Согласен, но опять- же. Насколько видно из статьи, он не специально нашел уязвимость, а наткнулся на неё, разрабатывая мобильное приложение и первое, что он сделал — так это пошел к руководству колледжа, а не компании. Получается он должен был просто забить на неё, а потом, её бы нашел другой чувак, только более хитрый, который бы скрил свое пребывание, украл бы данные и закинул бы их куда-нибудь
Если бы фривольные аудиторы всегда следовали четкому регламенту и запрашивали письменное разрешение, то у нас минимум 80% всего ПО, разрабатываемого в мире было жутко бажным и дырявым. Представьте себе ситуацию, при которой я нашел, например, критическую уязвимость в google.com. Получается, я должен сначала написать письмо с запросом на разрешение произвести аудит их программного продукта, после чего найти эту самую дырку, а потом, еще и по всем правилам оформить баг-репорт. А учитывая то, что компания большая и тот-же сапорт в день получает просто огромное количество писем, то скорее всего, идея бы завяла на этапе ожидания ответа с офф разрешением. В том то и дело, что 'нормальные' конторы не ставят палки в колеса людям, пытающимся им помочь и сообщить об уязвимости. А прямое воровство с последующим шантажом и распространением — абсолютно другое дело.
Ну насколько я понял, тут больше проблема не в компании, уязвимость в продукте которой он нашел, а в колледже, где даже разбираться не стали, а тупо выгнали парня. Проф. этику он бы нарушил, если бы взломал их и украл 250К данных, а потом сплавил бы куда-нибудь. А так парень выполнил все требования и все открыто рассказал, я не думаю, что у него не хватило бы знаний потереть логи.
Не согласен. Саппорту же потом больше работы. Во-первых потом переставлять ОС на ту, с которой клиент мало-майски знаком, во-вторых создастся впечатление того, что саппорту откровенно наплевать на желание и потребности клиента. С клиентом нужно уметь общаться и если Вы видите, что клиент в этом ничего не понимает, нужно просто выяснить для каких целей ему нужен сервер и то, что вся работа по настройке и поддержке будет лежать либо на его стороне, либо на стороне провайдера, но уже за деньги. Тогда клиент уже будет думать надо ему это или нет. В любом случае, просто забив и поставив то, что он хочет, о чем даже не имея представления, Вы как минимум обрекаете себя на кучу тикетов и телефонных звонков.
Пожалуй неправильно выразился. Из сферы общения с клиентами. Хотя в разных компаниях по разному. Тут очень много еще и от регламента работы твоего отдела зависит.
Именно поэтому я и ушел из хостинга. Безусловно клиенты зачастую умные, образованные, интеллигентные и понимающие люди, но очень часто попадается откровенное быдло, которое начинает хамить тебе, оскорблять и угрожать. А ты ему даже ответить не можешь, ибо регламент. Зачастую же сложно объяснить, обвиняющему тебя в чем-то клиенту, что это работает так не из-за тебя, а из-за политики компании, и связываться нужно не с саппортом, а непосредственно с руководством… которое зачастую принимает вопросы только по электронной почте.
Это достаточно сложно реализовать. Я работаю в одной хостинг компании и мы постоянно сталкиваемся с подобного рода вирусами.
Как вариант рассматривали включение связки proftpd + clamav на уровне сервера, но из этого ничего не вышло так как clamav очень плохо отлавливает iframe. + ко всему были проблемы с падением скорости загрузки через фтп файлов.
Как вариант — взять у того-же гугла базу данных сайтов с троянами и парсить её самописным скриптом, работающим как патч к proftpd
Очень хороший подкаст. Ребятам - респект. Хочу сказать единственное - мой выбор Opera. Firefox юзает дофига памяти, и даже изменения в about:config параметра browser.sessionhistory.max_entries c 50 на 5 не помогает =( Про Сафари я вообще молчу. Да он красивый, быстрый и хорошее сглаживание, но он только под Мак и под винду =(
Как вариант рассматривали включение связки proftpd + clamav на уровне сервера, но из этого ничего не вышло так как clamav очень плохо отлавливает iframe. + ко всему были проблемы с падением скорости загрузки через фтп файлов.
Как вариант — взять у того-же гугла базу данных сайтов с троянами и парсить её самописным скриптом, работающим как патч к proftpd