V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
learnshare
V2EX  ›  信息安全

这位朋友放弃了奖金,并公布了一个严重的问题

  •  
  •   learnshare · 2017-11-21 15:46:03 +08:00 · 13597 次点击
    这是一个创建于 2563 天前的主题,其中的信息可能已经有所发展或是发生改变。

    http://www.cnbeta.com/articles/soft/672415.htm (无责任贴链接)

    老话题,公司的代码不要发布到公开的地方,老代码也是公司的财产。公开发布的代码要清除敏感信息。

    还记得坚果 Pro 的数据泄露么?

    第 1 条附言  ·  2017-11-22 10:31:53 +08:00

    大疆回应用户数据隐私泄露纠纷:已聘请安全公司调查

    http://tech.sina.com.cn/n/k/2017-11-21/doc-ifynvxeh5576881.shtml

    96 条回复    2017-11-22 16:01:14 +08:00
    czheo
        1
    czheo  
       2017-11-21 16:56:59 +08:00   ❤️ 27
    看了下小哥的 PDF,基本事情是:
    1. 大疆举行有奖活动,让人找 bug。
    2. 小哥发现了 Github 上面有大疆的 aws 私钥。
    3. 小哥用私钥登陆了大疆 aws 服务器,发现里面存了很多个人信息,包括护照身份证驾照什么的。
    4. 小哥把这个发现写到了报告里面。
    5. 大疆工程师回邮件说小哥这是重大发现,可以拿到头奖 3 万刀。
    6. 小哥和大疆联系怎么领奖,但大疆要小哥签署的领奖协议里面有很多的条文小哥觉得写得不合理,联系多次希望修改。
    7. 期间,大疆法务部发来通知说,我发现你写的报告里面的行为属于非法入侵我们的服务器,如果不好好配合,我们保留采取法律措施的权利。
    8. 小哥觉得领个奖大疆怎么这么事儿妈,浪费他时间,虽然他本来想拿 3 万刀买个特斯拉 model x,但想想还是索性不领了。

    感想:真是不为五斗米折腰啊。
    Showfom
        2
    Showfom  
       2017-11-21 17:01:28 +08:00   ❤️ 1
    只能呵呵了
    codeeer
        3
    codeeer  
       2017-11-21 17:04:18 +08:00 via iPhone
    这吃相
    cuebyte
        4
    cuebyte  
       2017-11-21 17:04:41 +08:00
    數據庫裡存這些私人信息犯法麼?
    AltairT
        5
    AltairT  
       2017-11-21 17:06:20 +08:00 via iPhone   ❤️ 6
    又想把白帽子关进去,这下呵呵了😏
    swulling
        6
    swulling  
       2017-11-21 17:08:02 +08:00 via iPhone   ❤️ 2
    钓鱼起诉,谁来领奖就地摁倒
    f2f2f
        7
    f2f2f  
       2017-11-21 17:11:51 +08:00
    我怎么觉得两边吃相都很难看呢

    大疆是典型国内办事风气:能遮就遮 能掩则掩
    那位小哥则是当个 X 子顺带还想立个牌坊?
    swulling
        8
    swulling  
       2017-11-21 17:15:32 +08:00 via iPhone   ❤️ 32
    @f2f2f 求问小哥吃相哪里难看?不要钱总行了吧,吃什么了?
    Shura
        9
    Shura  
       2017-11-21 17:16:08 +08:00   ❤️ 6
    我想到世纪佳缘那个案例了,国内企业很善于直接让人消失,从根源解决问题啊。
    Shura
        10
    Shura  
       2017-11-21 17:17:04 +08:00   ❤️ 1
    @swulling 你知道葡萄酸不酸吗?
    swulling
        11
    swulling  
       2017-11-21 17:18:25 +08:00 via iPhone
    @Shura 没明白你说什么
    Shura
        12
    Shura  
       2017-11-21 17:21:44 +08:00   ❤️ 2
    @swulling 你没理解你楼上的吃不到葡萄说葡萄酸的心理吗?除此之外,我实在找不到他认为 Kevin Finisterre 吃香难看的理由了。别人为了名声,放弃奖励,这怎么就吃相难看了?
    songjiaxin2008
        13
    songjiaxin2008  
       2017-11-21 17:22:07 +08:00
    丢人丢到国外去了。。
    coderluan
        14
    coderluan  
       2017-11-21 17:23:13 +08:00 via Android   ❤️ 11
    @f2f2f 我建议你解释说明一下,这个言论不是”我觉得”就能支撑的,否则大家也就凭感觉骂你了。
    imnpc
        15
    imnpc  
       2017-11-21 17:24:48 +08:00   ❤️ 6
    双 11 的时候发现某云的计费 bug
    没敢上报 我记得以前有过前例 报漏洞被送进去
    md5
        16
    md5  
       2017-11-21 17:24:48 +08:00 via Android   ❤️ 16
    大疆损失名誉,白帽丢了奖金。
    算是双输吧。

