→ TonyQ:"被偷的人對該廠商進行訴訟" 該廠商為此付出代價 02/20 14:59
→ TonyQ:聽起來很合理啊。 02/20 14:59
→ TonyQ:該廠商該承擔他該承擔的,這點有什麼不對嗎? 02/20 14:59
→ TonyQ:另外 fake page 跟 fake flow 的那些環節算不算工具,就見人 02/20 14:59
→ TonyQ:見智了。 02/20 15:00
→ TonyQ:我不覺得你是吃飽太閒,但是你用的方式錯了。 02/20 15:00
→ cc1plus:山上和山下的單位對你應該有興趣, 去偵酒對報名一下... 02/20 15:03
→ yauhh:事情不是你這樣二分法就好了,是你的處理方式有問題. 02/20 15:12
推 descent:那還有什麼好方法呢?我不覺得這是好方法, 但想不到其他 02/20 15:14
→ descent:難道要真的等著出包, 該網站才真的意識到這問題的嚴重 02/20 15:15
→ hechian:我是不是該洗腦你再買一次Mac :P 02/20 15:17
→ j129008:廠商不見得會付出代價,會付出代價的是無知的使用者 02/20 15:21
→ j129008:所以廠商才有辦法視而不見,出包了就怪別人駭入就好 02/20 15:21
→ TonyQ:你用"不見得",所以我就持保留態度。 02/20 15:22
→ TonyQ:不過"出包怪別人駭入" 是個錯嗎? :) 02/20 15:22
→ j129008:黑客大可以單純偷取個資而不被發現,廠商損失啥? 02/20 15:23
→ j129008:所以我說受害的不會是廠商,而是使用者 02/20 15:23
→ j129008:廠商照理說擔負責任,但看樣子是嗎? 使用者的安全何在? 02/20 15:24
→ TonyQ:你的前提是駭客的行為不會被發現,but so ? 02/20 15:41
→ TonyQ:現實不總是這樣的啊。 02/20 15:41
→ TonyQ:當然我沒辦法反駁你沒有這種事情發生。 02/20 15:41
→ TonyQ:不過我覺得比起他採用的作法,更好的作法是預告加揭露漏洞。 02/20 15:41
推 RJking:"被偷的人對該廠商進行訴訟" 進行訴訟並不代表廠商會敗訴 02/20 15:41
→ TonyQ:要讓一個網站真的陷入危險,並不需要真的去攻擊。 02/20 15:42
→ TonyQ:更正一下,是 cracker。 02/20 15:42
→ RJking:既然不見得會敗訴,那就不見得會付出代價,而付出的代價也 02/20 15:42
→ TonyQ:而且他今天這樣的行為,如果反而導致使用者的密碼暴露,對使 02/20 15:42
→ TonyQ:用者真的是好事嗎? 02/20 15:42
→ TonyQ:我純粹就對他用的方法有意見,並不是說廠商沒責任。 02/20 15:43
→ TonyQ:也不是說這個作法是對的。 02/20 15:43
→ RJking:無法真正讓使用者獲得補償,應該說被外洩的個資已經回不去 02/20 15:43
→ TonyQ:我們現在都在討論假設性問題,如果你要討論假設性問題,就把 02/20 15:44
→ TonyQ:前提寫清楚。 02/20 15:44
→ JokerCatz:沒有暴露密碼的問題,整串都規劃過了,需要的話可提供JS 02/20 15:44
→ RJking:了...我只是想表示廠商並不會真的會負擔責任,而且也無濟 02/20 15:44
→ RJking:於事... 02/20 15:45
→ TonyQ:我指的是,假設有人同時跟他一起瀏覽同一個螢幕,結果不小 02/20 15:45
→ TonyQ:心看到那個密碼,這個 possiblity 你敢說沒有? 02/20 15:45
→ TonyQ:那個投影片留存的 cache 被其他人翻出來看到的可能性? 02/20 15:46
