mboost-dp1
unknown
Kay Luo, talskvinde for LinkedIn, udtaler, at de aldrig taler med sikkerhedseksperter, der er ude på at tjene penge på huller.
Hvad skulle sikkerhedseksperter ellers tjene penge på? Hvis der ikke fandtes sikkerhedshuller ville der jo ikke findes sikkerhedseksperter..
Det er okay at tjene penge. Men umiddelbart synes jeg det lyder som afpresning: betal eller hullet bliver offentligtgjort. Det er ikke okay
Alternativt kunne de jo bare have offentligjort skidtet med det samme (altså uden at lige give en heads up til formaet først). Og de prøvede jo at sælge "informationen, inklusiv konsulenthjælp", så synes sq ikke man kan kalde det afpresning.
Vel i orden at nogle der har brugt tid på at finde et hul får lidt for deres opdagelse...
Vel i orden at nogle der har brugt tid på at finde et hul får lidt for deres opdagelse...
Det da bestemt ikke afpresning. Og naar man saa laeser reaktionen saa syntes jeg kun det ganske fair man offentliggoerer det da firmaet selv er ret ligeglad.
Personligt synes jeg det lugter langt væk af afpresning at kræve penge for at få informationer om sikkerhedshullet, i dette tilfælde er det så "konsulentydelser" han ville skrive på regningen, men det er jo stadig afpresning .. "Hvis i ikke betaler, så frigiver jeg exploit info"
Den mere korrekte måde at gøre det på, ville være at sende informationerne til firmaet, og så samtidig tilbyde konsulentydelser - hvis de måtte ønske det.
Den mere korrekte måde at gøre det på, ville være at sende informationerne til firmaet, og så samtidig tilbyde konsulentydelser - hvis de måtte ønske det.
Synes egentligt det er iorden dette her. Men diverse software firmaer burde lave en pengepulje til sådanne folk og deres fundne exploits. Det er jo software firmaernes interesse og levebrød at deres produkt er iorden. Samtidig kan "sikkerhedseksperter" på forhånd se hvad de kan tjene ved at ret fejl hos de enkelte firmaer.
#6 Jeg synes mere at de virker som måske lidt for smarte sælgere.
#6 Jeg synes mere at de virker som måske lidt for smarte sælgere.
Hvis de bare havde tilbudt oplysninger op problemet ser jeg ikke noget problem i at kræve en passende kompensation for oplysningerne. Når de samtidig forsøger at sælge konsulent ydelser som en samlet pakke virker det som et forsøg på at presse prisen til det urimelige.
Der burde være en standard pris for sådanne oplysninger, baseret på programmets udbredelse og pris. Så længe der ikke er nogen standard vil der altid være uenighed om der er afpræsning eller fair kompensation for et stykke arbejde.
Der burde være en standard pris for sådanne oplysninger, baseret på programmets udbredelse og pris. Så længe der ikke er nogen standard vil der altid være uenighed om der er afpræsning eller fair kompensation for et stykke arbejde.
På den ene side kan jeg godt se at det ville være klædeligt for softwareudviklere at give penge til folk der bruger meget tid på at finde de fejl. Men dette tilfælde lugter rigtigt nok af afpresning. Men jeg kan sagtens se at hvis de ikke bliver behandlet ordenligt af firmaet så ville jeg da også få lyst til at publicere det.
Altså hvis de alligevel ikke er interesserede i at høre på dem der har fundet fejlen så kan de vel heller ikke have noget imod at de offentliggøre det.
Altså hvis de alligevel ikke er interesserede i at høre på dem der har fundet fejlen så kan de vel heller ikke have noget imod at de offentliggøre det.
Der er sådan lidt noget "Jeg har nogen nøgenbilleder af din kone, og får jeg ikke nogen penge så offentliggør jeg dem" over det..
Eller måske bedre endnu "Jeg har noget information som kan skade jeres firma, hvis i ikke giver mig nogle penge så offentliggør jeg informationerne"..
Afpresning er det da ihvertfald..
XxX
Eller måske bedre endnu "Jeg har noget information som kan skade jeres firma, hvis i ikke giver mig nogle penge så offentliggør jeg informationerne"..
Afpresning er det da ihvertfald..
XxX
Afpresning eller ej, så er det lidt dumt af firmaet blot at smække røret på, når nogen ringer og fortæller dem at de har fundet et sikkerheds-hul i deres software.
