результаты работы за последние пять лет, да и денег не просили бы…

Поправлю. Я предпочитаю наиболее эффективные способы. Неправильным он может быть только в какой-то системе ценностей отличной как от моей, так и от кодифицированной законами России.


Я могу ошибаться в квалификации подобных деяний, моя система ценностей может измениться, может когда-нибудь я с удивлением узнаю, что быстрее всего закрыть уязвимость путём обращения в Спортлото.


Вторая распространённая ошибка – судить всех по себе.

Я не сужу, я постулирую: подобная публикация не может быть причиной противоправных действий. Поводом, катализатором, помощью может, но не причиной. Причины другие.


Так они пострадали от противоправных действий авторов вируса. Прямая причинно-следственная связь.

Я предпочитаю наиболее эффективные способы.

Увы, но наиболее эффективный – далеко не всегда наиболее правильный.
Если уж максимизировать… Вот, например, был некогда один крайне эффективный усатый человек, даже двое их было усатых – «эффективность» у обоих реально зашкаливала, и даже вполне объективно, казалось бы…
Но вот «глупые людишки» почему-то как-то «не оценили» подобную «эффективность». Намёк в целом понятен, надеюсь. Также надеюсь, что не сочтёте это за прямую аналогию – а поймёте правильно, лишь в качестве иллюстрации тезиса «эффективность превыше всего». И, да, не надо тут про Годвина, сам в курсе… )))

подобная публикация не может быть причиной противоправных действий

Без проблем. Так что там с паролем от аккаунта и с данными по кредитке? )))
Дырой в заборе пользовались многие на протяжении долгого времени и неизвестно сколь долго бы ещё и сколько нового народу ходило через неё. Публикацией привлекли ещё сколько-то народу сверх меры, а заодно и закрыли дыру. Вопрос «что хуже» уже не даёт нам быстрого ответа.
Вопрос «что хуже» уже не даёт нам быстрого ответа.

Да есть же ответ. Уже говорил, что «оба хуже». Публиковать можно было без подробностей – это и было бы единственным правильным решением.
Да я только за – пусть нанимают, пусть исправляют свои же косяки (только уже бесплатно)).

Но…
В вопросе «посадить гонца» всё гораздо сложнее. Одно дело – просто ошибка руководителя (случается, и нередко). Но совсем другое дело – корысть руководителя, который намеренно ищет самого дешёвого исполнителя, чтобы самому (!) снять всю «пенку» между выделенными средствами и реальной ценой. Это вот уже вполне тянет на срок.
Впрочем, даже последний печальный вариант – вовсе не отменяет поиск реальных вариантов решения проблемы…
Если только на приёмке не нанимать специальную команду каких-нибудь «кулцхакеров», чтобы провели системе полный тест на устойчивость.
А почему зачёркнуто?

Какие-нибудь стальные двери сертифицируются компаниями, которые умеют их ломать. И потому во-первых не выпускаются студентами прошедшими трёхнедельные курсы сварки, а во-вторых — не имеют, как правило, совсем уж дурацких проблем. От удара ногой «в хлам», как правило, не рассыпаются.

А вот в области ПО, почему-то, нанять на строительство ответственного обьекта новичков без опыта и обвинить потом во всех тяжких грехах человека, в сердцах ударившего по стене (после чего, с изумлением, увидевшего как всё строение сложилось как карточный домик) — в порядке вещей.

Но если тендер не левый, то задача исполнителя, действительно дорожащего своей репутацией – не просто пройти приёмку, но и минимизировать все дальнейшие риски. То есть, просто сделать «как надо».
А зачем ему это? Если выигрывает всё равно предложивший минимальную цену?
А почему зачёркнуто?

Зачёркнуто – только потому, что нет на это денег. К сожалению. Сколько бы ни пыжились, но всем всё ясно пока, увы… (((

А зачем ему это? Если выигрывает всё равно предложивший минимальную цену?

Писал ведь уже тут где-то в теме. В адекватных конторах (к коим точно не относятся наши государственные) – оценивается по соотношению «цена/качество», а не только «цена». Даже в тендерах – «цена/обещания» (и вот как раз за невыполненные «обещания» могут порвать на тряпки для пола)…
Зачёркнуто – только потому, что нет на это денег. К сожалению. Сколько бы ни пыжились, но всем всё ясно пока, увы… (((
Совершенно ничего не ясно. Сломать что-либо — на два, а то и на три порядка проще, чем защитить. Гарантировать отсутствие дыр — да, стоит очень дорого, но вот дать каким-нибудь специалистам сайт «на растерзание» на несколько дней — стоит на порядки меньше, чем его разработка… И это будет уже очень большим шагом вперёд. Но этого не делается. Вопрос: почему?
Совершенно ничего не ясно.

Да всё ясно. Тупо денег нет на это. Да, лютый факап (как в плане финансирования, так и в плане персонала, соответственно). Но это не значит, что теперь нужно троллить все госконторы. Выживают, насколько могут (бедолаги)

но вот дать каким-нибудь специалистам сайт «на растерзание» на несколько дней

Хммм…
Во-первых, насколько помню – как раз подобные услуги стоят как раз весьма ощутимо в сравнении с «просто разработкой» (если только там не какие-то лошки-студенты, конечно))…
Во-вторых, тут, опять же – бюджет. Государство наивно думает, что с первого же бюджетного транша построит «идеальный сайт». А местные деятели тупо думают, что сразу просчитали все риски и прочие возможные расходы. На практике, разумеется, всё часто оказывается не так (мягко говоря)). Но вот на перечисление новой суммы на какие-то допсоглашения – уходит масса геморроя по согласованиям и прочей бюрократии. Проще тупо и браво отчитаться, что якобы «всё окей». Со всеми вытекающими…
Ну, вот как-то так потому пока и всё, собственно. Согласен –
тупо.
Предлагаю голосовалку прикрутить: Считаете ли вы необходимым наравне с врачами ввести уголовную ответственность для программистов?
По моему у нас уголовная ответственность уже и так введена по всем фронтам. Только это не официально, а исподтишка. Шагнул не туда — на тебе по сусалам. Посмотрите на законы последних лет.
уголовная ответственность уже и так введена по всем фронтам

Да по фронтам то ладно, фронтов не жалко. Лишь бы бекендеров не трогали.
Считаете ли вы необходимым наравне с врачами ввести уголовную ответственность для программистов?


Так это уже вроде было недавно предложено, в очень расплывчатой форме. По результатам обсуждение пришли к выводу, что за уши можно притянуть под действие этого закона кого угодно, начиная от эникея.
Выбираю ответ: «Нет (я сам программист и не хочу в тюрьму)»…
Думаю достаточно добавить страховой случай, компания проверяет вашу ит безопасность и гарантирует, что все будет норм за плату в месяц, а если что то утечет то возмещает.