mboost-dp1
Den er også svær Facebook... skal vi:
1. Give manden $1.000,- som tak for hjælpen og inkassere: Bifald
2. Give manden fingeren og inkassere: Dårlig omtale???
Jeg synes det er mærkeligt at disse firmaer bliver ved med at skide på folk som ønsker at hjælpe..
Der må sidde nogle marketings ansvarlige og vride sig for ikke at være blevet spurgt til råds... bedste reklame til prisen, også hvis de stak ham $100.000,-
1. Give manden $1.000,- som tak for hjælpen og inkassere: Bifald
2. Give manden fingeren og inkassere: Dårlig omtale???
Jeg synes det er mærkeligt at disse firmaer bliver ved med at skide på folk som ønsker at hjælpe..
Der må sidde nogle marketings ansvarlige og vride sig for ikke at være blevet spurgt til råds... bedste reklame til prisen, også hvis de stak ham $100.000,-
"In its latest reply, Facebook reinstated Khalil’s account and expressed hope that he will continue to work with Facebook to find more vulnerabilities."
- fra RT.com
http://newz.dk/forum/tagwall/security-researcher-h...
- fra RT.com
http://newz.dk/forum/tagwall/security-researcher-h...
Det mindre lidt om da Christer Hasse i 1997 fandt en fejl i netscape og fik tilbudt $1000 og en netscape tshirt
http://news.google.com/newspapers?nid=1310&dat...
http://news.google.com/newspapers?nid=1310&dat...
kalaha (7) skrev:Facebook skulle have lyttet fra start, men det er da klart nok at de ikke giver manden en belønning for at bryde reglerne.
Det ville sende et signal om, at enhver hacker bare skal bryde reglerne for at blive hørt og få en krukke guld.
Nu er det også sådan at han jo startede med at kontakte facebook man da de ikke gad at høre på ham så måtte han gøre noget andet.
I stedet for kun at give facebook skylden, så skulle man måske kigge lidt nærmere på hændelsesforløbet:
1) Khalil finder en fejl
2) Khalil misbruger fejlen til at poste en besked på en rigtig facebook profil (men ikke Mark Zuckerbergs væg). Bemærk at facebook har en "sandbox" så man kan teste sikkerhedsfejl uden at det går ud over facebook brugere, og så bryder man heller ikke deres ToS
3) Khalil sender en besked til facebook på meget dårligt engelsk hvor der står noget i stil med "i found exploit u pay me now" - han linker til den første profil hvor han har postet et youtube link, men gør IKKE opmærksom på: Hvad fejlen går ud på (facebook får bare et link til en profil), hvor fejlen opstår, eller hvordan man udnytter fejlen
4) Facebook forstår ikke hans besked (giver god mening, prøv selv at læse den og se om I forstår den) og skriver tilbage at han ikke har opfyldt deres betingelser for at få en belønning, da det han har givet dem ikke er en fejl men et link til en profil (og han ikke gør opmærksom på hvad der skulle være galt på profilen)
5) Khalil sender en mail á la den fra punkt 3 og punkt 4 gentages
6) Khalil bryder facebooks ToS igen ved at udnytte fejlen til at poste på Mark Zuckerbergs væg, hvilket facebook svare tilbage med ved at midlertidig disable hans profil og "???" (jeg gætter på at facebook finder frem til fejlen ved at kigge på Zuckerbergs væg, Khalils historik og logs), hvorefter de retter fejlen og genåbner Khalils profil
8) Khalil får ikke en belønning da han gentagende gange har overtrådt Facebooks ToS, ikke har gjort brug af deres sandbox (men eksperimenteret på den rigtige "live" udgave af Facebook), og ikke gjort facebook opmærksom på problemet (hans kommunikation er enormt kritisable og opfylder ikke engang tilnærmelsesvis nogen former for responsible disclosure).