→ TonyQ:我的意思是,你仍然是增加風險。 02/20 15:46
→ TonyQ:你可能覺得你已經考慮很多了,但真的夠嗎? 02/20 15:47
→ TonyQ:根據我看到的畫面 你是直接把密碼寫在畫面上 XD 02/20 15:48
→ TonyQ:翻了一下似乎有作 * 遮蔽 02/20 15:51
→ TonyQ:不過我還是不認為做這件事有什麼意義。 02/20 15:51
→ j129008:意義在於讓大家知道這個網站不安全,快陶阿 02/20 15:56
→ JokerCatz:意義是表示我能偷到但我不想要,而別人也能輕易偷到 02/20 16:03
推 codemonkey:感覺就是件白米炸彈客行動 02/20 16:30
推 soulbug:經過這事件相信原PO有心冷了一點 建議不要試圖改變什麼 02/20 16:30
→ soulbug:心中有太多公平正義有時只是自討苦吃 02/20 16:33
推 codemonkey:這也不算公平正義吧,發起user連署比較正義一點 02/20 16:34
→ soulbug:先行革命者下場大多都是不好的... 02/20 16:35
推 codemonkey:要搞也應該去搞政府網站,搞不好會多個JokerCatz條款 02/20 16:39
→ codemonkey:規定以後外包網站都要通過xss檢查 02/20 16:39
→ codemonkey:革命成功又有成就感多好 02/20 16:39
推 art1:苦來自不認同把問題搞大得到應有重視的人 02/20 16:42
→ JokerCatz:所以沒看投影片內容,主要是讓全體使用者一人一信給站方 02/20 16:42
→ soulbug:我這樣說好了 實行正義總要付出代價 因為會侵害到別人利益 02/20 16:46
→ soulbug:像原po付出的代價 就是喝茶聊天 並列入公開的駭客名單中 02/20 16:48
推 newnovice:吃飽太閒 對方不接受你的建議你就攻? 02/20 16:50
→ soulbug:並得到像樓上的不諒解 我能理解原PO是為了使用者啦... 02/20 16:52
→ soulbug:預防總是優於治療 但有部分人是沒辦法看這麼遠的 02/20 16:59
→ erspicu:為好玩跟成就感 為他人 算了吧 02/20 17:00
→ soulbug:非要學到教訓不可 不說了 運動去 原PO若能理解我說的話 02/20 17:02
→ soulbug:對人生應該有幫助吧.. 02/20 17:03
推 davidsky:警察會用linux查log才神奇吧...除非是電偵專長(?) 02/20 17:07
→ EJB:是不是吃飽太閒,那才是見仁見智 02/20 17:12
→ luciferii:也可以學熱血的 plainpass.com 02/20 17:26
→ luciferii:要自討苦吃只能說活該... 02/20 17:26
→ yyc1217:覺得手槍危險可以警告所有人,不是朝無人處扣下扳機後再來 02/20 17:29
推 ARODisGod:我是覺得應該會有不少公司對你有興趣 02/20 17:29
→ yyc1217:說:看,這很危險吧,最後還堅持自己沒有射到人不算什麼 02/20 17:30
推 calqlus:這串文下來了你也看得夠清楚了 在這世界上只要對自己好 02/20 17:39
→ calqlus:其他什麼的管他去死 你看那失業負責弄禽流感報告的記者 02/20 17:40
→ calqlus:政府無視 即便在網路上發燒過 曾經被報導過 現在呢 02/20 17:40
→ calqlus:雞肉類的食品還是便宜的詭異 大家還是照吃 02/20 17:41
→ calqlus:在這世界上還是裝的傻傻地比較好 都是they的錯~ 02/20 17:43
推 aiti80630:推文說開槍的這個例子不錯啊 02/20 18:20
推 shortoneal:我覺得你寫一篇洋洋灑灑的文章公開某論壇有愚蠢的錯誤 02/20 18:23
