Сергей Романович
Я хоть и пытаюсь здесь придерживаться нейтрального стиля и не переходить на личности, но ты, конечно, тот еще мудень, уж извини.
Во всяком случае мне доставляет некоторое удовлетворение отвечать таким как ты. Тем, кто с предметом обсуждения знаком поверхностно, либо не очень внимательно читал оп-пост.
Даже в классических преступлениях, которые ты регулярно приводишь в пример, нет понятия "Потенциальный преступник". Никого еще не посадили за наличие мотива и возможность. Наказывают только за совершенное действие. Удивительно, но во всех известных мне сервисах (за исключением стима) это так и работает.
Про игру в кулхацкеров я тебе уже отвечал. Никто от тестирования уязвимости НА САМОМ СЕБЕ в скрытом(!!!!!!) сразу же удаленном (!!!!!!!!!!!!!!!!!!) предмете мастерской даже при сильном желании пострадать не может. Чего уж говорить, учитывая что ничего вредоносного я и не тестировал.
Все равно что дома у друга дать самому себе по лицу, а потом сесть за нанесение тяжких телесных.
3) Чего?)
4) Уже было. Неудачное сравнение. Веб-сервера и программное обеспечение - не секретный объект. Нередко обнаружение уязвимости может произойти неосознанно. Например, если рядовой пользователь напишет отрицательное число в графу, которая слепо рассчитана на положительные числа, и тем самым положит базу данных (такой баг был на сайте Первого канала). В таком случае его не банить нужно, а разобраться в ситуации. Вот если он будет это повторять с явным желанием положить базу, и от этого будут страдать рядовые пользователи, тогда к нему действительно следует применить санкции.
Более корректным сравнением будет такое:
Друг под другом расположены публичный объект, и секретный подвал. Но увы, пол и перекрытия публичного объекта частично сделаны из картона, и если на них наступить, ты неизбежно провалишься в секретный подвал.
Сообщить о проблеме может и будет более правильным решением, чем подняться и забыть об этом случае, но здесь, опять же, могут быть свои обстоятельства.
Опять не очень корректное сравнение. Stored XSS, в отличие от ингейм багов, имеет глобальный характер (особенно в данном случае). Ее не выйдет поюзывать, а потом попасться. Почему? Загугли что такое XSS, прежде чем делать выводы. Если бы она была использована, ты бы уже знал обо мне, как определенные люди знали о Kaby.
Искренне надеюсь что ты просто троллишь.
Еще один любитель вырывать фразы из контекста. Зачем комментируешь, если в предмете обсуждения разбираешься чуть менее чем никак?
Не очень корректное сравнение. Выше уже дважды писал, что единственный способ найти уязвимость - проверить ее работоспособность на самом себе либо своем тестовом аккаунте (если требуется взаимодействие двух). В противном случае это лишь гипотеза о существовании уязвимости. Если так посудить, то любой black-hat хакер или штатный тестер уже должен дежурить у параши.
практически троянДержи в курсе. Удивляюсь, как некоторые накручивают какие то предположения, о которых нет ничего ни в тексте, ни по факту.
К гейм координатору доты, ксго и тф2 я подключиться уже не смогу. Не самая большая потеря в первых двух случаях, а вот в тф я порой поигрывал. Точно так же не смогу поиграть в игры с друзьями, банально инвайт отправить не смогут.
Старался.
4) Как я понял, ты банально не знаешь что такое уязвимость, и чем эксплуатация отличается от исследования.
3) В стиме может и нормальная. Именно поэтому любая уязвимость в стиме становится достоянием общественности.
Почему лично я не репортил описано выше. Но все же добавлю, что обязывающих репортить баги правил в соглашении нету. Запрещена эксплуатация, которой не было.
Имеются ввиду не геймплейные баги и эксплоиты, а действительно уязвимости.