Комментарии 19
И потом, вместо "спасибо" угрожать преследованием — это просто странно
Чего ж тут странного. Полагаю, на фоне публично взаимной неприязни истеблишмента одной большой русскоговорящей страны и другой заокеанской англоговорящей страны "под ковром" прошёл какой-нибудь саммит "противодействие угрозам национальной и общественной безопасности", где лучшие практики правоохранители в красивых презентациях выдали на панель к обоюдной выгоде. Вполне может быть, ребята из заокеанского партнёра в свою очередь поделились лучшими практиками в организации state sponsored riots или, например, в обустройстве тюрем, не входящих ни в собственную юрисдикцию, ни в одну из национальных, ни, тем более, в международную, с соответствующим аннулированием действия любых законодательств в области прав подозреваемых, обвиняемых и осужденных.
Огласка, штрафы, проверки, суды и т.д. может обойтись, налогоплательщикам, в 50М
Вы две запятые пропустили.
Поиск уязвимости — это только часть процесса.
Например: решили мы проверить наш софт на уязвимости, нашли специалистов, они покопались и выдали список уязвимостей. Можно на этом остановится и некоторые так и делают. Как они после этого спят спокойно, я незнаю )
Довольно глупо заплатить деньги, узнать что проблема есть и ничего с ней не делать. Поэтому мы начинаем планировать работы по исправлению и тут как в сказке - чем дальше, тем страшнее.
Во-первых нужно провести аналитику - понять как именно исправлять каждую уязвимость, где исправлять и как проверить что она исправлена.
Во-вторых оценить трудозатраты и попытаться для них найти ресурсы (деньги, время, людей).
Потом нужно подождать пока будут внесены все исправления.
Далее нужно найти ресурсы (деньги, время, людей) для тестирования. В идеале прогнать обновленный софт через регресс, нагрузочное и интеграционное тестирование, потому что по законам подлости исправления производились в глубинах легаси покрытых паутиной и не покрытых тестами.
И даже сейчас софт ещё не выкатывается на прод, а проходит еще раз тестирование на уязвимости. При этом иногда проверяются только ранее найденные уязвимости, чтобы подтвердить, что они закрыты. А иногда софт проходит полную проверку, чтобы проверить, что ранее найденные уязвимости закрыты и новых в результате исправления не появилось.
И только вот здесь будет выкатка на прод.
В общем исправление — это целый процесс и чем сложнее софт, тем больше времени и денег уйдет на исправление.
Неужели такая серьезная проблема, что столько денег понадобиться?
А что делать - такие вот у нас, простых мируканских программистов (того уровня, на котором знаешь про экранирование параметров) зарплаты :)
Теперь white хакеры сообщать про уязвимости не будут.
"Кибероружие" само по себе не напишется ;)
Ну а как же. Утечка номеров соцстрахования трёх учителей очень дорого обойдётся государственному бюджету.
Забавно, что данный сюжет полностью повторяет сюжет множества "отечественных фильмов" данного жанра.
... ["хакер"] обнаружил, что номера социального страхования учителей содержались в исходном коде страниц сайта департамента образования
Государство намерено привлечь к ответственности тех, кто взламывает наши системы и тех, кто помогает им в этом.
... администрация будет преследовать «хакеров» и всех, кто помог изданию «опозорить государство ради громких заголовков»
Чёт губернатор какой-то неадекватный. Ошибка, особенно в программе, особенно в гос структуре позором не является. Закрыли, в лучшем случае сказали спасибо, и проехали.
А вот неадекватные высказывания как раз самый надёжный способ опозорить государство.
всё правильно, если ты шёл и споткнулся о стоящее посреди ведро, то нужно тебя оборать за то, что ты это ведро опрокинул, и вообще, украл 500 баксов что в нём лежали.
Теперь надо издать закон о запрете просмотра исходного кода страниц сайта и тогда не надо ничего защищать.
Ну скорее всего этот губернатор отправится пинком под зад из своего кресла.
Губернатор Миссури назвал исследователя безопасности хакером и пообещал засудить