→ shortoneal:就夠了,自己去打真的是落人話柄 02/20 18:23
推 dnzteeqrq:j129008:廠商不見得會付出代價付出代價的是無知的使用者 02/20 20:16
→ dnzteeqrq:若JokerCatz是為使用者出聲,那蠻同意 只是要付出代價@@ 02/20 20:18
→ dnzteeqrq:比那些滿口仁義道德 卻又眼睜睜看事情發生的人好太多了 02/20 20:19
推 CRPKT:那我也可以說, 放著不管讓更多使用者付出代價, 大家才會覺醒 02/20 21:38
→ CRPKT:去整頓千千萬萬個不安全的網站? 02/20 21:38
→ dnzteeqrq:亡羊補牢? 02/20 22:49
→ alog:這些行為以前我就幹過,但你只能做到回報,不該去破壞 02/20 23:41
→ alog:以前也寫過 xss worm 作為 demo 給廠商 但還是不能去破壞 02/20 23:42
→ alog:或許你覺得你做的事情是為大家好的 但這需要手段 02/20 23:44
→ alog:你做的那些行為只會冒犯到別人 不管是廠商還是使用者 02/20 23:45
→ alog:不過,如果你覺得對,那你就去做吧 真的沒什麼 02/20 23:45
→ alog:這個社會可怕的地方在於你要突出,自然有人會把你磨鈍 :P.. 02/20 23:46
→ wfgh:不懂裝懂喔 資訊室就是mis單位而已 你該去偵九隊走一下 02/21 00:02
→ wfgh:自以為技術強的心態 唉 02/21 00:03
→ dnzteeqrq:一般人哪知道資訊室就是mis單位 你有病哦!@@ 02/21 00:13
→ alpe:真的是自以為熱血小朋友. 02/21 00:42
→ andymai:對於警察有沒有能力辦這種案子~應該要看該名警察的職位~如 02/21 04:02
→ andymai:果是一般警察或刑警~每天處理轄區事情的時間都沒有了~哪有 02/21 04:03
→ andymai:時間去學這些?隔行如隔山~你會的他們或許不會~但他們會的 02/21 04:05
→ andymai:同樣你也可能不會~不是嗎? 02/21 04:05
推 kindaichitom:資訊相關科系的學生都不見得每個人都會操作了... 02/21 21:00
→ kindaichitom:你只是遇到沒在辦資訊犯罪的警察而已... 02/21 21:02
推 astt88:現在有些政府專案會要求通過網站弱點掃描 02/23 14:34
→ astt88:不過,我覺得都是掃心安的 02/23 14:34
→ astt88:網站要較安全,除了開發者的認知與技術外,還必須考量到專 02/23 14:35
→ astt88:案開發的外包方式,若是一層包一層的專案外包方法 02/23 14:36
→ astt88:真正做開發的團隊可能拿到的開發預算可能非常少 02/23 14:37
→ astt88:只能說,身為開發者,要考量的因素太多 02/23 14:39
→ astt88:只能說,看到一些專案的問題,並希望自己不要犯相同的錯誤 02/23 14:40
推 astt88:我相信沒有程式開發者希望程式有Bug與漏洞 02/23 14:43
→ astt88:但有誰可以自認為自己開發的程式完全沒有漏洞與Bug 02/23 14:44
檔案過大!部分文章無法顯示
標題: Re: [討論] 維護者、道德與安全
時間: Wed Feb 20 14:53:39 2013
我這邊另外開新文補述,事件後我總共面試了兩次
一次中山分局,一次台北市刑大資訊室
心得感想是台灣的警察不知道什麼是XSS,而只有檢察官知道
台灣的警察不會用Mac(我的筆電被沒收...檢察官沒說要扣但警察單純的要業績...
而警察那邊來開機登入找文件都不會...)
台灣的警察不會用Linux查Log(......看我打指令好像很神奇?)