    啊,与其相信乌云,不如听信谣言。
    rosu
        17
    rosu  
       2017-11-21 17:25:43 +08:00 via Android
    @Shura 那个是友军吧?😂
    terence4444
        18
    terence4444  
       2017-11-21 17:26:25 +08:00 via iPhone
    要在国内早就被抓起来了。
    DJI 吃相太难看,不过安全人员直接公开也有点不是太好,如果给一个限期:我不要钱不签协议,明确告诉 DJI 10 天后公开?
    Shura
        19
    Shura  
       2017-11-21 17:28:09 +08:00
    @rosu 我主要是说给他楼上听的,本来想 @ 一下的,但感觉这样会引战,就算了。感觉自己最近戾气有点重。。。
    580a388da131
        20
    580a388da131  
       2017-11-21 17:31:55 +08:00
    单纯讲法律白帽子貌似确实有风险?
    feng1234
        21
    feng1234  
       2017-11-21 17:37:46 +08:00   ❤️ 1
    乌云那帮人现在还被关着呢,都关押超过一年了,没任何消息
    Tunar
        22
    Tunar  
       2017-11-21 17:41:02 +08:00 via Android
    @Shura 世纪佳缘钓鱼技术好的一笔😂😂😂
    sammo
        23
    sammo  
       2017-11-21 17:41:54 +08:00 via iPhone   ❤️ 3
    白帽没有任何损失,大疆丢人又输球。哪里是双输?
    u5f20u98de
        24
    u5f20u98de  
       2017-11-21 17:42:46 +08:00   ❤️ 3
    @imnpc 单纯报个漏洞是没问题的,但是如果有下面的问题就容易进去
    1.大量的获取用户数据
    2.厂商没修复,就对外披露细节
    3.没有点到为止,继续深入了
    如果某云指的是阿里云是有官方的两个渠道报送的,一个是先知一个就是阿里的 SRC
    乌云那个进去的不是 sqlmap 没刹住碰到了用户数据,就是原本就是有恶意行为感觉可能暴露了就想去提交乌云洗白
    要是报告漏洞就抓进去……那我都提交了十几家 SRC 了也没人来查我水表
    yanzixuan
        25
    yanzixuan  
       2017-11-21 17:46:01 +08:00   ❤️ 2
    @md5 乌云还存在么?
    radiolover
        26
    radiolover  
       2017-11-21 17:46:49 +08:00
    @f2f2f 我们是中国人,有我们自己的风俗习惯和江湖规矩,别动不动就欧美那套迂腐的价值观和思维方式。
    l00t
        27
    l00t  
       2017-11-21 17:48:05 +08:00   ❤️ 1
    DJI 这法务有趣。人家不用这个私钥登录一下怎么知道这个能不能用,是不是真实的。人家一登录,那又是"非法入侵"…… 这还报个屁的漏洞啊。
    VYSE
        28
    VYSE  
       2017-11-21 17:50:33 +08:00
    几天前看了他半天 blog 没看懂...法务的太难理解
    misaka19000
        29
    misaka19000  
       2017-11-21 18:03:07 +08:00
    国内公司都这 b 样,已经习惯了
    hit410
        30
    hit410  
       2017-11-21 18:03:26 +08:00 via Android
    @radiolover 吸吸,这句话还真是熟悉。中国怎么样只有中国人知道,外国人不要指手画脚。
    SuperMild
        31
    SuperMild  
       2017-11-21 18:13:26 +08:00   ❤️ 2
    小哥真够小心的,签字前会找律师看。

