HWL News Bot
News
Thread Starter
- Mitglied seit
- 06.03.2017
- Beiträge
- 114.030
... weiterlesen
Follow along with the video below to see how to install our site as a web app on your home screen.
Anmerkung: this_feature_currently_requires_accessing_site_using_safari
Da gibt es so ein Instrument das nennt sich Würfel. 😉Nach welchen Kriterien wählt der Skrobot eigentlich Bilder für solche Artikel aus?
In welche der beiden Kategorien fallen deutsche Sicherheitsbehörden?Zudem interessieren sich nicht nur die Hersteller für diese, sondern auch Kriminelle.
Er nutzt sie nicht aktiv aus oder verkauft sie an Institutionen, welche sie nutzen würden. Sondern er macht es öffentlich um dem Hersteller zu ermöglichen es zu fixen. Finde ich schon einen Unterschied. Vielleicht ist es ja auch Gesellschaftskritik, dass es für ihn finanziell interessanter ist die Lücken an Behörden zu verkaufen welche sie nutzen, als sie dem Hersteller zu melden. Der Marktpreis von Exploits wird durch alle Marktteilnehmer bestimmt und da sind nunmal auch Behörden dabei - warum sollte ich als Bewohner eines Landes moralisch korrekt handeln, wenn meine Regierung genau das Gegenteil macht?Wo ist da nun der Unterschied zu dem bösen Blackhat? Bisher waren es ja immer moralische Aspekte, diese fehlen hier aber völlig.
Wieso Bilder? Ist doch immer das selbe Bild? Da aber niemand anderes der Redakteure das Bild nutzt kann man die News zum Glück gut erkennen und erst gar nicht draufklicken.Nach welchen Kriterien wählt der Skrobot eigentlich Bilder für solche Artikel aus?
Der Logik nach müsstest du so einiges tun was für unsere Gesellschaft nicht gerade förderlich wäre. Warum sollst du richtig parken wenn da vorne bereits jemand falsch parkt?warum sollte ich als Bewohner eines Landes moralisch korrekt handeln, wenn meine Regierung genau das Gegenteil macht?
Der Marktpreis von Exploits wird durch alle Marktteilnehmer bestimmt und da sind nunmal auch Behörden dabei
Zukünftig? Wer sonst, außer der Entdecker, soll denn entscheiden ob/wo er es veröffentlicht?bestimmt also zukünftig der "Sicherheitsforscher" wie und ob er eine Schwachstelle meldet?
Wo ist da nun der Unterschied zu dem bösen Blackhat? Bisher waren es ja immer moralische Aspekte, diese fehlen hier aber völlig.
Bis zu 100.000$ und "Microsoft sieht die von Naceri entdeckte Sicherheitslücke weniger problematisch"Und 100000 Dollar sind nicht gerade wenig für eine einzige Lücke, noch dazu wo diese doch nicht remote nutzbar ist.
Da hast du allerdings vollkommen recht.Es geht auch anders, das wurde bereits bewiesen. Man kann Lücken öffentlich ansprechen ohne PoC und wichtige Informationen auslassen bzw. diese nur vertrauenswürdigen Dritten zur verifizierung überlassen.
Du kannst doch nicht ernsthaft den legalen Markt mit dem Schwarzmarkt in einen Topf schmeissen. Dazu passt ja RcTomcat's analogie sehr gut: Die Konkurenzfirma zahlt für Infos von deinem Arbeitgeber höchstwahrscheinlich auch mehr als dein Arbeitgeber >_>Das Verhalten dieses Typen ist natürlich unterste Schublade, aber dennoch muss man auch M$ kritisieren.
Wenn man schon ein Programm fährt, welches Findern von Lücken Geld bezahlt, dann muss man sich eben auch bzgl. der Höhe der gezahlten Beträge am Markt orientieren. Es kann mir keiner erzählen, dass bei M$ niemand eine Ahnung davon hat, was auf dem Schwarzmarkt für solche Lücken gezahlt wird.
Ich stelle an Sicherheitsbehörden, welche mit Geld und weiteren Kompetenzen ausstatt sind damit sie die Bewohner einer der reichsten Industrienationen schützen höhere Anforderungen, als den Falschparker die Straße runter.Der Logik nach müsstest du so einiges tun was für unsere Gesellschaft nicht gerade förderlich wäre. Warum sollst du richtig parken wenn da vorne bereits jemand falsch parkt?
Mit solch einer Einstellung brauchen wir keine Moral und Gesetze mehr, irgendwer wird sie immer brechen und damit den Freifahrtschein für alle anderen generieren.
Doch statt Dank für die Entdeckung eines für 700.000 Endkunden potenziell katastrophalen Datenlecks bekommt der Programmierer richtig Ärger mit den Behörden. Am 15. September steht ein Durchsuchungskommando des Kriminalkommissariats 22 der Polizei Aachen vor der Tür. Die Beamten gaben sich nach Schilderung des Programmierers als Paketboten aus, verschafften sich Zugang zur Wohnung und drückten ihn an die Wand. Die Polizei beschlagnahmte einen PC, fünf Laptops, ein Mobiltelefon und fünf externe Speichermedien – das gesamte Arbeitsgerät des Programmierers.
Natürlich stellt man andere Anforderungen an einen Staat als an seinen Nachbarn wenn es um den Schutz der Allgemeinheit geht, aus einer vermeintlichen Verfehlung jedoch einen Freifahrtschein abzuleiten halte ich für äußerst gefährlich und vermessen.Ich stelle an Sicherheitsbehörden, welche mit Geld und weiteren Kompetenzen ausstatt sind damit sie die Bewohner einer der reichsten Industrienationen schützen höhere Anforderungen, als den Falschparker die Straße runter.
Und in wie weit hat das mit diesem Fall zu tun? Der Herr hat doch unter seinem Klarnamen veröffentlicht! Das schützt ihn keinen Deut mehr vor einer Klage als via irgendeinem Bug Bounty Program die Lücke gemeldet zu haben....Das Gegenteil dürfte der Fall sein.Wenn meine Exekutive so deutlich gegen Responsible Disclosure vorgeht, warum sollte ich dann das persönliche Risiko eingehen? Es ist eine Situation, welche man kritisieren muss!