Det er godt at Khalil interessere sig for IT sikkerhed, og det er godt at han vil hjælpe, men i dette tilfælde har jeg svært ved at ikke at kritisere hans måde at håndtere situationen på. Han skal ikke "teste" facebooks live side (de har jo ikke lavet sandkassen for sjov) og mis-kommunikationen mellem ham og facebook skyldes 100% ham (facebook kan meget, men dog ikke læse dine tanker, hvilket i dette tilfælde var nødvendig for at forstår Khalil).
1) Khalil finder en fejl
2) Khalil misbruger fejlen til at poste en besked på en rigtig facebook profil (men ikke Mark Zuckerbergs væg). Bemærk at facebook har en "sandbox" så man kan teste sikkerhedsfejl uden at det går ud over facebook brugere, og så bryder man heller ikke deres ToS
3) Khalil sender en besked til facebook på meget dårligt engelsk hvor der står noget i stil med "i found exploit u pay me now" - han linker til den første profil hvor han har postet et youtube link, men gør IKKE opmærksom på: Hvad fejlen går ud på (facebook får bare et link til en profil), hvor fejlen opstår, eller hvordan man udnytter fejlen
4) Facebook forstår ikke hans besked (giver god mening, prøv selv at læse den og se om I forstår den) og skriver tilbage at han ikke har opfyldt deres betingelser for at få en belønning, da det han har givet dem ikke er en fejl men et link til en profil (og han ikke gør opmærksom på hvad der skulle være galt på profilen)
5) Khalil sender en mail á la den fra punkt 3 og punkt 4 gentages
6) Khalil bryder facebooks ToS igen ved at udnytte fejlen til at poste på Mark Zuckerbergs væg, hvilket facebook svare tilbage med ved at midlertidig disable hans profil og "???" (jeg gætter på at facebook finder frem til fejlen ved at kigge på Zuckerbergs væg, Khalils historik og logs), hvorefter de retter fejlen og genåbner Khalils profil
8) Khalil får ikke en belønning da han gentagende gange har overtrådt Facebooks ToS, ikke har gjort brug af deres sandbox (men eksperimenteret på den rigtige "live" udgave af Facebook), og ikke gjort facebook opmærksom på problemet (hans kommunikation er enormt kritisable og opfylder ikke engang tilnærmelsesvis nogen former for responsible disclosure).
Det er godt at Khalil interessere sig for IT sikkerhed, og det er godt at han vil hjælpe, men i dette tilfælde har jeg svært ved at ikke at kritisere hans måde at håndtere situationen på. Han skal ikke "teste" facebooks live side (de har jo ikke lavet sandkassen for sjov) og mis-kommunikationen mellem ham og facebook skyldes 100% ham (facebook kan meget, men dog ikke læse dine tanker, hvilket i dette tilfælde var nødvendig for at forstår Khalil).
Nicolai1993 (10) skrev:5) Khalil sender en mail á la den fra punkt 3 og punkt 4 gentages
Jeg vil give dig ret i at den indledende mail er umulig at forstå. Jeg har dog ikke noget problem med at gætte mig frem til indholdet af mail 2.
"i would like to report a bug in your main site (www.facebook.com) which i discovered.
i'am reporting this bug for the second time.
repro:
the vulnerability allow's facebook users to share posts to non friends facebook users , i made a post to sarah.goodin timeline and i got success post
link - > https://www.facebook.com/10151857333098885
of course you may cant see the link because sarah's timeline friends posts shares only with her friends , you need to be a friend of her to see that post or you can use your own authority .
this is a picture shows that post :
https://fbcdn-sphotos-h-a.akamaihd.net/hphotos-ak-...
"
Hvordan kan han bryde Terms of Service, når manden har et officielt besked fra selve Facebook at de ikke opfatter det som et sikkerhedshul, hvorefter han bruger selv samme metode til at demonstrerer hvad Facebook selv, ikke opfatter som et sikkerhedshul..? O.o
Hallo? De kan da ikke være så dobbelt moralske!
Giv dog manden en dusør, det er jo bare endnu mere pinligt for Facebook at de behandler ham sådan.