De kunne som minimum have hørt noget om hvor kritisk det var, samt evt. forsøge blot at købe informationerne, uden konsulentbistand - eller ihvertfald noget.
Bare at smække røret på, løser ingenting, og jeg mener derfor at de selv er ude om at stå i denne situation.
De kunne som minimum have hørt noget om hvor kritisk det var, samt evt. forsøge blot at købe informationerne, uden konsulentbistand - eller ihvertfald noget.
Bare at smække røret på, løser ingenting, og jeg mener derfor at de selv er ude om at stå i denne situation.
#14
De har uden tvivl været helt klar over at det betød at informationerne blev frigivet til offentligheden, men har valgt at gøre det for at undgå at støtte denne form for afpresning - og det kan jeg kun bifalde.
Ville du have lyst til at give sådan en person adgang til din sourcekode ? Jeg ville ikke, han kan jo lige så godt finde 10 fejl mere, som han så kan bruge til at presse endnu flere penge ud af dig.
De har uden tvivl været helt klar over at det betød at informationerne blev frigivet til offentligheden, men har valgt at gøre det for at undgå at støtte denne form for afpresning - og det kan jeg kun bifalde.
Ville du have lyst til at give sådan en person adgang til din sourcekode ? Jeg ville ikke, han kan jo lige så godt finde 10 fejl mere, som han så kan bruge til at presse endnu flere penge ud af dig.
#18 du mener det store altruistiske linked-in netværk som slet slet ikke er ude på at tjene penge, men kun eksisterer for at gamle klassekammerater kan finde hinanden? jo, jeg ville med fornøjelse gøre den slags gratis, hvorefter jeg betaler for forskellige services på deres website :p
udover det er linked-in big business - en kommerciel forretning, og skal jeg tilbyde et eller andet til en sådan, så koster det ved kasse 1. At folk synes at bugfixes o.l. burde være gratis er lidt tough luck - så må man drive et site der ikke selv forsøger at tjene hver eneste gang man slår en skid.
udover det er linked-in big business - en kommerciel forretning, og skal jeg tilbyde et eller andet til en sådan, så koster det ved kasse 1. At folk synes at bugfixes o.l. burde være gratis er lidt tough luck - så må man drive et site der ikke selv forsøger at tjene hver eneste gang man slår en skid.
Halløj,
Til alle dem, der mener, at det er afpresning:
Det er vel kun afpresning, hvis de ringer og siger, at hvis de ikke betaler til dem, så frigiver de denne sikkerhedsfejl offentligt.
Så vidt jeg kan se i denne nyhed, har de ringet til LinkedIn for at fortælle dem om fejlen og tilbyde hjælp til at rette fejlen mod en sum penge. Men de har ikke sagt, at hvis de ikke betaler, at så udgiver de materialet.
Så iflg. min mening er der stor forskel.
Og sikkerhedseksperter skal jo leve af det her. Så må virksomhederne jo vælge om de vil bruge dem eller ej. LinkedIn valgte at de ikke ville, hvilket betød, at så frigav sikkerhedseksperterne blot informationer om fejlen. Det kan man vel se som en slags markedsføring i sig selv, da de får en del omtale rundt omkring pga. det.
Hvorfor skulle folk ikke hædres for deres arbejde?
Til alle dem, der mener, at det er afpresning:
Det er vel kun afpresning, hvis de ringer og siger, at hvis de ikke betaler til dem, så frigiver de denne sikkerhedsfejl offentligt.
Så vidt jeg kan se i denne nyhed, har de ringet til LinkedIn for at fortælle dem om fejlen og tilbyde hjælp til at rette fejlen mod en sum penge. Men de har ikke sagt, at hvis de ikke betaler, at så udgiver de materialet.
Så iflg. min mening er der stor forskel.
Og sikkerhedseksperter skal jo leve af det her. Så må virksomhederne jo vælge om de vil bruge dem eller ej. LinkedIn valgte at de ikke ville, hvilket betød, at så frigav sikkerhedseksperterne blot informationer om fejlen. Det kan man vel se som en slags markedsføring i sig selv, da de får en del omtale rundt omkring pga. det.
Hvorfor skulle folk ikke hædres for deres arbejde?
#12
Hvorfor det?
Ringede de og sagde "Betal os for de her informationer, ellers frigiver vi dem på internettet"? Det kan jeg ikke læse ud af nyheden.