    > I of course still needed to have a lawyer review the terms, even if they were DJI ’ s final offer. In the days following
    no less than 4 lawyers told me in various ways that the agreement was not only extremely risky, but was likely crafted in bad faith to silence anyone that signed it.
    SuperMild
        32
    SuperMild  
       2017-11-21 18:18:54 +08:00   ❤️ 2
    @sammo 那小哥也浪费了很多时间精力了,按正常时薪算也是一笔钱,另外还要花钱请律师看文件,最后还要坏了心情生气。
    mdzz
        33
    mdzz  
       2017-11-21 18:22:34 +08:00   ❤️ 2
    帖个旧文:《关于“白帽子”的法律和道理》 https://weibo.com/ttarticle/p/show?id=2309403990297423046605
    nodin
        34
    nodin  
       2017-11-21 18:24:15 +08:00 via Android
    这些企业可以出来卖,你们可以当恩客,但你们不能说出来。
    crab
        35
    crab  
       2017-11-21 18:39:32 +08:00
    @u5f20u98de 那要是碰了数据的,是不是永远不能主动提交了啊。T_T
    Kirscheis
        36
    Kirscheis  
       2017-11-21 18:45:40 +08:00
    dji 一个硬件公司强行互联网,漏洞多得一批我会乱说吗...... 然而乌云之后,还给国内公司报漏洞的,智力怕是<μ-3σ。这也还好人家是在国外,操作起来没那么方便,最多浪费点时间。
    中国有句古话,()才是坠吼的。作为个人,实在没必要去和大公司法务这种阴险的部门搅在一起。
    u5f20u98de
        37
    u5f20u98de  
       2017-11-21 18:48:44 +08:00
    @crab 不是故意的大量的数据也碰不到吧?比如发现 SQL 注入就跑个表名或者库名就打住,越权的漏洞弄个十几条意思意思,真到要判刑对与一般单位起码都是几百条的这个数量级。还有对与没有 SRC 的企业不要乱碰,有 SRC 的按着他们的规矩来,闷声发大财才是最好的。
    x86
        38
    x86  
       2017-11-21 19:20:38 +08:00
    3 万刀买个特斯拉 model x。。。
    mywaiting
        39
    mywaiting  
       2017-11-21 19:28:43 +08:00
    把全部把数据导下来黑市倒卖怎么也不止这点钱啊,闷声发财得了,又不是不知道国内这些企业的德性
    f2f2f
        40
    f2f2f  
       2017-11-21 19:54:50 +08:00
    @Shura 你理解的很好,那就按你理解来吧。反正给别人观点添油加醋这种事在 v2 也见多不怪
    f2f2f
        41
    f2f2f  
       2017-11-21 19:56:19 +08:00
    算了 不发表意见了。程序猿都惹不起,当我什么都没说
    jeffersonpig
        42
    jeffersonpig  
       2017-11-21 20:12:14 +08:00
    @x86 我的关注点也在这 3W 刀……
    qqmishi
        43
    qqmishi  
       2017-11-21 20:16:38 +08:00   ❤️ 3
    我一直觉得发现国内公司的漏洞就应该直接转手卖掉,然后再公布出来,有名有利没风险
    kamal
        44
    kamal  
       2017-11-21 20:20:25 +08:00   ❤️ 1
    @f2f2f 嘴真硬
    hoythan
        45
    hoythan  
       2017-11-21 20:28:58 +08:00 via Android
    三万刀怕是只能买车电池
    terence4444
        46
    terence4444  
       2017-11-21 20:31:21 +08:00 via iPhone
    @f2f2f DJI 发表公告了,并没有说漏洞发现人有什么问题,之前也看不出有什么问题,你的嘴的确是硬。
    f2f2f
        47
    f2f2f  
       2017-11-21 20:32:51 +08:00
    @kamal 个人意见 你要是觉得我的观点里有什么跟你观点相左的意思在里面,想要去批判的话请随意。要不要给你个小辫子继续抓?
    f2f2f
        48
    f2f2f  
       2017-11-21 20:35:01 +08:00
    @terence4444 我也没说人有问题啊,就事论事我觉得吃相不好看,然后你们被某层带个节奏就认为我是针对老外的人品了?
    terence4444
        49
    terence4444  
       2017-11-21 20:42:31 +08:00 via iPhone
    @f2f2f 没有一点理由就称“当 X 子立牌坊”,过后还怪别人理解不对,现在还是认为被带了节奏,错的永远是别人。
    f2f2f
        50
    f2f2f  
       2017-11-21 21:17:22 +08:00
    @terence4444 没有理由?那好,我问你,你能说老外不是因为大疆设立了奖金而把漏洞挖出来的么?如果大疆没设保密条件,那么这是一场完美的交易,大疆修了一个漏洞,老外拿走一笔钱。那么现在只是因为多出来的这个条件没法满足老外所谓“公开展示”的“目的”,然后反悔。这么一个 deal,要是觉得不能接受,那么可以,你可以选择把大疆告了,或者直接转手给黑产,也不会有大疆后面的这么一出。说重了不是立牌坊是什么。

