альтернативно одарённые британские законы и суды

[avva]

Какие уроды. Просто нет слов.

Засудили человека за то, что он изменил URL в браузере, добавив ../../../ , чтобы посмотреть, легитимный это сайт или нет.

Друзья, печатными словами это не передать, это полный пиздец.

[via trurle]

Comments

[mi-b.livejournal.com]

он не защищенность проверял. А, надеясь, что сайт незащищен, пытался понять, где и кем он размещен. Потому что такая информация могла бы ему помочь понять, жульнический сайт или нет

[mtyukanov.livejournal.com]

А как проверить где и кем он размещен с помощью траверсинга и вставки?

[mi-b.livejournal.com]

ну, выходом на рут, насколько я понимаю, можно увидеть, какие еще сайты лежат рядом. их чего профессионал может делать какие-то выводы. Например, приличный сайт британского charity не будет хоститься в Китае или рядом с чем-нибудь очень подозрительным. Я не думаю, что я бы смог сделать много выводов из вида директории верхнего уровня - но он-то профессионал

[mtyukanov.livejournal.com]

Можно, конечно. Но для того, чтобы что-то всерьез понять, надо и ломать сайт всерьез. Не просто выйти в рут, а еще и шелл там запустить, или там походить по разным директориям, почитать их серверные скрипты.

Но в принципе, для начала проще посмотреть свой собственный лог за время транзакции, протрейсрутить все подозрительные айпишники, и все, что набралось, проверить по whois. И главное, все это совершенно легально.

А какие-то его сторонники(!) утверждают, что второй тест -- это "всего лишь" попытка загнать одинарную кавычку в поле ввода номера кредитки. Если это действительно так -- это довольно откровенная попытка взлома именно что базы кредиток.

[ullr.livejournal.com]

>это довольно откровенная попытка взлома именно что базы кредиток.
после того, как он заплатил 30 фунтов собственной карточкой, очевидно, в той же самой ССЛ сессии?

[mtyukanov.livejournal.com]

А что, это как-то мешает?

[ullr.livejournal.com]

да, мешает мне поверить, что это попытка ломки системы. Так себя не ведут даже скрипт-киддис. А уж человек, занимающийся ком.безопасностью профессионально, тем более.

[mtyukanov.livejournal.com]

Действительно, на действия профессионала по взлому не похоже. Но и на действия профессионала по проверке сайта еще менее похоже.

Что он фактически сделал -- очень слабую и дохлую попытку сломать сайт.

Почему -- да сайт слишком новый, создан под конкретную задачу, дыры наверняка есть, вдруг такие грубые?

Для чего он это сделал -- для благородной проверки безопасности сайта или гнусной попытки украсть у пострадавших от цунами -- хрен его знает. Скорее всего, ни то, ни то -- а просто по привычке. Потому и попытка такая вялая, ненапряжная.

Но ведь и судили его не за попытку кражи, а саму по себе попытку взлома. И то приговорили после того, как стал врать, и судья подчеркнул, что не врал бы -- не было бы и штрафа. Потому как вранье его проверять и расследовать надо было куче народа.

[msh.livejournal.com]

А читая, например, чужой код Вам никогда не бывает трудно поверить, что это написали люди, занимающиеся программированием профессионально? ;-)

[ullr.livejournal.com]

мне иногда в это трудно поверить, даже читая свой собственный код.

Но ломание принципиально отличается от программирования: оно нелегально. Т.е. оно требует более внимательного отношения.

[msh.livejournal.com]

Да ладно, вон в магазинах воруют уж такие идиоты и попадаются постоянно. А тоже нелегально.

[dpak0h.livejournal.com]

не ломание, а использование ломания в коммерческих целях. смотрите ниже про автора HASP эмулятора