De har ringet til dem og tilbudt informationer omkring en sikkerhedsfejl, som de har fundet i systemet. De forlanger en sum penge for deres arbejde. Men hvor står der, at de i telefonen sagde, at hvis ikke der blev betalt, så blev det frigivet på internettet?
Netop derfor kan du slet ikke sammenligne det med "Jeg har nogen nøgenbilleder af din kone, og får jeg ikke nogen penge så offentliggør jeg dem" ;-)
Hvorfor det?
Ringede de og sagde "Betal os for de her informationer, ellers frigiver vi dem på internettet"? Det kan jeg ikke læse ud af nyheden.
De har ringet til dem og tilbudt informationer omkring en sikkerhedsfejl, som de har fundet i systemet. De forlanger en sum penge for deres arbejde. Men hvor står der, at de i telefonen sagde, at hvis ikke der blev betalt, så blev det frigivet på internettet?
Netop derfor kan du slet ikke sammenligne det med "Jeg har nogen nøgenbilleder af din kone, og får jeg ikke nogen penge så offentliggør jeg dem" ;-)
#6
Måske den etisk korrekte måde at gøre det på, men sådan hænger virkeligheden desværre ikke sammen.
Mit konsulentfirma sender jo heller ikke et pitch med designforslag, foranalyse og udkast til kravspecifikation uden nogen forpligtelser til en potentiel kunde, så de kan tage materialet og på baggrund af det gå ud og få et tilbud hos et andet konsulenthus.
Den mere korrekte måde at gøre det på, ville være at sende informationerne til firmaet, og så samtidig tilbyde konsulentydelser - hvis de måtte ønske det.
Måske den etisk korrekte måde at gøre det på, men sådan hænger virkeligheden desværre ikke sammen.
Mit konsulentfirma sender jo heller ikke et pitch med designforslag, foranalyse og udkast til kravspecifikation uden nogen forpligtelser til en potentiel kunde, så de kan tage materialet og på baggrund af det gå ud og få et tilbud hos et andet konsulenthus.
Kom nu igen med jeres idealisme - at offentliggøre exploit information offentligt svarer til at du har luret hvordan du kan snyde ekspedienten nede i Blockbuster, og offentliggør det.
Det er da en meget negativ attitude imod det firma der har svagheden.
Det kan måske diskuteres hvor harmfuldt det er hvis man KUN gør det for idealismen. men i det øjeblik man har kontaktet, og bedt om penge- så er det afpresning! Hvis man iøvrigt mener at de er usikre, så må man fortælle offentligt at man er bekendt med at der findes en exploit der kan give adgang til for meget information.
#4 - jeg tvivler på at de blot har smidt telefonrøret på ved første opkald, hvis man kører den praksis med at skanne for exploits, vel at mærke også på komponenter -vil jeg betvivle om man de facto er startet ud med rent mel i posen.
(I det her tilfælde kommer jeg til at tænke på hvor ydmygt annoncehajer ringer op ;-) ).
Det er da en meget negativ attitude imod det firma der har svagheden.
Det kan måske diskuteres hvor harmfuldt det er hvis man KUN gør det for idealismen. men i det øjeblik man har kontaktet, og bedt om penge- så er det afpresning! Hvis man iøvrigt mener at de er usikre, så må man fortælle offentligt at man er bekendt med at der findes en exploit der kan give adgang til for meget information.
#4 - jeg tvivler på at de blot har smidt telefonrøret på ved første opkald, hvis man kører den praksis med at skanne for exploits, vel at mærke også på komponenter -vil jeg betvivle om man de facto er startet ud med rent mel i posen.
(I det her tilfælde kommer jeg til at tænke på hvor ydmygt annoncehajer ringer op ;-) ).
Jeg vil selv kalde det afpresning.
Firma'et står til enten at miste penge, eller få offentliggjort en sikkerhedsfejl, begge en dårlig ting for firmaet.
Lidt ligesom hvis jeg ser at naboens vindue står åbent når personen er på ferie, og jeg ringer til denne og beder om en sum penge eller jeg vil hænge et skilt på hjørnet om at det står åbent.
Der vil sikkert hurtigt blive reageret men det kan stadig nå at blive udnyttet, og uanset hvad er det noget lort for naboen.
Istedet burde jeg ringe og spørge om jeg skal gå over og lukke det, og håbe på at personen vil betale mig for det, men hvis naboen hellere vil have noget famile/ven/andet til at gøre det skal det være dennes valg!!
