Там речь идет об абстрактной обезьяне, живущей бесконечно долго и при этом не перестающей набивать текст. У меня речь шла об обычной обезьяне. Вот ей ресурсы точно никак не помогут.
Забавно, но картинка, с которой вы не согласились, отчасти подтверждает вашу мысль: человечек на ней набрал столько лестниц, что их куча всё-таки позволила заглянуть за кирпичный забор.
Но такое справедливо не всегда. Например, можно обезьяну снабдить хоть миллиардом компьютеров, но до тех пор, пока она не научится ими пользоваться, она не сможет написать даже примитивную программу-калькулятор. Т.е. ресурсы у нее будут, но задача всё равно останется нерешенной. Хотя знающему человеку и одного компьютера хватит.
Я думаю, что идеальным является только такой вариант...
Если у вас нет на руках упомянутого вами договора с банком с печатью и подписями, то этот вариант тоже неидеален и чреват. А если есть, то фраза «все это на условиях анонимности» получается неуместной.
Не надо каждому — сделать один на всех sandbox-environment и вперед, пусть ищут за денежку.
Если вам не нравится слово «создавать», то я могу его заменить на «предоставлять»: Я слабо представляю себе ситуацию, когда банк будет предоставлять sandbox-environment с тестовыми счетами каждому встречному-поперечному. Даже если sandbox — один на всех.
Обратите внимание: тот же ПриватБанк, на страничку которого вы привели ссылку, желает получать исключительно ГОТОВУЮ информацию, а не создавать условия для ее получения — предоставлять sandbox, документацию, тестовые логины/пароли и т.п. Оно и понятно: чем меньше людей знает, как всё устроено и работает, тем спокойнее банку спать. Поэтому я и не верю, что банки будут заниматься этим.
Я слабо представляю себе ситуацию, когда банк будет создавать sandbox-environment с тестовыми счетами каждому встречному-поперечному.
Представьте, что вы — IT-специалист банка. И приходит к вам начинающий недохакер и заявляет:
— У вас в протоколе обмена я обнаружил некое поле. Если его неправильно заполнить, то платеж станет неверным. Дайте мне возможность поэкспериментировать с его заполнением.
Ну не смешно ли? Во-первых, с чего он решил, что на стороне банка нет проверок этого поля? Может, там их штук 100, просто он о них еще не знает. Во-вторых, будете ли вы всем подряд, кто впервые ознакомился с протоколом обмена, выделять программные и аппаратные ресурсы для проверки их дилетантских догадок и давать упражняться во взломе своей банковской системы?
Мне кажется, это из области фантастики — ни один банк на такое не пойдет. Другое дело, когда речь идет о специализированной компании, профессионально занимающейся тестированием информационной безопасности.
Что касается уголовного подтекста поиска уязвимостей — это отдельный разговор.
С одной стороны, вседозволенность недопустима. А с другой стороны, если любой поиск считать уголовщиной, то это будет способствовать наплевательству на безопасность со стороны разработчиков (что, собственно, и произошло в обсуждаемом случае), а, значит, тоже недопустимо (см. законы Мерфи про дятла, способного разрушить всю цивилизацию).
Хакер не «проверял уязвимость», а перечислил чужие деньги на свой банковский счет.
Проверка уязвимости — это попытка выполнить неразрешенную операцию. В случае с банком — это попытка провести неразрешенную транзакцию. Только успешное проведение неразрешенной транзакции позволяет заявлять о наличии уязвимости. Всё остальное — бла-бла-бла, ничем неподкрепленное.
Если несогласны — попробуйте предложить свой вариант проверки уязвимостей произвольных переводов.
Если мы позволим оправдывать обращение чужого имушества в свою пользу словами(!), мол, я тестировал уязвимость, то мы получим десятки тысяч ненаказанных уголовников в первый же день.
Вы меня не поняли. Прочитайте внимательнее — я нигде не оправдывал обращение чужого имущества в свою пользу. Наоборот, я считаю хакера виноватым: он для своего эксперимента использовал ЧУЖИЕ, а не свои деньги. А если бы использовал свои, то ваша претензия «обращение чужого имущества в свою пользу» превратилась бы в «обращение своего имущества в свою пользу», т.е. потеряла бы смысл. Согласны?