台灣的警察對這種案件沒有辦法:
大概就是第二次面試後三天,北刑大請我去看一個案子,大概是某個交易平台
被人XSS偷光所有東西,偷到大陸後再對台灣進行詐騙之類的
js來源是(xss.tw),code的內容大概是完整的fake page & fake flow
然而被偷的人對該廠商進行了訴訟
偷到的人應該是在對岸,台灣的警察束手無策
自己看到了瞭解了之後很震驚...畢竟是相同的方式所完成的真實的犯罪手法
如果xss.tw和xssav.com都可以變成這類*低等級攻擊手法的交流地的話
有能力的人看到這些,與未來可能會發生的事情時,站方真的毫無作為時
所選擇的只能是隱忍嗎?
不管如何,誠如很多人所說,我真的只是nobody
我知道我的手法可能不漂亮或是有疑慮怎樣的,也得到我應有的後果
只是對於那些想對我說"關你屁事,吃飽太閒"的人說聲
哪天真的出事了,真的是你想要的嗎?
*註:不用任何工具就能達到目的攻擊手法,任何一台電腦都可以進行攻擊
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 114.35.31.145
→ TonyQ:"被偷的人對該廠商進行訴訟" 該廠商為此付出代價 02/20 14:59
→ TonyQ:聽起來很合理啊。 02/20 14:59
→ TonyQ:該廠商該承擔他該承擔的,這點有什麼不對嗎? 02/20 14:59
→ TonyQ:另外 fake page 跟 fake flow 的那些環節算不算工具,就見人 02/20 14:59
→ TonyQ:見智了。 02/20 15:00
→ TonyQ:我不覺得你是吃飽太閒,但是你用的方式錯了。 02/20 15:00
→ cc1plus:山上和山下的單位對你應該有興趣, 去偵酒對報名一下... 02/20 15:03
→ yauhh:事情不是你這樣二分法就好了,是你的處理方式有問題. 02/20 15:12
推 descent:那還有什麼好方法呢?我不覺得這是好方法, 但想不到其他 02/20 15:14
→ descent:難道要真的等著出包, 該網站才真的意識到這問題的嚴重 02/20 15:15
→ hechian:我是不是該洗腦你再買一次Mac :P 02/20 15:17
→ j129008:廠商不見得會付出代價,會付出代價的是無知的使用者 02/20 15:21
→ j129008:所以廠商才有辦法視而不見,出包了就怪別人駭入就好 02/20 15:21
→ TonyQ:你用"不見得",所以我就持保留態度。 02/20 15:22
→ TonyQ:不過"出包怪別人駭入" 是個錯嗎? :) 02/20 15:22
→ j129008:黑客大可以單純偷取個資而不被發現,廠商損失啥? 02/20 15:23
→ j129008:所以我說受害的不會是廠商,而是使用者 02/20 15:23
→ j129008:廠商照理說擔負責任,但看樣子是嗎? 使用者的安全何在? 02/20 15:24
→ TonyQ:你的前提是駭客的行為不會被發現,but so ? 02/20 15:41
→ TonyQ:現實不總是這樣的啊。 02/20 15:41
→ TonyQ:當然我沒辦法反駁你沒有這種事情發生。 02/20 15:41
→ TonyQ:不過我覺得比起他採用的作法,更好的作法是預告加揭露漏洞。 02/20 15:41
推 RJking:"被偷的人對該廠商進行訴訟" 進行訴訟並不代表廠商會敗訴 02/20 15:41
→ TonyQ:要讓一個網站真的陷入危險,並不需要真的去攻擊。 02/20 15:42
→ TonyQ:更正一下,是 cracker。 02/20 15:42
→ RJking:既然不見得會敗訴,那就不見得會付出代價,而付出的代價也 02/20 15:42
→ TonyQ:而且他今天這樣的行為,如果反而導致使用者的密碼暴露,對使 02/20 15:42
→ TonyQ:用者真的是好事嗎? 02/20 15:42
→ TonyQ:我純粹就對他用的方法有意見,並不是說廠商沒責任。 02/20 15:43
→ TonyQ:也不是說這個作法是對的。 02/20 15:43
