FractalizeR
@FractalizeR
Программист: PHP, JS, MySQL, Postgres

Этично /легально ли выкладывать на Хабре описания непропатченных уязвимостей?

Ситуация такова: я нашел одну малоприятную особенность в одном популярном веб-продукте. Ее эксплуатация позволяет достаточно легко вызывать отказ в обслуживании при некоторых обстоятельствах.

Я сообщил о найденной проблеме разработчику и получил следующий ответ:

After developers' review, we believe this not to be applicable in most real use cases (and have seen none so far); however, we do believe security measures to prevent this could be improved, so we're keeping this open for future consideration.


И теперь я в замешательстве. Что делать? Выкладывать описание в паблик с тем, чтобы привлечь внимание к проблеме и вместе найти хотя бы временное решение? Несмотря на то, что это может вызвать множественные атаки скрипткидди на различные ресурсы? Или оставить все как есть и ждать, пока это сделает кто-то другой или пока почешется разработчик?
  • Вопрос задан
  • 2518 просмотров
Пригласить эксперта
Ответы на вопрос 3
sledopit
@sledopit
После того как сообщили разработчику и выждали достаточное время, чтобы они успели залатать пробоину, можно без каких-либо угрызений совести.
Если они за несколько дней не удосужились закрыть дыру, значит им это и не особо надо.
Ответ написан
difiso
@difiso
В параллельной вселенной я космонавт
При условии что ответ получен только вчера, подождите недельки две, потом спросите у разработчиков залатали или нет. Если нет, то предупредите, что через неделю опубликуете данные о дыре (эдакий пинок им отвесить). А если залатали, то молодцы и можно публиковать без зазрения совести.
Я думаю это наиболее рациональный вариант действия.
Ответ написан
Eternalko
@Eternalko
Этично при соблюдении условий описанных difiso
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы