Re: [討論] 維護者、道德與安全 - Jaies板

首頁(home) 上頁(↑) 下頁(↓) 末頁(end)

※ 本文為 Jaies 轉寄自 ptt.cc 更新時間: 2013-04-09 00:41:13

看板 Soft_Job

作者 JokerCatz (JokerCatz)
標題 Re: [討論] 維護者、道德與安全
時間 Thu Feb 21 09:54:30 2013

hmm...我發現很多所謂的熱心人士，七嘴八舌的...
我不常上來PTT，不過這應該是PTT的特性

有人要我穿西裝打領帶，要我去談對方的安全性問題，有人說我不該那樣做怎樣的
那...換你們做一下如何？:)

我身邊還有很多他們的漏洞，可是這些漏洞可能不痛不癢很難打下來
所以我公開其中一個，就如同有人要我公開發表在其他網站一樣

https://www.ssllabs.com/ssltest/analyze.html?d=members.popo.tw

Qualys SSL Labs - Projects / SSL Server Test / members.popo.tw

那...現在換所謂的能人如何？所有對這件事情事後諸葛的人去建議看看如何？

Your turn :)

--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 114.35.31.145

推 LaPass:這是PTT的特性沒錯..... 當你講了某件事/某件觀念之後，通1F 02/21 09:58
→ LaPass:常會有不一樣的聲音冒出來，這時候，能接受就回應一下，不
→ LaPass:能接受就別管對方。一但兩邊都擺出「我是對的」的態度、姿
→ LaPass:態在討論的話，通常最後就會變成鬼打牆式的筆戰，直到被板
→ LaPass:主出面制止為止。

推 hSATAC:聽說是 rails 232...?搞不好 hash collision 跟6F 02/21 10:02
→ hSATAC:remote code execution 的洞都沒補呢...

→ JokerCatz:我很不愛無意義的筆戰，是真希望它好，所以誰去解決它？8F 02/21 10:03
→ JokerCatz:@hSATAC 你知道的太多了...不過還有Rails超大的隱憂

推 LaPass:對了，想請教這個漏洞的關鍵字，我不懂這一塊，想去搞懂。10F 02/21 10:04

→ JokerCatz:session cookie decode => 尋找plugin漏洞((加密無作用11F 02/21 10:05

推 LaPass:THX12F 02/21 10:06

→ JokerCatz:@LaPass上個版本的bug被拿去用，下個版本修好但尚未更新13F 02/21 10:06
→ JokerCatz:@LaPass網路太黑暗了，歷史包袱很多，且無解

推 codemonkey:原PO真可愛15F 02/21 10:22

→ Gitangan:原PO做了一些事想改變某站的態度，網民說了一些話想改變16F 02/21 11:31
→ Gitangan:原PO的態度的想法。有人說原PO不該管城邦的事，那你們管
→ Gitangan:原PO那麼多做什麼?

推 bleed1979:我覺得樓上想太多了，評論不代表要改變對方想法。19F 02/21 12:35
→ bleed1979:不過「棒打落水狗」這種事情在PTT倒是很常見。

→ andymai:不是想改變!真要改變的話~對我來說~最起碼要我很在乎他~會21F 02/21 12:59
→ andymai:提出意見也不過是認為有更好的做法罷了~就像寫程式一樣~不
→ andymai:是只有一種寫法!接不接受當然是看個人~討論區本來就是讓人
→ andymai:發表意見用的~不是嗎?至於要不要管~那原本就是自己的抉擇!

→ nobody1:事主都下來討論了竟反問鄉民管太多州官放火百姓點燈？25F 02/21 13:04

→ andymai:像現在就很流行把警告資訊po到FB上面流傳~而且對我來說~我26F 02/21 13:04
→ andymai:並不是他們的使用者~所以我只會分享到FB上提醒大家注意
→ andymai:而且像現在新聞都報出來了~還要繼續成為使用者~那不就是個
→ andymai:人自己選擇的嗎?就像美牛的問題~要不要吃是自己選的?不是
→ andymai:嗎?再者~自以為是的爛公司就是該淘汰~你這樣犧牲自己去救
→ andymai:還是沒救到那間公司和那些使用者啊...
→ andymai:就像我覺得HTC很爛!但我既不是他們的客戶~也不是股東~那我
→ andymai:到底憑什麼跑到人家面前要求人家改善???就讓市場去決定吧!