Вашу аналогию следует подкорректировать:
— Устройства для ношения бумажников выдает администрация рынка.
— Бумажники на территории рынка носить разрешается исключительно в этих выданных администрацией устройствах. Иначе покупатель на рынок вообще не будет допущен.
— Деньгами из устройства клиент расплачивается не напрямую, а через сотрудников рынка. Сотрудники рынка, как оказалось, подслеповаты и спокойно могут расплатиться с чужого устройства — любого, на которое покажет вор.
Вот теперь аналогия ближе к рассматриваемой ситуации.
И теперь вина администрации рынка просматривается гораздо выше, чем вина человека, который продемонстрировал дырявость нанятых ею сотрудников. Поэтому ее желание сделать козлом отпущения хакера, а не себя, любимую, вызывает отвращение.
Что касается хакера, то его вина в том, что он проверял уязвимость не на своих, а на чужих счетах. Завел бы себе 2 карты и перечислял бы с одной на другую. Согласно вашей 2-ой аналогии: ходил бы по СВОЕМУ, а не чужому дому и проверял бы его на предмет уязвимостей.
Можно пруф? Я до сих пор видел только ответственность исполнителя за ИСПОЛНЕНИЕ заведомо незаконного приказа. Об ответственности исполнителя за содержательную сторону ЧУЖОГО(!) приказа (включая сравнение вреда) — в первый раз слышу.
… с точки зрения солдата приказ «бей вот того» может быть незаконным.
Ну и что, что незаконным? Выше я уже приводил разъяснения военного юриста на этот счет. Выполнение НЕЗАКОННОГО приказа не наказывается, наказываться может выполнение только ЗАВЕДОМО НЕЗАКОННОГО приказа.
Есть ещё и принцип «меньшего вреда» — когда невыполнение приказа принесло меньше урона, нежели могло принести выполнение (в общем случае — когда некое противоправное действие служило для предотвращения большего вреда).
Насколько мне известно (поправьте, если неправ), эти критерии относятся уже к тому, кто ДАЛ такой приказ, а не к тому, кто его ИСПОЛНИЛ.
Я имел в виду, что одна из стратегий защиты (не факт, что успешная) заключается в том, что человек не сомневался в законности приказа.
Защита должна опровергать доказательства обвинения. А сомнения в законности выполненного приказа не являются доказательством вины человека (см. мой комментарий). Поэтому опровергать наличие сомнений не имеет смысла, а, значит, и строить защиту на отсутствии сомнений — тоже.
А зачем ему это утверждать? Ведь в этом нет никакого смысла. Ну и что, что человек не был убежден в законности выполненного приказа? Это не наказуемо.
Еще раз: наказуемо не выполнение СОМНИТЕЛЬНОГО с точки зрения законности приказа, а выполнение ЗАВЕДОМО НЕЗАКОННОГО приказа. Исходя из этого обвинительная сторона не может строить обвинение на факте сомнительности приказа: она должна доказать заведомую незаконность приказа. Вот когда она это докажет — тогда другое дело.
Тогда тем более никаких препятствий нет — хоть командир солдат, хоть командир полицейских вполне могут отдать подобный приказ и этот приказ нельзя будет считать ЗАВЕДОМО незаконным.
Специально глянул в эту четвертую Конвенцию. Там есть специальная оговорка на этот счет:
Статья 5
Если находящаяся в конфликте Сторона имеет серьезные основания полагать, что на ее территории какое-либо отдельное лицо, находящееся под покровительством Конвенции, подозревается на законном основании в деятельности, враждебной для безопасности этого государства, или, когда эта деятельность действительно установлена, такое лицо не будет иметь права претендовать на такие права и преимущества, предоставляемые настоящей Конвенцией, которые наносили бы ущерб безопасности этого государства, если бы они предоставлялись данному лицу.
Исходя из этого, если у командира имеются серьезные и законные основания полагать, что эти «гражданские» являются террористами, то он может отдать приказ «мочить» их. И этот приказ не будет не только заведомо незаконным, а даже просто незаконным не будет.