    当然对整个事情,两边都有自己的小九九,大疆想自己玩自己的,老外也开了自己的条件。现在因为两边互不满足而开撕。这吃相好看?
    f2f2f
        51
    f2f2f  
       2017-11-21 21:25:07 +08:00
    @terence4444

    via ithome.com/html/it/335403.htm
    这位黑客在发现密钥后,并没有像其他白帽子一样仅仅提交漏洞报告,而是利用该密钥下载了部分数据。在大疆创新与其沟通后,他拒绝签订旨在保护用户隐私的保密协议,并就大疆拒绝其要求而对大疆进行信息安全威胁

    这算是迟到的理由么?
    terence4444
        52
    terence4444  
       2017-11-21 21:27:59 +08:00
    @f2f2f 说实话我震惊了,你居然认为“想出名”比“转手黑产”要恶劣。

    真实原因还一定完全是“想出名”,他给了四个律师看都叫他不要签,肯定不是“出名”的原因。
    f2f2f
        53
    f2f2f  
       2017-11-21 21:33:23 +08:00
    @terence4444 说实话我也震惊了,“转手黑产”和“告了大疆”是并列,那你为何不把你的话换成:“想出名”比“告了大疆”要恶劣?

    另外你们眼中的“白帽”是雇佣的,可能人家公司法务也不傻,对吧?干事总归要滴水不漏才不能被对方抓住把柄?
    terence4444
        54
    terence4444  
       2017-11-21 21:43:46 +08:00
    @f2f2f 别震惊了,问问你自己为什么把它们并列写在一起,现在又来反问转移焦点。还好帖子不能编辑,你的“转移给黑产说”就如同你的想法已经在你的几个回复之中表露无疑,无论怎么修饰都没有用的。

    公司法务要保护自己的利益是不傻,但是你我都不傻,面对完全不顾别人的利益搬不平等条约,别人为什么要鸟你?

    发现密钥以后,需要试一下才知道是不是有效。下载了部分数据到底是多少条?是试验目的还是拖库,DJI 也没有说明。也给别人戴上了“黑客”的帽子。

    我觉得再和你无休止地搞下去也不会有结果,还是 block 了吧。
    上面那段文字也不是写给你看的,而是写给其他看客看的,我也不希望我们的对话变得冗长又无聊,毁掉别人对这个帖子的兴趣。
    我也建议其他准备回复你的人,注意不要陷入个人骂战,或者是被带到“转手黑产”和“告了大疆”之类的沟里去,还是需要以这件事情为核心讨论。
    hxndg
        55
    hxndg  
       2017-11-21 23:00:37 +08:00 via Android
    @terence4444

