顯示廣告
隱藏 ✕
※ 本文為 Jaies 轉寄自 ptt.cc 更新時間: 2013-04-09 00:41:13
看板 Soft_Job
作者 JokerCatz (JokerCatz)
標題 Re: [討論] 維護者、道德與安全
時間 Thu Feb 21 09:54:30 2013


hmm...我發現很多所謂的熱心人士,七嘴八舌的...
我不常上來PTT,不過這應該是PTT的特性

有人要我穿西裝打領帶,要我去談對方的安全性問題,有人說我不該那樣做怎樣的
那...換你們做一下如何?:)

我身邊還有很多他們的漏洞,可是這些漏洞可能不痛不癢很難打下來
所以我公開其中一個,就如同有人要我公開發表在其他網站一樣

https://www.ssllabs.com/ssltest/analyze.html?d=members.popo.tw

那...現在換所謂的能人如何?所有對這件事情事後諸葛的人去建議看看如何?

Your turn :)

--
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 114.35.31.145
LaPass:這是PTT的特性沒錯..... 當你講了某件事/某件觀念之後,通1F 02/21 09:58
LaPass:常會有不一樣的聲音冒出來,這時候,能接受就回應一下,不
LaPass:能接受就別管對方。一但兩邊都擺出「我是對的」的態度、姿
LaPass:態在討論的話,通常最後就會變成鬼打牆式的筆戰,直到被板
LaPass:主出面制止為止。
hSATAC:聽說是 rails 232...?搞不好 hash collision 跟6F 02/21 10:02
hSATAC:remote code execution 的洞都沒補呢...
JokerCatz:我很不愛無意義的筆戰,是真希望它好,所以誰去解決它?8F 02/21 10:03
JokerCatz:@hSATAC 你知道的太多了...不過還有Rails超大的隱憂
LaPass:對了,想請教這個漏洞的關鍵字,我不懂這一塊,想去搞懂。10F 02/21 10:04
JokerCatz:session cookie decode => 尋找plugin漏洞((加密無作用11F 02/21 10:05
LaPass:THX12F 02/21 10:06
JokerCatz:@LaPass上個版本的bug被拿去用,下個版本修好但尚未更新13F 02/21 10:06
JokerCatz:@LaPass網路太黑暗了,歷史包袱很多,且無解
codemonkey:原PO真可愛15F 02/21 10:22
Gitangan:原PO做了一些事想改變某站的態度,網民說了一些話想改變16F 02/21 11:31
Gitangan:原PO的態度的想法。有人說原PO不該管城邦的事,那你們管
Gitangan:原PO那麼多做什麼?
bleed1979:我覺得樓上想太多了,評論不代表要改變對方想法。19F 02/21 12:35
bleed1979:不過「棒打落水狗」這種事情在PTT倒是很常見。
andymai:不是想改變!真要改變的話~對我來說~最起碼要我很在乎他~會21F 02/21 12:59
andymai:提出意見也不過是認為有更好的做法罷了~就像寫程式一樣~不
andymai:是只有一種寫法!接不接受當然是看個人~討論區本來就是讓人
andymai:發表意見用的~不是嗎?至於要不要管~那原本就是自己的抉擇!
nobody1:事主都下來討論了  竟反問鄉民管太多 州官放火百姓點燈?25F 02/21 13:04
andymai:像現在就很流行把警告資訊po到FB上面流傳~而且對我來說~我26F 02/21 13:04
andymai:並不是他們的使用者~所以我只會分享到FB上提醒大家注意
andymai:而且像現在新聞都報出來了~還要繼續成為使用者~那不就是個
andymai:人自己選擇的嗎?就像美牛的問題~要不要吃是自己選的?不是
andymai:嗎?再者~自以為是的爛公司就是該淘汰~你這樣犧牲自己去救
andymai:還是沒救到那間公司和那些使用者啊...
andymai:就像我覺得HTC很爛!但我既不是他們的客戶~也不是股東~那我
andymai:到底憑什麼跑到人家面前要求人家改善???就讓市場去決定吧!
TonyQ:盲點在於真的有人去做也不需要跟你報備啊,等著看一個月內34F 02/21 13:32
TonyQ:有沒有人修吧。(笑
TonyQ:不要預設太多事情,慢慢等著看吧
TonyQ:不過是說公佈漏洞你上次挑的是簡單跟危險性高的xss,
TonyQ:這次這個看起來條件多了不少,不那麼公平啊(笑
TonyQ:還是來查查 remote execution 他們修了沒好了 :p
JokerCatz:挑那個跑分就知道,上面那個要打的啊XD我兩年不能犯案哩40F 02/21 13:50
yauhh:換我來就是在旁邊寄個信提醒提醒,有辦法就把demo寫成文件41F 02/21 14:42
yauhh:告知就好了. 因為我知道我個人的責任義務及權力就那麼大而已
pcyu16:如果在網路公開網站的漏洞 這會造成法律問題嗎?43F 02/21 14:49
luciferii:丟 Qualys Scan的垃圾結果出來..我確認你只是想吵架44F 02/21 15:30
xvid:你可以找防毒版的嗨嗨每個人交朋友45F 02/21 17:41
Winggy:...... 這個掃描結果基本上意義不大,連缺失都算不太上46F 02/21 19:58
Winggy:不知道貼出來的用意為何 ?
JokerCatz:單純的因為很多東西我不能貼就是了,所以只能貼這個||||48F 02/22 09:31
JokerCatz:至於算不算缺失...SSL被輕易地解掉對方用GET作登入的LOG
JokerCatz:所以只要看到該網域的網址就偷到帳密,這算不算缺失?
JokerCatz:對我公司算是就是了,而他們還有很嚴重的flow的問題....
JokerCatz:其他的就太詳細了Orz"...很抱歉
asdfghjklasd:喔喔出現了溫雞耶.....徒弟來了師父也來了53F 02/22 09:53
Winggy:這個要成為漏洞的前提是要介入雙方的通訊之中...54F 02/23 01:22
Winggy:如果被 MITM 了,那你該頭痛的事情比這個大很多
Winggy:整件事情說穿了,原本提醒完後就沒你的事情了
Winggy:對方要不要改善是他們的問題,但是你介入去 'POC' 以後
Winggy:依照我國的超讚無限上綱妨礙電腦使用罪你已經立於不勝了
Winggy:緩起訴已經是檢察官很開明很給你機會的最佳狀況
Winggy:如果下次你還要堅持問題沒修是對方的錯硬要其他人照你規矩
Winggy:做事,那被告真的只是剛好而已
Winggy:把別人的問題變成自己的刑事責任,這種要求還是第一次碰到
Winggy:勸你好好想想,不要枉費檢察官給你一次機會
JokerCatz:A...事情其實早結束了,我也只是單純的丟出話題討論罷了64F 02/23 11:08
JokerCatz:會不會再做不知道,不過至少不會讓自己變得那麼麻煩就是
este1a:私人的不行,公家的可以66F 02/23 17:08
luciferii:據之前某人經驗,臺灣檢察官喜歡表面說你很強,然後背67F 02/23 22:38
luciferii:後捅一刀。這次沒事是走運,還是建議去拜拜一下。

※ Last modified: 02/23/2013 22:39:03

--
※ 看板: Jaies 文章推薦值: 0 目前人氣: 0 累積人氣: 892 
分享網址: 複製 已複製
r)回覆 e)編輯 d)刪除 M)收藏 ^x)轉錄 同主題: =)首篇 [)上篇 ])下篇