tocherrygo's recent timeline updates tocherrygo's recent timeline updates |
tocherrygoV2EX member #457145, joined on 2019-12-03 17:09:23 +08:00 |
| 现在国内做安全的都这么肆无忌惮吗?发现有漏洞就直接提交公布? 信息安全 • tocherrygo • Sep 17, 2020 • Lastly replied by erevus | 200 |
tocherrygo's recent replies
Jul 1, 2020 Replied to a topic by tocherrygo › 信息安全 › 现在国内做安全的都这么肆无忌惮吗?发现有漏洞就直接提交公布? |
@polaa 感谢网友提供法律依据,我会认真看看。谢谢。
Jul 1, 2020 Replied to a topic by tocherrygo › 信息安全 › 现在国内做安全的都这么肆无忌惮吗?发现有漏洞就直接提交公布? |
@zgzhang 我只能说他的初心没问题,但是他未直接跟厂家沟通,直接提交漏洞让平台处理这个步骤有问题。平台一旦接受漏洞,就直接公布,再通知厂家,这明显是已知处理逻辑。他完全可以先预知后续发展。
Jul 1, 2020 Replied to a topic by tocherrygo › 信息安全 › 现在国内做安全的都这么肆无忌惮吗?发现有漏洞就直接提交公布? |
@fate 请认真看题目,你做啄木鸟找虫子没关系,别把树啄死了。
Jul 1, 2020 Replied to a topic by tocherrygo › 信息安全 › 现在国内做安全的都这么肆无忌惮吗?发现有漏洞就直接提交公布? |
@fate 垃圾产品不值一提,实则这件事被恶心到。
Jul 1, 2020 Replied to a topic by tocherrygo › 信息安全 › 现在国内做安全的都这么肆无忌惮吗?发现有漏洞就直接提交公布? |
@im3x 我也是这么想的,实在他们不按规则走。直接发布,让平台通知我们。平台直接发布,我们修都没来得及修,全网知道了。
Jul 1, 2020 Replied to a topic by tocherrygo › 信息安全 › 现在国内做安全的都这么肆无忌惮吗?发现有漏洞就直接提交公布? |
@ferock 谢谢解答,乌云我知道这个平台,以前很火。关闭的问题我不清楚具体情况,国内安全圈子好像有 GJ 支持,按理说做法合理,没人会找麻烦。我知道的是白帽有时就是黑帽,没办法,这东西实在不好说,我也是发出来大家讨论。
Jul 1, 2020 Replied to a topic by tocherrygo › 信息安全 › 现在国内做安全的都这么肆无忌惮吗?发现有漏洞就直接提交公布? |
@ferock 那如果不存在利益关系,正常讨论漏洞修复,他们为何刺激漏洞提交而发布奖励?我要不关心客户利益,我们公司也得运营,也得花钱。不能说,我公司程序员写的 bug 被别人发现造成客户损失,反倒让公司程序员花钱赔吧?整个逻辑流程就是:系统做出来了,也给客户用了,被安全人员审计代码发现问题,提交漏洞平台,被其他人看见,利用漏洞造成客户损失,客户找我们赔偿。难道我们不应该找发布漏洞的人一个说法吗?我觉得安全平台发布漏洞存在问题,不应该把详细内容公布,另外还应该修复完再发布。
Jul 1, 2020 Replied to a topic by tocherrygo › 信息安全 › 现在国内做安全的都这么肆无忌惮吗?发现有漏洞就直接提交公布? |
@yukiww233 做法实在不考虑厂家客户利益关系,通知完就公布,其实都效益不大。windows 平台漏洞都是伴随着更新才发布的,难道直接就公布了漏洞让别人挖吗
Jul 1, 2020 Replied to a topic by tocherrygo › 信息安全 › 现在国内做安全的都这么肆无忌惮吗?发现有漏洞就直接提交公布? |
@ferock 讲道理,不应该是厂家修复后再公布吗?他通知厂家,修复完,他公布,这个其实没啥矛盾,而且更安全,为啥就直接公布呢?实在搞不懂。
Jul 1, 2020 Replied to a topic by tocherrygo › 信息安全 › 现在国内做安全的都这么肆无忌惮吗?发现有漏洞就直接提交公布? |
@est 真的吗?我改天就找律师,好多同行都是被他们搞怕了,本来开源都加密文件了。
Select Language