    @f2f2f

    这个事情两方都纠缠不清,很多人习惯性的支持“弱势”,也可能确实外国小哥有问题,但也可能不是,所以上来就说 x 子立牌坊是明显过分了。

    言语是有温度的
    czheo
        56
    czheo  
       2017-11-21 23:22:34 +08:00
    @x86 写错了,是 model 3
    qinxi
        57
    qinxi  
       2017-11-21 23:35:09 +08:00
    @f2f2f 我觉得值一块
    istark
        58
    istark  
       2017-11-21 23:37:52 +08:00
    像乌云这种应该去国外发展,国内你跟他讲道理,他跟你讲法律,你跟他讲法律,他跟你讲权力,到头来白忙一场,国内吃相这么难看,有 bug,要么捞,要么走,绝不要说出来。
    f2f2f
        59
    f2f2f  
       2017-11-21 23:53:36 +08:00
    @hxndg 我承认措辞不当,给一些人带来了困扰。但我没有想到我的“相左”观点会因为不恰当得比喻而被一群站“右”的给批判一通。尤其是某层添油加醋说了一句我这是吃不到葡萄说葡萄酸。

    这件事,你们觉得小哥没问题,ok。我也就是表达我的观点。虽然立牌坊这短语不好听,但是在我观点来看是符合我对小哥这次行为的描述的。尤其是后面爆出他是竞争公司雇佣的(虽然只是大疆单方面说辞)

    抛开后面大疆的声明,就对事情前半段讨论下:

    首先,整个事件无非就是一个商业公司私底下搞了一个活动给出了个 deal,然后因为和小哥对这个 deal 没谈拢,公司就钻了活动“最终解释权”的空子拒绝小哥,然后小哥很不爽就把事情捅出去去了。

    大疆有问题吗?有,我观点里表达的很清楚。

    那小哥有问题吗?我觉得也有啊:首先,漏洞关乎商业机密以及隐私安全,大疆提出的签一份保密协议,我觉得本身没什么问题,做安全的,这点良心总该得有吧?其次,既然小哥觉得这份协议内容限制了他展示自己技术实力的自由,大疆私自修改游戏规则,是违约行为,那也没问题,直接法庭上见咯。至少大疆和小哥契约关系总是存在的吧?这又不是小哥义务给大疆找漏洞。再者,真要秀技术,不在乎这点钱的,早就给你漏洞扒出来细节发网上了,还要等到你大疆宣布搞个漏洞悬赏活动的那一天?

    联想到之前 Google Security Team 好几次都在 Microsoft 修补之前就把人家的漏洞细节发出来了,那才叫牛。你说这 Google 向 Microsoft 要过钱没要到呢,还是 Microsoft 搞了类似活动让 Google 参加结果不给人家钱了?貌似都不是吧?

    这就是让我觉得小哥立牌坊的原因。当然,可能是说太重了。小哥只是单纯地要了份技术自由没要到而已。

    前面有几位非得让我给出理由,现在我给了,你要继续说我嘴硬也好狡辩也罢我也懒得理了,因为关于这个讨论没必要深究下去,大家把理说死就太没意思了。
    Quaintjade
        60
    Quaintjade  
       2017-11-21 23:55:18 +08:00   ❤️ 1
    @f2f2f
    所以在你眼中这就是个大疆出钱买漏洞私了的交易?那么大疆打着“悬赏除虫”的名号才是当 X 子立牌坊,应该叫做“公关封口费”才对。

    同时,看了大疆的声明再看看小哥的叙述,看看他(以及 4 个律师)为什么拒签大疆号称的“旨在保护用户隐私的保密协议”。
    https://regmedia.co.uk/2017/11/16/whyiwalkedfrom3k.pdf
    Zarky
        61
    Zarky  
       2017-11-21 23:59:55 +08:00 via iPhone
    Model X 只要三万刀哦
    just1
        62
    just1  
       2017-11-22 00:23:44 +08:00 via Android
    这跟封口费性质一样?
    悬赏是众测,应该遵守厂商要求,不将漏洞内容披露。

