Взламывание/взламывание [закрытой] деонтологии
Используйте что-нибудь подобное
function KeyDown(ele, type) {
var $selector = null;
if (type == 'cssClass') {
$selector = $("." + ele);
else if (type == "id")
$selector = $("#" + ele);
}
$selctor.on("keydown", function(e) {
if (e.keyCode === 13) {
switch (ele)
case "classOne":
hideShow('classOne');
return false;
break;
case "iDOne":
navigateTo('somepage');
break;
case "classTwo":
$(".classTwo").trigger("click");
break;
case "classThree":
navigateTo('anotherpage');
break;
case "classFour":
$(".classFour").trigger("click");
break;
case "idTwo":
$("#idTwo").trigger("click");
break;
return false;
}
})
$(function(){
KeyDown('classOne', 'cssClass');
KeyDown('iDOne', 'id') ;
KeyDown('classTwo', 'cssClass');
KeyDown('classThree', 'cssClass');
KeyDown('classFour', 'cssClass');
KeyDown('idTwo', 'id') ;
})9 ответов
Разговор.Кому. A. Адвокат.
Это могло стать липким в зависимости от компании. Путем высказывания "у Вас есть xx дни для фиксации этого, прежде чем я объявлю об использовании", Вы в основном говорите, "делают то, что я ожидаю, или я вызову Вас много горя".
Другая проблема, как Вы обнаруживали это? Вы использовали сайт 'обычно', или Вы видели потенциал для дыры и решали видеть, работало ли это? Это очень важно для учета, особенно если Вы полагаете, что установка ограничения по времени устраняет проблему. Я не уверен, что говорят законы, где Вы живете, поэтому, говорите с кем-то, кто делает.
Вы могли бы закончить с их спасибо, некоторыми наличными деньгами для ввода в NDA (Вы действительно, в конце концов, просматривали администраторский интерфейс), и Вы могли бы получить некоторый кредит в промышленности безопасности. Но, будьте очень, очень осторожны и действительно попытайтесь обратиться за советом адвоката.
Я лично сообщил бы, что это компании, дающей им некоторый период разумного срока, исправляет его. Но также и предложите им опцию запроса расширения крайнего срока, если они чувствуют, что это займет больше времени. После того крайнего срока раскройте уязвимость.
Я мог бы рассмотреть создание отчетов о нем к правительственной организации по вопросам безопасности. Мое основное беспокойство было бы, должен ли я сообщить анонимно, учитывая, что Вы могли бы нарушать некоторый закон путем раскрытия уязвимости публично. Это зависит от Вашей страны.
Много зависит от человека, который ответственен за упомянутые уязвимости. Для покрытия его собственной задней стороны, он мог бы следовать за Вами в суде. Кроме того, если у каждого был доступ к панели администрации, возможно, также получил доступ к некоторой частной информации и коммерческим тайнам. Существует только слишком много переменных, чтобы быть уверенными. Как другие люди уже сказали, консультируйтесь со своим адвокатом. В некоторых странах существуют также адвокаты, которые специализируются на компьютерном преступлении и связанных проблемах, это было бы лучшим.
Год назад я был ответственен за несколько серверов Linux, которые постоянно разбивались атаками перебором SSH. Я раньше посылал электронные письма большинству администраторов любого IP, который имел имя как mail.some_company.com с тех пор тот главным образом предназначенный поставленная под угрозу система. Однажды проверка журналов я нашел IP от компании в моей локальной стране. С мало думал, что я позвонил им для сообщения о проблеме. Ответ их администратора был вроде "Что?! Кто Вы? Что Вы делаете к нашим серверам?!".
Я думаю, что Вы на правильном пути.
Общая тенденция в таких случаях состоит в том, чтобы зарегистрировать отчет об ошибках с упомянутой компанией и дать им некоторое время в зависимости от серьезности проблемы и временной оценки, требуемой для фиксации. После этого обычно существует полное раскрытие, если компания не спрашивает Вас иначе (для премии?).
Однако, если компания не возвращается к Вам во время / не, подтверждают, что Вы имеете право (я верю) опубликовать Ваши результаты для большей пользы.
Независимо от того, что Вы принимаете решение сделать, поддержите надлежащую запись своей связи с компанией. Это может помочь избежать непредвиденных обстоятельств.
Просто помещенный:
Проигнорируйте его.
Ваши действия (однако Вы нашли его), почти всегда недопустимый. Поэтому та компания может взять Вас суд и сделать Вашу жизнь скудной. Подобный материал произошел прежде. Большую часть времени адвокат не может помочь Вам.
Некоторые люди, которые не работают в промышленности безопасности, не могли бы согласиться со мной (иначе downvote), но там, сделанный это.
Наконец один путь к этому правильно, если Вы получили друга там или личный контакт просто, имеет неофициальный чат с ним (что-то, что Вы можете отклонить позже и не можете быть доказательством), затем, он может говорить, проверяют это и отчет как внутреннее открытие.
Для создания отчетов о материале в открытом исходном коде / коммерческое применение Вы могли бы найти это интересным и полезным: http://www.wiretrip.net/rfp/policy.html - ответственное раскрытие - Но это целое другая история, чем нахождение уязвимости в живом веб-сайте компании / инфраструктура.
Если это - коммерческий продукт и если Вы перепроектировали его, это все еще недопустимо во многих странах. Таким образом, даже в продукте необходимо быть осторожны относительно этого. Недавно компании как Google / MS начал обнародовать объявление о том, как сообщить о проблемах безопасности в их продуктах.
Вы могли рассмотреть создание отчетов об уязвимости к организации, такой как Secunia и просьба, чтобы они справились с раскрытием. Они сделали такого рода вещь прежде...
Если Ваша страна имеет правительственный регулирующий орган, такой как Федеральная торговая комиссия, сообщите об этом им и затем забудьте, что это существовало.
Если Вы сообщаете непосредственно компании, сначала необходимо найти, что человек сообщает. Затем необходимо ли иметь дело с вопросом, "как Вы знаете, это" (+1 на Говорят с Адвокатом). И затем, если Вы Вы угрожаете получить огласку, Вы могли бы найти местную полицию, стучащую в Вашу дверь с ордером, сопровождаемый фиксацией для вымогательства (+2 на Говорят с Адвокатом).
Если бы я был в Вашем месте, я определенно пошел бы с созданием отчетов о нем в компанию. Если проблема так серьезна, как Вы упомянули, то сообщаете об использовании самых быстрых доступных средств сообщения.
В случае, если Вы знаете о некотором решении, действительно позволяют им знать это также.
Можно записать обобщенный блог или статью о проблеме и решении. Это поможет другим проверить там собственную систему. Ничего не раскрывайте о компании или веб-сайте, поскольку можно закончить в проблемах затем.
Я сначала сообщил бы о дырах в системе безопасности компании. Если бы они не заботятся о них - я объявил бы об этом общественности.