Разве солдат обладает исчерпывающей информацией (и сможет потом доказать это в военном трибунале), что указанные гражданские лица абсолютно точно не являются террористами, а исключительно мирные жители и их ликвидация не имела никакого смысла?
Если солдат не обладает такой информацией, то такой приказ для него не является ЗАВЕДОМО незаконным. А вдруг действительно террористы?
Вряд ли командир ответит «Да, я отдал совершенно незаконный приказ и его можно не выполнять». Поэтому подобный вопрос к командиру вряд ли добавит ясности.
Исключительно ради уточнения, а не спора ради:
Нет, не любой. Если интересно, то вот разъяснения военного юриста на этот счет. Если вкратце, то НЕЗАКОННЫЙ приказ ты обязан выполнить, а вот ЗАВЕДОМО НЕЗАКОННЫЙ — не обязан.
Если вы до сих пор не заметили, я с вами обсуждал тему ваших сетований по поводу ухода автора без отработки. Все ваши аргументы по этой теме я аргументированно раскритиковал.
И не надо под соусом, что я якобы вас «не понял», уводить разговор на темы, которые я с вами не обсуждал (оформление прав на код; как бы вы поступили на месте автора; т.п.). Если есть еще аргументы по 1-ой теме — приводите их. Нет — не надо использовать разные трюки (в т.ч. приписывание мне «левых» выводов (с последующим уклонением от подтверждающих цитат) и передергивание моих аналогий-аргументов).
В русскоязычном источнике написано:
Заголовок текущей публикации гласит:
Так могут приостановить (речь идет о будущем времени) или уже приостановили?
Но такое справедливо не всегда. Например, можно обезьяну снабдить хоть миллиардом компьютеров, но до тех пор, пока она не научится ими пользоваться, она не сможет написать даже примитивную программу-калькулятор. Т.е. ресурсы у нее будут, но задача всё равно останется нерешенной. Хотя знающему человеку и одного компьютера хватит.
Если у вас нет на руках упомянутого вами договора с банком с печатью и подписями, то этот вариант тоже неидеален и чреват. А если есть, то фраза «все это на условиях анонимности» получается неуместной.
Если вам не нравится слово «создавать», то я могу его заменить на «предоставлять»:
Я слабо представляю себе ситуацию, когда банк будет предоставлять sandbox-environment с тестовыми счетами каждому встречному-поперечному. Даже если sandbox — один на всех.
Обратите внимание: тот же ПриватБанк, на страничку которого вы привели ссылку, желает получать исключительно ГОТОВУЮ информацию, а не создавать условия для ее получения — предоставлять sandbox, документацию, тестовые логины/пароли и т.п. Оно и понятно: чем меньше людей знает, как всё устроено и работает, тем спокойнее банку спать. Поэтому я и не верю, что банки будут заниматься этим.
Представьте, что вы — IT-специалист банка. И приходит к вам начинающий недохакер и заявляет:
— У вас в протоколе обмена я обнаружил некое поле. Если его неправильно заполнить, то платеж станет неверным. Дайте мне возможность поэкспериментировать с его заполнением.
Ну не смешно ли? Во-первых, с чего он решил, что на стороне банка нет проверок этого поля? Может, там их штук 100, просто он о них еще не знает. Во-вторых, будете ли вы всем подряд, кто впервые ознакомился с протоколом обмена, выделять программные и аппаратные ресурсы для проверки их дилетантских догадок и давать упражняться во взломе своей банковской системы?
Мне кажется, это из области фантастики — ни один банк на такое не пойдет. Другое дело, когда речь идет о специализированной компании, профессионально занимающейся тестированием информационной безопасности.
Что касается уголовного подтекста поиска уязвимостей — это отдельный разговор.
С одной стороны, вседозволенность недопустима. А с другой стороны, если любой поиск считать уголовщиной, то это будет способствовать наплевательству на безопасность со стороны разработчиков (что, собственно, и произошло в обсуждаемом случае), а, значит, тоже недопустимо (см. законы Мерфи про дятла, способного разрушить всю цивилизацию).