Firma'et står til enten at miste penge, eller få offentliggjort en sikkerhedsfejl, begge en dårlig ting for firmaet.
Lidt ligesom hvis jeg ser at naboens vindue står åbent når personen er på ferie, og jeg ringer til denne og beder om en sum penge eller jeg vil hænge et skilt på hjørnet om at det står åbent.
Der vil sikkert hurtigt blive reageret men det kan stadig nå at blive udnyttet, og uanset hvad er det noget lort for naboen.
Istedet burde jeg ringe og spørge om jeg skal gå over og lukke det, og håbe på at personen vil betale mig for det, men hvis naboen hellere vil have noget famile/ven/andet til at gøre det skal det være dennes valg!!
#26
Det er da slet ikke at sammenligne med hvordan man snyder en nede i Blockbuster (det vil jo være Blockbuster, du her snyder). I dette tilfælde er det jo ikke LinkedIn, der bliver snydt, men den bruger, der benytter sig af softwaren, som de har udviklet.
Det er på ingen måde negativt. Det er deres ansvar, at deres produkter ikke er så usikre, at det kan skade brugerens computer eller datasikkerhed.
#26 & #27
Igen vil jeg gerne påpege at der jo er tale om, at de ringer og fortæller, at de har fundet en fejl, og at hvis de ønsker informationer herom må de betale for det arbejde, som der er lagt i det og evt. betale for yderligere konsulentbistand, hvis der er behov. De siger jo ikke - såfremt jeg kan læse i nyheden - at hvis ikke de betaler, så ligger de det til rådighed på nettet. Havde de gjort det, ja, så er det klart afpresning. Men det fremgår ikke af nyheden, at de gør det.
Da LinkedIn så blot smider røret på, må man jo tolke det som, at de er ligeglade med det, og så må man jo gøre brugere, der benytter denne software opmærksom på, at der er fejl i det og komme med beviser herfor, hvilket de har gjort.
Nu vil de også have penge for at fortælle dem om fejlen. Og så kan du unægteligt sammenligne kritiske sikkerhedsfejl i software, der bruges af mange brugere, med at en families hus står ulåst.
Står familiens hus ulåst, er de selv skyld i fejlen, og det går ud over dem selv. En fejl i LinkedIns software åbner for mulighed for at ramme brugere, der bruger denne software. Det er altså ikke LinkedIn, som det rammer. Men deres brugere.
Det er da slet ikke at sammenligne med hvordan man snyder en nede i Blockbuster (det vil jo være Blockbuster, du her snyder). I dette tilfælde er det jo ikke LinkedIn, der bliver snydt, men den bruger, der benytter sig af softwaren, som de har udviklet.
Det er på ingen måde negativt. Det er deres ansvar, at deres produkter ikke er så usikre, at det kan skade brugerens computer eller datasikkerhed.
#26 & #27
Igen vil jeg gerne påpege at der jo er tale om, at de ringer og fortæller, at de har fundet en fejl, og at hvis de ønsker informationer herom må de betale for det arbejde, som der er lagt i det og evt. betale for yderligere konsulentbistand, hvis der er behov. De siger jo ikke - såfremt jeg kan læse i nyheden - at hvis ikke de betaler, så ligger de det til rådighed på nettet. Havde de gjort det, ja, så er det klart afpresning. Men det fremgår ikke af nyheden, at de gør det.
Da LinkedIn så blot smider røret på, må man jo tolke det som, at de er ligeglade med det, og så må man jo gøre brugere, der benytter denne software opmærksom på, at der er fejl i det og komme med beviser herfor, hvilket de har gjort.
Istedet burde jeg ringe og spørge om jeg skal gå over og lukke det, og håbe på at personen vil betale mig for det, men hvis naboen hellere vil have noget famile/ven/andet til at gøre det skal det være dennes valg!!
Nu vil de også have penge for at fortælle dem om fejlen. Og så kan du unægteligt sammenligne kritiske sikkerhedsfejl i software, der bruges af mange brugere, med at en families hus står ulåst.
Står familiens hus ulåst, er de selv skyld i fejlen, og det går ud over dem selv. En fejl i LinkedIns software åbner for mulighed for at ramme brugere, der bruger denne software. Det er altså ikke LinkedIn, som det rammer. Men deres brugere.
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Nyheder
Gå til bund