楼主:
QCANCER (琉璃螃蟹)
2019-01-19 14:56:37※ 引述《boss88893 (自由人)》之铭言:
: 台湾有家公司专门去找公司网站漏洞,然后会发e-mail到公司,告诉你
: 你的网站有漏洞,如果你不处理,就会把漏洞公布在网络上,让大家知道
: 然后他们还会在网站上介绍,他们公司有做防漏洞的服务
: https://zeroday.hitcon.org/vulnerability/all
: 今天你逛街时,看到大安区有户住家大门锁坏了,然后说限屋主快处理不然要公布街坊
: 邻居都知道? 搞不好小偷也通知?
: 不知道这样行为是否合理?
举例失当
因为所谓资安牵扯的不是个人或是一家的事
资讯安全是公共问题
当一个公用网站有漏洞, 影响的层面是全部的使用者
最大的可能甚至会是与使用者有相连的所有设备
: 我是觉得,你发现人家大门没关坏了,应该打110或跟屋主说就好,
: 怎么会是反过来说不处理就公布? 让全世界都知道你家门坏了没锁?
所以举例上比较像是疫情通报
例如某养猪场, 然后被查到有猪瘟
你说要不要通告与公布 ??
: 查了一下,这公司还蛮多报导,感觉很正义? 实际上 道德?
: https://www.bnext.com.tw/article/47673/cycarrier
: 我是觉得发现安全问题通知当事人就好,但不要上网公布,因为你上网公布不就等于
: 恐吓? 然后再说欢迎买我们服务?
: 反正从头到尾就是一直叫你跟他们公司联络,并说可升级VIP帐号
: 以下真人真事
: ====================================================================
: 我们是 HITCON ZeroDay 漏洞通报平台,为社团法人台湾骇客协会所筹组之公益计画
: ,协助企业进行资安漏洞之通报。
: 漏洞 XXXXX 已公开于以下网址:
: 漏洞公开网址:https://zeroday.hitcon.org
: 若对该漏洞有任何问题欢迎于漏洞页面留言或直接与我们联系。
: 感谢您于此次通报处理期间的配合。
: HITCON ZeroDay 团队
: 基于平台之规范,一定时间后漏洞详细内容便会公开,提醒您尽快修补。
: 若贵单位希望可以更快速直接的接收漏洞及与通报者沟通,欢迎免费升级
: ZeroDay 企业帐号 https://zeroday.hitcon.org/about/vp
: ZeroDay 的通报及复检等服务均无需费用,故若您仍有其他疑问,都欢迎随时与
: 我们连络。
在我看来, 这根本佛心好吗?
扫弱洞的软件要钱, 而且不是买断是按年算的
有人帮你扫,告知漏洞, 让你有机会可以自己修
这不是佛心是什么?