Ikke nok med at de fik rettet et sikkerhedshul, de ville også kunne bruge selv samme sag til at gøre deres egen virksomhed bedre, fordi de benægtede hvad tydeligvis var et sikkerhedshul i starten.
Dette burde aldrig ske i en velfungerende virksomhed, så der er nok nogen der burde fyres et eller andet sted.
Jovist, manden fortjener en dusør, især når Facebook er dobbeltmoralske ved deres Terms of Service.
Hallo? De kan da ikke være så dobbelt moralske!
Giv dog manden en dusør, det er jo bare endnu mere pinligt for Facebook at de behandler ham sådan.
Ikke nok med at de fik rettet et sikkerhedshul, de ville også kunne bruge selv samme sag til at gøre deres egen virksomhed bedre, fordi de benægtede hvad tydeligvis var et sikkerhedshul i starten.
Dette burde aldrig ske i en velfungerende virksomhed, så der er nok nogen der burde fyres et eller andet sted.
Jovist, manden fortjener en dusør, især når Facebook er dobbeltmoralske ved deres Terms of Service.
#18
Tror næppe det var en misforståelse, mr. White Hat prøvede jo gang på gang at komme i kontakt med Facebook omkring problemet ik? Det var derfor han til sidst tog mere drastiske midler i brug.
En ting er hvad Facebook selv har skrevet i deres ToS.
Noget andet er så når de giver manden en besked han har på papir, hvor der så udtrykkeligt står sagt fra Facebook, at det var meningen, og at der ingen fejl var? Så er den da helt galt.
Det kunne da sagtens holde i retten imod Facebook på noget så tyndt som en ToS som Facebook selv har formuleret. Facebook har klokket i den.
Nu kender vi så ikke den direkte besked han fik, men generelt set, hvis Facebook siger noget der ligner af hvad artiklen giver udtryk for, så har de faktisk givet ham lov til at gøre det han gjorde.
Selvom han bryder en ToS, så har Facebook stadig klokket i spinaten og givet ham lov, alt hvad manden behøver at gøre, er at vifte med den besked han har fra Facebook, selvom jeg ikke tror han gider at gøre det, og det ville sikkert heller ikke sikre ham den dusør.
Dog burde de netop give ham den dusør, selvom han bryder en ToS, netop fordi den ToS som de i øverigt selv har lavet, bliver brudt af deres egne ord og tilladelser, ved at give manden en officiel udsagn fra Facebook på det modsatte.
Når mr. White Hat så har dette på papir, så kan han jo da med god samvittighed gøre, hvad Facebook selv har skrevet på papir, hvad han har lov til at gøre.
Jovist bryder han en ToS, men de er stadig dobbelt moralske og noget griske ved at bruge dette som argument efter alt dette.
ToS er ikke Lov som Stats Love er.
Det er forkert at sige at den skal overholdes uanset hvad, fordi det er netop Facebooks eget valg om de vil gøre brug af ToS eller ej.
Det er blot et dokument som kan styre deres kunder med hvis der er behov for det, altså opsige kunden eller tage dem med i retten for brud.
Men her har vi så et tilfælde hvor de har givet en kunde lov til noget, som bryder deres egen ToS.
Med andre ord, så taler de med 2 tunger.
Facebook laver 3 fejl alt i alt, i denne sag ALENE! I mean, wut?
Første fejl: De benægter i første omgang at der er en fejl på Facebook, og vil ikke rette fejlen, eller give manden en dusør.
Næste fejl: De har en dårlig virksomheds kultur og struktur hvis det kræver at man skal skrive på Zuckerbergs FB side for at få fat i nogle ansvarlige i toppen af Facebook, der faktisk Gider at gøre noget ved problemet.
Tredje fejl: De benægter at give manden en dusør, på trods af de 2 overnævnte problemer, som manden jo faktisk gør dem opmærksom på, hvilket kun ville gøre Facebook til en endnu bedre virksomhed.
