作者sniffer (again)
看板Soft_Job
標題Re: [技術] 雲端掃毒=用你的資源幫廠商
時間Wed May 4 00:55:17 2011
※ 引述《oaz (台灣獨立建國不必錢嗎?)》之銘言:
: ※ 引述《sniffer (again)》之銘言:
: : 標題: Re: [技術] 雲端掃毒=用你的資源幫廠商
: : 時間: Tue May 3 13:04:15 2011
: : 密碼學果然沒學好
: : 孩子, 多讀書再來說有沒有問題,
: 如果你只是會稱別人為孩子
: 我個人是認為無法對你自己的權威增加多少
沒辦法, 跟學妹學的, 我讀的學系女生太多,
有很多學生硬要充專業, 只好顯老一點
: : 這一點就會有版權跟隱私問題, 而且分析前也不確定是毒, 沒有合法上傳的理由
: 我個人是得你的版權的認知很怪
: 如果有一間公司甲向另位一間儲存公司乙買服務
: 而甲公司向丙公司買了一個版權的文件
: 照你的說法就是:因為有版權問題,甲公司不能將其備存到乙公司的服務
: 我個人是存疑的
: 再者,現實就是有很多有版權的內容物會被備份且暫存的
: 例如代理伺服器之類的
: 而且,許多公司都會備份郵件,而這些郵件總有些會含有版權的內容物吧
: 照你的說法,這也是會有問題的..
儲存跟分析不一樣, 很多軟體授權合約上都有禁止 reverse-engineering,
更何況掃毒公司是第三者, 還會讓你違反NDA
掃毒公司把你的檔案資料存檔一定不算暫存, 所以這也不成立
但是沒有分析這一步, 就讓欺騙變得很容易, 所以兩者都不好
: : → leicheong:那天自動化結果比對如果真的有機會成為主流, 且看大陸 05/03 21:45
: : → leicheong:三大防毒軟件公司如何互扯後腿... 05/03 21:47
: : → zvn:一般會有隻private key給別人拿不到,public key給別人拿沒差 05/03 21:50
: : → zvn:所以如果要擔心client上的binary被破的話,那就是做法得改.. 05/03 21:51
: : 破解掃毒的protocol, 目的是欺騙雲端, 回報有毒的檔為沒有毒, 或沒毒的檔為有毒,
: : 哪裡需要解開加密, 明明就只需要加密送回, 沒有工作過, 也要學好事情怎麼做,
: : 不是讀了國立資x系就一定會有工作, 基礎觀念都沒有, 一問就垮
: 似乎可以理解你想說的是什麼
: 譬如:現在有一個雲端系統,以及一位客戶使用這項服務,
: 而這位客戶使用客戶端程式跟雲端溝通
: 就是你用機器組言或組語之類的去解譯程式
: 然後不去動到 "溝通協定"
: 而是在 "要送出資料通過溝通協定" 前,先偽造資料
: (這似乎不是一般意義上的 "破解協定")
: 問題是,現在有哪個客戶會這麼無聊,花了錢去買一項服務
: 再派自己人去惡搞這項服務?
: 當然,有可能駭客就是為了惡搞,願意自己付錢去買服務
: 或者客戶自己內部有不肖員工去惡搞系統
: 但是,一來,這可以經由法律途徑可以解決
: 所以,密碼學已經有一些協定可以讓你無法否認
: 只要你有做壞事,你無法否認,只要你沒做壞事,人家也無法裁贓
: 二來,似乎技術上也是可以解決
: 譬如,某個雜湊值只有一個客戶說有毒,其它一千個客戶說沒有毒
: 那可以認為應該是沒有毒,而那位客戶可能有問題,列入觀察名單之類的
: 總覺得你擔心的不是問題,或是總有方法可以解決
學任何科學, 要認知一件事, 有些東西就是沒有方法可以解決,
任何方法都有他的極限, 不是一廂情願認為一定可以
1. 評價人數問題, 因為防毒公司要作新機的生意, 所以無法確實追蹤每一個用戶真假
2. 放棄沒有付錢登記的用戶, 也還是可以靠已經被入侵的客戶botnet
3. 如果有人回報有異就放棄該筆資料, 那就可以作成DoS讓雲端失效, 也一樣
4. 如果上傳檔案檢查, 版權隱私問題出現
所以最後他怎麼選擇, 都對使用者不好
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 123.204.215.193
→ leicheong:禁止逆向工程分析的合約條文在大部份國家/地區都是沒有 05/04 20:03
→ leicheong:約束力的, 因此你可以看到微軟自Win98起已經把相關條文 05/04 20:04
在美國很有用, 所以一堆人因為數位千禧法案被抓,
在美國興訟就好, 台灣一樣會比照美國, 這個我有認識很大的律師可用$_$,
大家不要讓自己權益睡著了, 我大多做 embedded 比較沒得賺這條
→ leicheong:由EULA拿掉了) 05/04 20:05
推 leicheong:以EU為例, EU Software Directive的第60章9(A)條明令 05/04 20:19
→ leicheong:在以合約條文禁止decompilation. 而且EULA有太多方法 05/04 20:20
→ leicheong:可以繞過了... 05/04 20:21
除了reverse engineering, 上傳的東西也可能包含資料庫密碼等,
而且交付第三人, 還有 copy 的問題, 這個 EU 也沒得繞
※ 編輯: sniffer 來自: 123.204.215.193 (05/04 20:35)
推 leicheong:修正: 是第6章60節才對... 05/04 20:32
→ zvn:sniffer你就想一個問題:如果真如你說的這麼好告,怎麼美國沒 05/04 21:16
→ zvn:人在告... 你有認識很大的律師,那趕快叫他提告吧 XD 05/04 21:17
→ zvn:我想提告總不難了吧?難得你可以證明你沒在嘴砲XDDD 05/04 21:17