Поиск уязвимостей - безопасно ли?

[Evgeniy Sklyarevskiy]

Цитата:

Сообщение от maniak

Ну а так самые желаемые цели у взломщиков - правительственные сайты, провайдеры и хостеры. Стоит выбрать по одному из каждой отрасли и исследовать на наличие уязвимостей, хотя в наличие я очень сомневаюсь, все здравомыслящие администраторы, тем более на крупных сайтах, обязательно исследуют свой сайт на наличие уязвимостей(ну хотя определенные случаи бывают и даже у нас).

Правительственные сайты абсолютно не интересны, в том числе и взломщикам - как в анекдоте про неуловимого Джо.
Кстати, то, что gov.uz лидирует в рейтинге www.uz говорит или о том, что в рейтинге нет "нормальных" сайтов или в самом Узнете нет простых человеческих популярных сайтов

[maniak]

Правительственные сайты представляют интерес тем, кто гонится за репутацией, все остальные - гонятся за наживой, например в случае с провайдером - это аккаунты клиентов, а у хостеров - это можно сказать доступ к множеству сайтов.

[Dengiz]

Соглашусь с maniak. Больше интересно ведь покопаться в "хостинге" или "провайдере" чем на каком-нибудь правительственном портале.

[Djalolatdin Rakhimov]

Цитата:

Сообщение от Cкляревский Е. С.

Правительственные сайты абсолютно не интересны, в том числе и взломщикам - как в анекдоте про неуловимого Джо.
Кстати, то, что gov.uz лидирует в рейтинге www.uz говорит или о том, что в рейтинге нет "нормальных" сайтов или в самом Узнете нет простых человеческих популярных сайтов

Это объясняется тем, что не все сайты толком (правильно) установили счетчики www.uz, который и является ключевым элементом подсчета.

[Evgeniy Sklyarevskiy]

Цитата:

Сообщение от Djalolatdin Rakhimov

Это объясняется тем, что не все сайты толком (правильно) установили счетчики www.uz, который и является ключевым элементом подсчета.

Неожиданное объяснение. Разве можно счетчик неправильно установить? Код добавили и все. Или есть какие-то тонкости? Может, просто не установили счетчик совсем - тогда согласен.
Нужен пиар - чтобы престижно было рейтинговаться на www.uz

[Djalolatdin Rakhimov]

Цитата:

Сообщение от Cкляревский Е. С.

Неожиданное объяснение. Разве можно счетчик неправильно установить? Код добавили и все. Или есть какие-то тонкости? Может, просто не установили счетчик совсем - тогда согласен.
Нужен пиар - чтобы престижно было рейтинговаться на www.uz

Доходит до парадокса. Иногда ставят только картинку счетчика и думают, что работа сделана . Хотя всем явно письмом отправлены четкие инструкции + объяснения по телефону

[Алексей Крахмалёв]

Цитата:

Сообщение от utkirbek

"Мирный поиск уязвимостей" возможен, но только с разрешения владельца ресурса и желательно с документом, подтвеждающим это. Ибо этот же владелец может в любом другом случае заявить в соответсвующие органы о несанкционированном доступе или попытке доступа.

Вот пример решения от любых попыток проверок на уязвимость:
На сайте публикуется "Лицензионное соглашение об использовании сайта", в котором:
- указывается, что лицензионное соглашение вступает в силу в момент начала использования сайта
- описывается назначение сайта
- указывается, что любые действия, направленные на использование сайта не по назначению считаются нарушением лицензионного соглашения
- указывается, что если пользователь не согласен с условиями лицензионного соглашения, то от обязан прекратить использование сайта.

Таким образом, любые попытки проверки сайта на уязвимость является явным нарушением лицензионного соглашения, что нарушает авторские права владельца сайта.

Интересно было бы узнать мнение юристов: такая схема защиты будет работать в Узбекистане?
Любой ли сайт может иметь лицензионное соглашение или только тот, который представляет из себя авторское ПО (интернет-приложение)?

[Daniyar Atadjanov]

Я считаю, что бороться со сканированием портов и другими попытками взлома нужно техническими средствами - с помощью систем обнаружения и предотвращения вторжений и т. д. То есть просто блокировать атакующих. А ссылка внизу страницы на какое-то лицензионное соглашение едва ли кого-то испугает.

Нормы, регулирующие данную область есть в уголовном и административном законодательстве РУз. Смотрите, например, ст. 155 КоАО (Нарушение правил пользования информацией) и ст. 174 УК (Нарушение правил информатизации). Но там идет речь не о попытках взлома, а именно о несанкционированном доступе, модификации информации и т. д., т. е. о взломе. Вряд ли можно отнести сюда сканирование портов. Разве что, если в результате сканирования какой-то сервис "упал" и владелец ресурса понес убытки в результате простоя или потратился на восстановление работоспособности сервиса, но и это ещё нужно доказать (доказать сам факт сканирования и то, что нарушение рабоспособности вызвано этим самым сканированием).

Цитата:

Сообщение от Алексей Крахмалёв

Таким образом, любые попытки проверки сайта на уязвимость является явным нарушением лицензионного соглашения, что нарушает авторские права владельца сайта.

А каким образом нарушение указанных вами пунктов "лицензионного соглашения" нарушает чье-то авторское право? И причем тут авторское право вообще?

[Evgeniy Sklyarevskiy]

Цитата:

Сообщение от Djalolatdin Rakhimov

Это объясняется тем, что не все сайты толком (правильно) установили счетчики www.uz, который и является ключевым элементом подсчета.

Рейтинг очень важный инструмент, который влияет на многие факторы - цену рекламы, престиж разработчиков, популярность и т.д - и вообще зеркало Узнета, многие на него ориентируются в разных делах... и ставить его в залог от кривого расположения счетчика - просто странно.
Понятное дело - сейчас как-бы отладочный этап - может пояснение дать, что рейтинг "тестовый", не отражающий реально действительность. Чтобы не смущать посетителей - а то доверие к рейтингу падает.

[Albert Sabirov]

Счетчики и рейтинги = это хорошо. Вот только где код то взять. Я уже год хе-хе поставить не могу, вроде и писал, давал заявку, но ответа и привета не получил. Че делать то пипел!!!