tocherrygo 最近的时间轴更新
tocherrygo

tocherrygo

V2EX 第 457145 号会员,加入于 2019-12-03 17:09:23 +08:00
tocherrygo 最近回复了
@polaa 感谢网友提供法律依据,我会认真看看。谢谢。
@zgzhang 我只能说他的初心没问题,但是他未直接跟厂家沟通,直接提交漏洞让平台处理这个步骤有问题。平台一旦接受漏洞,就直接公布,再通知厂家,这明显是已知处理逻辑。他完全可以先预知后续发展。
@fate 请认真看题目,你做啄木鸟找虫子没关系,别把树啄死了。
@fate 垃圾产品不值一提,实则这件事被恶心到。
@im3x 我也是这么想的,实在他们不按规则走。直接发布,让平台通知我们。平台直接发布,我们修都没来得及修,全网知道了。
@ferock 谢谢解答,乌云我知道这个平台,以前很火。关闭的问题我不清楚具体情况,国内安全圈子好像有 GJ 支持,按理说做法合理,没人会找麻烦。我知道的是白帽有时就是黑帽,没办法,这东西实在不好说,我也是发出来大家讨论。
@ferock 那如果不存在利益关系,正常讨论漏洞修复,他们为何刺激漏洞提交而发布奖励?我要不关心客户利益,我们公司也得运营,也得花钱。不能说,我公司程序员写的 bug 被别人发现造成客户损失,反倒让公司程序员花钱赔吧?整个逻辑流程就是:系统做出来了,也给客户用了,被安全人员审计代码发现问题,提交漏洞平台,被其他人看见,利用漏洞造成客户损失,客户找我们赔偿。难道我们不应该找发布漏洞的人一个说法吗?我觉得安全平台发布漏洞存在问题,不应该把详细内容公布,另外还应该修复完再发布。
@yukiww233 做法实在不考虑厂家客户利益关系,通知完就公布,其实都效益不大。windows 平台漏洞都是伴随着更新才发布的,难道直接就公布了漏洞让别人挖吗
@ferock 讲道理,不应该是厂家修复后再公布吗?他通知厂家,修复完,他公布,这个其实没啥矛盾,而且更安全,为啥就直接公布呢?实在搞不懂。
@est 真的吗?我改天就找律师,好多同行都是被他们搞怕了,本来开源都加密文件了。
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5799 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 28ms · UTC 03:34 · PVG 11:34 · LAX 19:34 · JFK 22:34
Developed with CodeLauncher
♥ Do have faith in what you're doing.