→ RJking:無法真正讓使用者獲得補償,應該說被外洩的個資已經回不去 02/20 15:43
→ TonyQ:我們現在都在討論假設性問題,如果你要討論假設性問題,就把 02/20 15:44
→ TonyQ:前提寫清楚。 02/20 15:44
→ JokerCatz:沒有暴露密碼的問題,整串都規劃過了,需要的話可提供JS 02/20 15:44
→ RJking:了...我只是想表示廠商並不會真的會負擔責任,而且也無濟 02/20 15:44
→ RJking:於事... 02/20 15:45
→ TonyQ:我指的是,假設有人同時跟他一起瀏覽同一個螢幕,結果不小 02/20 15:45
→ TonyQ:心看到那個密碼,這個 possiblity 你敢說沒有? 02/20 15:45
→ TonyQ:那個投影片留存的 cache 被其他人翻出來看到的可能性? 02/20 15:46
→ TonyQ:我的意思是,你仍然是增加風險。 02/20 15:46
→ TonyQ:你可能覺得你已經考慮很多了,但真的夠嗎? 02/20 15:47
→ TonyQ:根據我看到的畫面 你是直接把密碼寫在畫面上 XD 02/20 15:48
→ TonyQ:翻了一下似乎有作 * 遮蔽 02/20 15:51
→ TonyQ:不過我還是不認為做這件事有什麼意義。 02/20 15:51
→ j129008:意義在於讓大家知道這個網站不安全,快陶阿 02/20 15:56
→ JokerCatz:意義是表示我能偷到但我不想要,而別人也能輕易偷到 02/20 16:03
推 codemonkey:感覺就是件白米炸彈客行動 02/20 16:30
推 soulbug:經過這事件相信原PO有心冷了一點 建議不要試圖改變什麼 02/20 16:30
→ soulbug:心中有太多公平正義有時只是自討苦吃 02/20 16:33
推 codemonkey:這也不算公平正義吧,發起user連署比較正義一點 02/20 16:34
→ soulbug:先行革命者下場大多都是不好的... 02/20 16:35
推 codemonkey:要搞也應該去搞政府網站,搞不好會多個JokerCatz條款 02/20 16:39
→ codemonkey:規定以後外包網站都要通過xss檢查 02/20 16:39
→ codemonkey:革命成功又有成就感多好 02/20 16:39
推 art1:苦來自不認同把問題搞大得到應有重視的人 02/20 16:42
→ JokerCatz:所以沒看投影片內容,主要是讓全體使用者一人一信給站方 02/20 16:42
→ soulbug:我這樣說好了 實行正義總要付出代價 因為會侵害到別人利益 02/20 16:46
→ soulbug:像原po付出的代價 就是喝茶聊天 並列入公開的駭客名單中 02/20 16:48
推 newnovice:吃飽太閒 對方不接受你的建議你就攻? 02/20 16:50
→ soulbug:並得到像樓上的不諒解 我能理解原PO是為了使用者啦... 02/20 16:52
→ soulbug:預防總是優於治療 但有部分人是沒辦法看這麼遠的 02/20 16:59
→ erspicu:為好玩跟成就感 為他人 算了吧 02/20 17:00
→ soulbug:非要學到教訓不可 不說了 運動去 原PO若能理解我說的話 02/20 17:02
→ soulbug:對人生應該有幫助吧.. 02/20 17:03
推 davidsky:警察會用linux查log才神奇吧...除非是電偵專長(?) 02/20 17:07
→ EJB:是不是吃飽太閒,那才是見仁見智 02/20 17:12
→ luciferii:也可以學熱血的 plainpass.com 02/20 17:26
→ luciferii:要自討苦吃只能說活該... 02/20 17:26
→ yyc1217:覺得手槍危險可以警告所有人,不是朝無人處扣下扳機後再來 02/20 17:29
推 ARODisGod:我是覺得應該會有不少公司對你有興趣 02/20 17:29
→ yyc1217:說:看,這很危險吧,最後還堅持自己沒有射到人不算什麼 02/20 17:30