Ikke nok med det, de har været dobbelt moralske og givet manden dokumation på at han fint og kvit kan gøre hvad deres ToS ellers udtaler at man ikke må, på en ToS Facebook selv har formuleret.
Jeg siger ikke at mr. White Hat direkte har krav på en dusør, men det er noget virkeligt gøjl Facebook har rodet sig ud i.
Det skader jo deres omdømme, og mængden af anti-Facebook folket stiger i øvrigt også hver dag, så det er nok ikke lige det smarteste at gøre.
Facebook sender jo faktisk signalet, "F.U.!" til deres kunder.
Det virker mere og mere til at være en grisk, egocentrisk og umoralsk virksomhed, jo længere tid der går, med alle de sager og udtalelser der kommer fra/omkring Facebook.
En ToS er ikke lov, det er kun et dokument som en virksomhed kan bruge i retten, til at påvise at kunden har skrevet under på en aftale.
Med andre ord, så kan Facebook frikende sig at give manden en dusør hvis dette er noget de normalt lover, lovligt.
Men er det moralsk korrekt? og er det overhovedet lovligt når Facebook selv har givet manden lov?
Tror næppe det var en misforståelse, mr. White Hat prøvede jo gang på gang at komme i kontakt med Facebook omkring problemet ik? Det var derfor han til sidst tog mere drastiske midler i brug.
En ting er hvad Facebook selv har skrevet i deres ToS.
Noget andet er så når de giver manden en besked han har på papir, hvor der så udtrykkeligt står sagt fra Facebook, at det var meningen, og at der ingen fejl var? Så er den da helt galt.
Det kunne da sagtens holde i retten imod Facebook på noget så tyndt som en ToS som Facebook selv har formuleret. Facebook har klokket i den.
Nu kender vi så ikke den direkte besked han fik, men generelt set, hvis Facebook siger noget der ligner af hvad artiklen giver udtryk for, så har de faktisk givet ham lov til at gøre det han gjorde.
Selvom han bryder en ToS, så har Facebook stadig klokket i spinaten og givet ham lov, alt hvad manden behøver at gøre, er at vifte med den besked han har fra Facebook, selvom jeg ikke tror han gider at gøre det, og det ville sikkert heller ikke sikre ham den dusør.
Dog burde de netop give ham den dusør, selvom han bryder en ToS, netop fordi den ToS som de i øverigt selv har lavet, bliver brudt af deres egne ord og tilladelser, ved at give manden en officiel udsagn fra Facebook på det modsatte.
Når mr. White Hat så har dette på papir, så kan han jo da med god samvittighed gøre, hvad Facebook selv har skrevet på papir, hvad han har lov til at gøre.
Jovist bryder han en ToS, men de er stadig dobbelt moralske og noget griske ved at bruge dette som argument efter alt dette.
ToS er ikke Lov som Stats Love er.
Det er forkert at sige at den skal overholdes uanset hvad, fordi det er netop Facebooks eget valg om de vil gøre brug af ToS eller ej.
Det er blot et dokument som kan styre deres kunder med hvis der er behov for det, altså opsige kunden eller tage dem med i retten for brud.
Men her har vi så et tilfælde hvor de har givet en kunde lov til noget, som bryder deres egen ToS.
Med andre ord, så taler de med 2 tunger.
Facebook laver 3 fejl alt i alt, i denne sag ALENE! I mean, wut?
Første fejl: De benægter i første omgang at der er en fejl på Facebook, og vil ikke rette fejlen, eller give manden en dusør.
Næste fejl: De har en dårlig virksomheds kultur og struktur hvis det kræver at man skal skrive på Zuckerbergs FB side for at få fat i nogle ansvarlige i toppen af Facebook, der faktisk Gider at gøre noget ved problemet.
Tredje fejl: De benægter at give manden en dusør, på trods af de 2 overnævnte problemer, som manden jo faktisk gør dem opmærksom på, hvilket kun ville gøre Facebook til en endnu bedre virksomhed.