→ TonyQ:盲點在於真的有人去做也不需要跟你報備啊，等著看一個月內34F 02/21 13:32
→ TonyQ:有沒有人修吧。(笑
推 TonyQ:不要預設太多事情，慢慢等著看吧
→ TonyQ:不過是說公佈漏洞你上次挑的是簡單跟危險性高的xss，
→ TonyQ:這次這個看起來條件多了不少，不那麼公平啊(笑
→ TonyQ:還是來查查 remote execution 他們修了沒好了 :p

→ JokerCatz:挑那個跑分就知道，上面那個要打的啊XD我兩年不能犯案哩40F 02/21 13:50

推 yauhh:換我來就是在旁邊寄個信提醒提醒,有辦法就把demo寫成文件41F 02/21 14:42
→ yauhh:告知就好了. 因為我知道我個人的責任義務及權力就那麼大而已

推 pcyu16:如果在網路公開網站的漏洞這會造成法律問題嗎?43F 02/21 14:49

推 luciferii:丟 Qualys Scan的垃圾結果出來..我確認你只是想吵架44F 02/21 15:30

推 xvid:你可以找防毒版的嗨嗨每個人交朋友45F 02/21 17:41

→ Winggy:...... 這個掃描結果基本上意義不大，連缺失都算不太上46F 02/21 19:58
→ Winggy:不知道貼出來的用意為何 ?

→ JokerCatz:單純的因為很多東西我不能貼就是了，所以只能貼這個||||48F 02/22 09:31
→ JokerCatz:至於算不算缺失...SSL被輕易地解掉對方用GET作登入的LOG
→ JokerCatz:所以只要看到該網域的網址就偷到帳密，這算不算缺失？
→ JokerCatz:對我公司算是就是了，而他們還有很嚴重的flow的問題....
→ JokerCatz:其他的就太詳細了Orz"...很抱歉

推 asdfghjklasd:喔喔出現了溫雞耶.....徒弟來了師父也來了53F 02/22 09:53

→ Winggy:這個要成為漏洞的前提是要介入雙方的通訊之中...54F 02/23 01:22
→ Winggy:如果被 MITM 了，那你該頭痛的事情比這個大很多
→ Winggy:整件事情說穿了，原本提醒完後就沒你的事情了
→ Winggy:對方要不要改善是他們的問題，但是你介入去 'POC' 以後
→ Winggy:依照我國的超讚無限上綱妨礙電腦使用罪你已經立於不勝了
→ Winggy:緩起訴已經是檢察官很開明很給你機會的最佳狀況
→ Winggy:如果下次你還要堅持問題沒修是對方的錯硬要其他人照你規矩
→ Winggy:做事，那被告真的只是剛好而已
→ Winggy:把別人的問題變成自己的刑事責任，這種要求還是第一次碰到
→ Winggy:勸你好好想想，不要枉費檢察官給你一次機會

→ JokerCatz:A...事情其實早結束了，我也只是單純的丟出話題討論罷了64F 02/23 11:08
→ JokerCatz:會不會再做不知道，不過至少不會讓自己變得那麼麻煩就是

推 este1a:私人的不行，公家的可以66F 02/23 17:08

推 luciferii:據之前某人經驗，臺灣檢察官喜歡表面說你很強，然後背67F 02/23 22:38
→ luciferii:後捅一刀。這次沒事是走運，還是建議去拜拜一下。

※ Last modified: 02/23/2013 22:39:03

--

※ 同主題文章:

　 02-20 10:52 JokerCatz. ■ Re: [討論] 維護者、道德與安全

　 02-20 11:41 erspicu. ■ Re: [討論] 維護者、道德與安全

　 02-20 13:18 erspicu. ■ Re: [討論] 維護者、道德與安全

　 02-20 14:53 JokerCatz. ■ Re: [討論] 維護者、道德與安全

　 02-20 17:49 yauhh. ■ Re: [討論] 維護者、道德與安全

　 02-20 23:22 tonytonyjan. ■ Re: [討論] 維護者、道德與安全

　 02-20 23:23 HYL. ■ Re: [討論] 維護者、道德與安全