    你未授权下载了用户数据,这就是违法的,如果你签订了协议,可以认为你是授权审查,你不签订并将其漏洞内容公开,呵呵,法务部门不找你才怪。
    Quaintjade
        63
    Quaintjade  
       2017-11-22 00:32:13 +08:00
    @just1
    问题是大疆在发起悬赏的时候并没有注明具体要求,等到别人提供了报告之后才拿出协议要求别人签订,而且还是胡萝卜加大棒,和封口费性质没多大区别。
    mazyi
        64
    mazyi  
       2017-11-22 00:34:12 +08:00 via iPhone
    讲道理,闷声发大财大家可是学了快 20 年了呀,国外可是灯塔啊,没那么快,川普上台之后才开始好好学啊。
    SuperMild
        65
    SuperMild  
       2017-11-22 01:07:50 +08:00
    @f2f2f 你说的是 “当个 X 子顺带还想立个牌坊”,现在你只解释了“立牌坊”,然而“当个 X 子”才是骂人的话,才是需要说明的地方。

    另外,只要不当 X 子,立牌坊或者想立牌坊都不应该被鄙视。
    SoraneKazehana
        66
    SoraneKazehana  
       2017-11-22 01:16:53 +08:00
    国内公司不都这个尿性吗?上次乌云,这次大疆,大疆还是自己花钱给自己查 BUG 吧
    搞什么大赛,反正查出来了送你吃牢饭,奖金都不用给了
    markx
        67
    markx  
       2017-11-22 02:59:06 +08:00
    @qqmishi 卖了漏洞,受害的是普通用户啊
    tyrealgray
        68
    tyrealgray  
       2017-11-22 03:18:51 +08:00   ❤️ 2
    看到楼上有人选择相信大疆,然后黑这位国际友人的。我觉得真的是活在梦里。

    国内发生这种事情多少次了。

    大疆如果二话不说给钱修复 bug,屁事没有,还会有后面这出?
    xsd3169
        69
    xsd3169  
       2017-11-22 07:57:27 +08:00
    @tyrealgray +1.
    和世纪佳缘性质差不多。
    Rice
        70
    Rice  
       2017-11-22 08:24:55 +08:00
    @f2f2f #7 不要钱哪来的吃相
    mydns
        71
    mydns  
       2017-11-22 08:28:43 +08:00
    解决了找到问题的人
    northisland
        72
    northisland  
       2017-11-22 08:38:43 +08:00 via iPhone
    northisland
        73
    northisland  
       2017-11-22 08:39:13 +08:00 via iPhone
    辣鸡大疆
    standin000
        74
    standin000  
       2017-11-22 09:10:33 +08:00
    真的是丢人丢到国外了
    reechang
        75
    reechang  
       2017-11-22 09:13:07 +08:00 via Android
    大疆还说通过未公开的私钥.....
    你 tmd 上传在 github 上给全世界程序员看还未公开....
    真不知道把私钥上传到 github 的人是怎么想的
    sadaharu09
        76
    sadaharu09  
       2017-11-22 09:15:07 +08:00 via iPhone
    私钥上传 Github 是咋回事?
    hzwjz
        77
    hzwjz  
       2017-11-22 09:21:57 +08:00 via Android
    hacker news 上面源 PDF 来着
    cllvking
        78
    cllvking  
       2017-11-22 09:30:33 +08:00
    钓鱼执法?
    kulove
        79
    kulove  
       2017-11-22 09:35:49 +08:00
    想想如果是国人提交这个漏洞...
    gleymonkey
        80
    gleymonkey  
       2017-11-22 09:43:07 +08:00
    然后大疆发现丢数据了,这哥们成头号嫌疑人了。
    qqmishi
        81
    qqmishi  
       2017-11-22 10:07:01 +08:00
    @markx #55 国内公司眼里有用户?都是待宰的羔羊
    SoraneKazehana
        82
    SoraneKazehana  
       2017-11-22 10:19:17 +08:00
    @SoraneKazehana #66 纠正一下,上次世纪佳缘,这次大疆,半夜回复脑子不太清醒
    UnknownR
        83
    UnknownR  
       2017-11-22 10:20:05 +08:00
    小哥的后面做法让自己险入了被动,被人抓话柄,不然就是稳赢的局面
    kmahyyg
        84
    kmahyyg  
       2017-11-22 10:48:02 +08:00 via Android   ❤️ 1
    看了楼上所有,我觉得小哥有理,万一 dji 传了个废弃的 key 到 github 上,这个漏洞还存在?肯定不存在了,那后面就没有意义了。