推 calqlus:這串文下來了你也看得夠清楚了 在這世界上只要對自己好 02/20 17:39
→ calqlus:其他什麼的管他去死 你看那失業負責弄禽流感報告的記者 02/20 17:40
→ calqlus:政府無視 即便在網路上發燒過 曾經被報導過 現在呢 02/20 17:40
→ calqlus:雞肉類的食品還是便宜的詭異 大家還是照吃 02/20 17:41
→ calqlus:在這世界上還是裝的傻傻地比較好 都是they的錯~ 02/20 17:43
推 aiti80630:推文說開槍的這個例子不錯啊 02/20 18:20
推 shortoneal:我覺得你寫一篇洋洋灑灑的文章公開某論壇有愚蠢的錯誤 02/20 18:23
→ shortoneal:就夠了,自己去打真的是落人話柄 02/20 18:23
推 dnzteeqrq:j129008:廠商不見得會付出代價付出代價的是無知的使用者 02/20 20:16
→ dnzteeqrq:若JokerCatz是為使用者出聲,那蠻同意 只是要付出代價@@ 02/20 20:18
→ dnzteeqrq:比那些滿口仁義道德 卻又眼睜睜看事情發生的人好太多了 02/20 20:19
推 CRPKT:那我也可以說, 放著不管讓更多使用者付出代價, 大家才會覺醒 02/20 21:38
→ CRPKT:去整頓千千萬萬個不安全的網站? 02/20 21:38
→ dnzteeqrq:亡羊補牢? 02/20 22:49
→ alog:這些行為以前我就幹過,但你只能做到回報,不該去破壞 02/20 23:41
→ alog:以前也寫過 xss worm 作為 demo 給廠商 但還是不能去破壞 02/20 23:42
→ alog:或許你覺得你做的事情是為大家好的 但這需要手段 02/20 23:44
→ alog:你做的那些行為只會冒犯到別人 不管是廠商還是使用者 02/20 23:45
→ alog:不過,如果你覺得對,那你就去做吧 真的沒什麼 02/20 23:45
→ alog:這個社會可怕的地方在於你要突出,自然有人會把你磨鈍 :P.. 02/20 23:46
→ wfgh:不懂裝懂喔 資訊室就是mis單位而已 你該去偵九隊走一下 02/21 00:02
→ wfgh:自以為技術強的心態 唉 02/21 00:03
→ dnzteeqrq:一般人哪知道資訊室就是mis單位 你有病哦!@@ 02/21 00:13
→ alpe:真的是自以為熱血小朋友. 02/21 00:42
→ andymai:對於警察有沒有能力辦這種案子~應該要看該名警察的職位~如 02/21 04:02
→ andymai:果是一般警察或刑警~每天處理轄區事情的時間都沒有了~哪有 02/21 04:03
→ andymai:時間去學這些?隔行如隔山~你會的他們或許不會~但他們會的 02/21 04:05
→ andymai:同樣你也可能不會~不是嗎? 02/21 04:05
推 kindaichitom:資訊相關科系的學生都不見得每個人都會操作了... 02/21 21:00
→ kindaichitom:你只是遇到沒在辦資訊犯罪的警察而已... 02/21 21:02
推 astt88:現在有些政府專案會要求通過網站弱點掃描 02/23 14:34
→ astt88:不過,我覺得都是掃心安的 02/23 14:34
→ astt88:網站要較安全,除了開發者的認知與技術外,還必須考量到專 02/23 14:35
→ astt88:案開發的外包方式,若是一層包一層的專案外包方法 02/23 14:36
→ astt88:真正做開發的團隊可能拿到的開發預算可能非常少 02/23 14:37
→ astt88:只能說,身為開發者,要考量的因素太多 02/23 14:39
→ astt88:只能說,看到一些專案的問題,並希望自己不要犯相同的錯誤 02/23 14:40
推 astt88:我相信沒有程式開發者希望程式有Bug與漏洞 02/23 14:43
→ astt88:但有誰可以自認為自己開發的程式完全沒有漏洞與Bug 02/23 14:44