https://slinkov.ru/openforum/vsluhforumID3/111045.html Исследоватль безопасности Уильям Энтрикен (William Entriken) поделился (https://privacylog.blogspot.ru/2017/04/what-happens-when-you-send-zero-day-to.html) своим опытом взаимодействия с банками, пытаясь добиться устранения уязвимости. В 2008 году Уильям обнаружил опасную уязвимость в платформе интернет-трейдинга компании Zecco (ныне TradeKing), предоставляющей доступ к торгам на бирже. Речь шла о CSRF-уязвимости, позволяющей через тег "img src" скрытно выполнить операции в web-интерфейсе Zecco, например, если не закрыт сеанс на сайте Zecco, можно без ведома пользователя инициировать покупку определённых акций.<br><br><br><br>После того, как Уильям связался с руководством Zecco, они признали наличие проблемы. Также стало известно, что ПО с этой уязвимостью используется одной из крупных розничных сетей с более чем 100 тысячами точек продаж, а инженеры подтвердили, что подобные подставные операции невозможно выделить в общем потоке легитимных транзакций. В ходе обсуждения руководство выразило беспокойство, что информа https://slinkov.ru/openforum/vsluhforumID3/111045.html#47 Tue, 25 Apr 2017 08:05:58 GMT Уже которая история про то как вайтхет идеалистов поимела корпорация, а они все никак не учатся на своих ошибках. Поэтому уязвимости надо продавать тем кто может за них платить и использовать по назначению, жирный корпорас начнет крутиться только когда его поимеют.<br> https://slinkov.ru/openforum/vsluhforumID3/111045.html#46 Mon, 24 Apr 2017 07:58:52 GMT &gt;&gt; НИЧЕГО НЕ ЗАПЛАТИЛИ не только за дыру, но и, в общем, существенно <br>&gt;&gt; недодали из обещанных златых гор. [...] Так что теперь и не знаю даже, <br>&gt;&gt; информировать на будущее, или сразу связываться с биржей уязвимостей?<br>&gt; Судите сами, но я бы с такими если и связывался, то держа <br>&gt; наготове (причём не блефом) подход "ребята, через N дней ваша дырка <br>&gt; всплывёт, даже если вы устроите мне дырку в голове -- будьте <br>&gt; умничками и сделайте хоть что-то по совести".<br><br>Что-бы другим не повадно было сначала применят УК за вымогательство (вплоть до подставной выплаты с участием силовиков), а остальные вопросы будут решать по мере возникновения проблем, может и героически и с потерями.<br>Ключевое - с террористами переговоров никто не хочет вести, особенно если жизни не угрожает.<br> https://slinkov.ru/openforum/vsluhforumID3/111045.html#45 Mon, 24 Apr 2017 07:49:05 GMT Про исследование, тут по разному может быть.<br>Вот открываю я как-то сбербанк-онлайн, а утилитка по приватности мне пишет, заблокировано 2 ссылки, смотрю что за ссылки, а там гугл аналитика с внешнего источника, как по вашему проблема или нет на форме ввода пароля?<br>Сейчас вроде убрали, но как-то не по себе немного от крупного банка такое.<br> https://slinkov.ru/openforum/vsluhforumID3/111045.html#44 Sun, 23 Apr 2017 20:33:09 GMT &gt; Обычно чем "больше" люди, тем меньше они ценят труд обычных людей.<br><br>Может быть им просто некогда ;)<br> https://slinkov.ru/openforum/vsluhforumID3/111045.html#43 Sun, 23 Apr 2017 20:31:29 GMT &gt; Лет мало, вот ты и не понял. С возрастом многое становится очевидным, <br>&gt; в том числе, по тому как именно человек излагает свои мысли. <br>&gt; Тебя ситуация с эго тоже касается, раз возникает желание давать советы <br>&gt; незнакомым людям.<br><br>Да, согласен! И еще, забираю все свои советы ;)<br> https://slinkov.ru/openforum/vsluhforumID3/111045.html#42 Sun, 23 Apr 2017 19:42:31 GMT &gt; а то ж во всех подобных схемах есть уязвимое место - когда ты приходишь за деньгами.<br><br>Закупил биткоинов или прочих-коинов. Перемешал их с другими как в "Золотом копытце". На коины можно заказать благотворительную посадку пальмовой рощи. Ходишь по роще рвешь бананы. Кушаешь бананы, поливаешь пальмы.<br> https://slinkov.ru/openforum/vsluhforumID3/111045.html#41 Sun, 23 Apr 2017 17:16:22 GMT &gt; В крупных организациях всем на всё накакать.<br><br>Это точно. И дело не в злом умысле или некомпетентности, там просто важные сообщения легко теряются в общем потоке информации. Иногда даже выяснить не удаётся, кто за это отвечает, а т.к. своей работы много, то просто кидаешь информацию куда-нибудь в рассылку или по направлению вверх, а дальнейшая судьба этого тебя не волнует.<br> https://slinkov.ru/openforum/vsluhforumID3/111045.html#40 Sun, 23 Apr 2017 17:11:34 GMT Интересно, а что они ему сделают за это? С работы уволят? Или будут судиться и посадят в тюрьму? Так это они к себе ещё больше внимания привлекут таким способом. Я бы на их месте не стал обосравшись пытаться засадить того, кто это первым увидел, но терпеливо молчал, пока они не подмоются.<br> https://slinkov.ru/openforum/vsluhforumID3/111045.html#39 Sun, 23 Apr 2017 15:34:41 GMT В крупных организациях всем на всё накакать. вот и вся политика. софт соответствует какому-нить стандарту разработки, какой-нить аудит прошли, деньги получены, если запроса от клиента нет, то чего напрягаться? за это премию не выпишут, а могут и наоборот. в энтерпрайзе это практически везде. <br>