Проверка уязвимости — это попытка выполнить неразрешенную операцию. В случае с банком — это попытка провести неразрешенную транзакцию. Только успешное проведение неразрешенной транзакции позволяет заявлять о наличии уязвимости. Всё остальное — бла-бла-бла, ничем неподкрепленное.
Если несогласны — попробуйте предложить свой вариант проверки уязвимостей произвольных переводов.
Вы меня не поняли. Прочитайте внимательнее — я нигде не оправдывал обращение чужого имущества в свою пользу. Наоборот, я считаю хакера виноватым: он для своего эксперимента использовал ЧУЖИЕ, а не свои деньги. А если бы использовал свои, то ваша претензия «обращение чужого имущества в свою пользу» превратилась бы в «обращение своего имущества в свою пользу», т.е. потеряла бы смысл. Согласны?
— Устройства для ношения бумажников выдает администрация рынка.
— Бумажники на территории рынка носить разрешается исключительно в этих выданных администрацией устройствах. Иначе покупатель на рынок вообще не будет допущен.
— Деньгами из устройства клиент расплачивается не напрямую, а через сотрудников рынка. Сотрудники рынка, как оказалось, подслеповаты и спокойно могут расплатиться с чужого устройства — любого, на которое покажет вор.
Вот теперь аналогия ближе к рассматриваемой ситуации.
И теперь вина администрации рынка просматривается гораздо выше, чем вина человека, который продемонстрировал дырявость нанятых ею сотрудников. Поэтому ее желание сделать козлом отпущения хакера, а не себя, любимую, вызывает отвращение.
Что касается хакера, то его вина в том, что он проверял уязвимость не на своих, а на чужих счетах. Завел бы себе 2 карты и перечислял бы с одной на другую. Согласно вашей 2-ой аналогии: ходил бы по СВОЕМУ, а не чужому дому и проверял бы его на предмет уязвимостей.
Ну и что, что незаконным? Выше я уже приводил разъяснения военного юриста на этот счет. Выполнение НЕЗАКОННОГО приказа не наказывается, наказываться может выполнение только ЗАВЕДОМО НЕЗАКОННОГО приказа.
Насколько мне известно (поправьте, если неправ), эти критерии относятся уже к тому, кто ДАЛ такой приказ, а не к тому, кто его ИСПОЛНИЛ.
Защита должна опровергать доказательства обвинения. А сомнения в законности выполненного приказа не являются доказательством вины человека (см. мой комментарий). Поэтому опровергать наличие сомнений не имеет смысла, а, значит, и строить защиту на отсутствии сомнений — тоже.
Еще раз: наказуемо не выполнение СОМНИТЕЛЬНОГО с точки зрения законности приказа, а выполнение ЗАВЕДОМО НЕЗАКОННОГО приказа. Исходя из этого обвинительная сторона не может строить обвинение на факте сомнительности приказа: она должна доказать заведомую незаконность приказа. Вот когда она это докажет — тогда другое дело.
Исходя из этого, если у командира имеются серьезные и законные основания полагать, что эти «гражданские» являются террористами, то он может отдать приказ «мочить» их. И этот приказ не будет не только заведомо незаконным, а даже просто незаконным не будет.
А наказывают ведь за исполнение ЗАВЕДОМО незаконного приказа.
Если солдат не обладает такой информацией, то такой приказ для него не является ЗАВЕДОМО незаконным. А вдруг действительно террористы?
В той статье сказано:
Нет, не любой. Если интересно, то вот разъяснения военного юриста на этот счет. Если вкратце, то НЕЗАКОННЫЙ приказ ты обязан выполнить, а вот ЗАВЕДОМО НЕЗАКОННЫЙ — не обязан.
И не надо под соусом, что я якобы вас «не понял», уводить разговор на темы, которые я с вами не обсуждал (оформление прав на код; как бы вы поступили на месте автора; т.п.). Если есть еще аргументы по 1-ой теме — приводите их. Нет — не надо использовать разные трюки (в т.ч. приписывание мне «левых» выводов (с последующим уклонением от подтверждающих цитат) и передергивание моих аналогий-аргументов).