    存在,那就检查 key 的 access,然而居然是 full access ………我只能说国内企业吃相太难看
    ziwu
        85
    ziwu  
       2017-11-22 10:54:54 +08:00
    领奖条件要签署某协议,是一开始忘了说还是故意没说;一签署领奖附加协议,就得公布自己的真实地址姓名,幸好是国外,国内的那不得局子里了,怕是奖金没拿到,人跑不了了
    Hozzz
        86
    Hozzz  
       2017-11-22 11:43:47 +08:00
    让我想起了世纪佳缘的那位神童...真是世风日下。
    o0
        87
    o0  
       2017-11-22 12:24:38 +08:00 via iPhone
    脱裤或者转卖吧,他们就是闲的
    imn1
        88
    imn1  
       2017-11-22 12:25:59 +08:00   ❤️ 1
    这件事,包括本帖的争执,都是东西方思维(价值观)不同
    根源就在于,把别人的问题公布出来对不对
    东方思维是揭别人家丑是不道德的,西方则视乎这个“丑”是否仅仅是私事,例如“莱温斯基的裙子”

    楼上某位和 DIJ 的思维都是“公告是不对”的
    如果没有这样的前提,那么无论他是否同意获得奖励,都不存在吃相难看的问题
    得不到利益就披露,认为这是因果关系且属于不当行为,其实仅适用于隐私方面
    如果不管如何都一定会披露,顺带获得利益(合法的),这个利益,并不是披露与否的条件,有问题么?

    想起当年,新西兰在通过外交途径通知了奶粉问题后,然后自己公告了
    而另一方,却是希望仅仅是知照,自行解决,被公告了感到很不爽……
    loading
        89
    loading  
       2017-11-22 12:43:08 +08:00 via Android
    我觉得,已经脱裤,卖了过了。
    mikulch
        90
    mikulch  
       2017-11-22 13:57:40 +08:00
    @radiolover 是啊 哪天把你家抄了你也会跪着感谢他们的。毕竟习惯当奴才了。
    jadec0der
        91
    jadec0der  
       2017-11-22 13:58:33 +08:00
    呵呵,大疆这种硬件公司,封闭保守一点也可以理解,你就当他是个深圳电子厂好了。国际大厂?不存在的
    ProfFan
        92
    ProfFan  
       2017-11-22 14:19:46 +08:00
    给大家理一下吧。

    作者是大疆破解圈的牛人,这个圈子揭过大疆不少丑,包括使用 GPL 代码不开源,乱传用户数据等等。这次这个事件 9 月底圈子里就都知道了,而且估计库也已经被扒了。大疆现在这个态度估计是想掩盖下去,怕事情广泛传播。

    总之个人对大疆的感觉和楼上同学一样,深圳某电子厂。
    newbieo0O
        93
    newbieo0O  
       2017-11-22 14:24:44 +08:00
    @hoythan 可以的,你的国外的售价就知道了,折合 20W 人民币左右。
    hoythan
        94
    hoythan  
       2017-11-22 14:41:09 +08:00
    @newbieo0O models 最低价也要 68000 刀
    xvx
        95
    xvx  
       2017-11-22 15:56:11 +08:00
    这波操作,大疆牛逼,壮我国威。。。2333

    以后发现国内的公司产品有啥漏洞,千万不要作死披露啊!
    starvedcat
        96
    starvedcat  
       2017-11-22 16:01:14 +08:00
    哈哈哈强国公司支性难改,要什么体面,不存在的。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4753 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 36ms · UTC 10:05 · PVG 18:05 · LAX 02:05 · JFK 05:05
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.