Ikke nok med det, de har været dobbelt moralske og givet manden dokumation på at han fint og kvit kan gøre hvad deres ToS ellers udtaler at man ikke må, på en ToS Facebook selv har formuleret.
Jeg siger ikke at mr. White Hat direkte har krav på en dusør, men det er noget virkeligt gøjl Facebook har rodet sig ud i.
Det skader jo deres omdømme, og mængden af anti-Facebook folket stiger i øvrigt også hver dag, så det er nok ikke lige det smarteste at gøre.
Facebook sender jo faktisk signalet, "F.U.!" til deres kunder.
Det virker mere og mere til at være en grisk, egocentrisk og umoralsk virksomhed, jo længere tid der går, med alle de sager og udtalelser der kommer fra/omkring Facebook.
En ToS er ikke lov, det er kun et dokument som en virksomhed kan bruge i retten, til at påvise at kunden har skrevet under på en aftale.
Med andre ord, så kan Facebook frikende sig at give manden en dusør hvis dette er noget de normalt lover, lovligt.
Men er det moralsk korrekt? og er det overhovedet lovligt når Facebook selv har givet manden lov?
Sagt meget kortere end foroven og med helt andre ord.
En ToS er ikke lov, det er blot et papir der siger at man har indgået en aftale imellem Virksomhed og Kunde.
Et brud på en aftale (ToS), kan så bruges i retten, ved loven brud på aftale.
Men tager Virksomheden ikke dette i retten for at blive dømt, så er det ikke et brud på loven, men blot en strid imellem kunde og virksomhed.
Derfor er det ikke ulovligt at bryde en ToS.
Med andre ord, så er det først ulovligt, når det trækkes i retten for bryd på aftale.
Det kan i øvrigt kun betale sig at slæbe en kunde i retten, hvis omkostninger af det er lavere end det de kan vinde i indtægter på at vinde sådan en retssag.
Dermed, så er ToS blot et papir på en aftale.
Alt efter hvad Facebook har skrevet til mr. White Hat, hvis de har givet manden dokumation på at han kan bryde en ToS, ved at de ikke opfatter den beskrevet fejl, som en fejl, jamen så har manden et papir han kan bruge i en retssag.
Med andre ord, alt efter hvad Facebook har skrevet til ham, så burde det kunne ugyldiggøre en ToS fra Facebook.
En ToS er ikke lov, det er blot et papir der siger at man har indgået en aftale imellem Virksomhed og Kunde.
Et brud på en aftale (ToS), kan så bruges i retten, ved loven brud på aftale.
Men tager Virksomheden ikke dette i retten for at blive dømt, så er det ikke et brud på loven, men blot en strid imellem kunde og virksomhed.
Derfor er det ikke ulovligt at bryde en ToS.
Med andre ord, så er det først ulovligt, når det trækkes i retten for bryd på aftale.
Det kan i øvrigt kun betale sig at slæbe en kunde i retten, hvis omkostninger af det er lavere end det de kan vinde i indtægter på at vinde sådan en retssag.
Dermed, så er ToS blot et papir på en aftale.
Alt efter hvad Facebook har skrevet til mr. White Hat, hvis de har givet manden dokumation på at han kan bryde en ToS, ved at de ikke opfatter den beskrevet fejl, som en fejl, jamen så har manden et papir han kan bruge i en retssag.
Med andre ord, alt efter hvad Facebook har skrevet til ham, så burde det kunne ugyldiggøre en ToS fra Facebook.
Shrix (19) skrev:#18
Tror næppe det var en misforståelse, mr. White Hat prøvede jo gang på gang at komme i kontakt med Facebook omkring problemet ik? Det var derfor han til sidst tog mere drastiske midler i brug.
Sagen er bare at det ikke nytter noget at sige "jeg har fundet et sikkerhedshul som lader mig gøre x". De har brug for at vide hvordan det udnyttes dette sikkerhedshul, så de kan rette det. Det er det de betaler penge for. De betaler ikke penge for bare at blive informeret om at der er et hul.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund