精華區beta Soft_Job 關於我們 聯絡資訊
作者JokerCatz (JokerCatz)
看板Soft_Job
標題Re: [討論] 維護者、道德與安全
時間Thu Feb 21 09:54:30 2013
hmm...我發現很多所謂的熱心人士,七嘴八舌的... 我不常上來PTT,不過這應該是PTT的特性 有人要我穿西裝打領帶,要我去談對方的安全性問題,有人說我不該那樣做怎樣的 那...換你們做一下如何?:) 我身邊還有很多他們的漏洞,可是這些漏洞可能不痛不癢很難打下來 所以我公開其中一個,就如同有人要我公開發表在其他網站一樣 https://www.ssllabs.com/ssltest/analyze.html?d=members.popo.tw 那...現在換所謂的能人如何?所有對這件事情事後諸葛的人去建議看看如何? Your turn :) -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 114.35.31.145
LaPass:這是PTT的特性沒錯..... 當你講了某件事/某件觀念之後,通 02/21 09:58
LaPass:常會有不一樣的聲音冒出來,這時候,能接受就回應一下,不 02/21 09:59
LaPass:能接受就別管對方。一但兩邊都擺出「我是對的」的態度、姿 02/21 10:00
LaPass:態在討論的話,通常最後就會變成鬼打牆式的筆戰,直到被板 02/21 10:01
LaPass:主出面制止為止。 02/21 10:01
hSATAC:聽說是 rails 232...?搞不好 hash collision 跟 02/21 10:02
hSATAC:remote code execution 的洞都沒補呢... 02/21 10:02
JokerCatz:我很不愛無意義的筆戰,是真希望它好,所以誰去解決它? 02/21 10:03
JokerCatz:@hSATAC 你知道的太多了...不過還有Rails超大的隱憂 02/21 10:03
LaPass:對了,想請教這個漏洞的關鍵字,我不懂這一塊,想去搞懂。 02/21 10:04
JokerCatz:session cookie decode => 尋找plugin漏洞((加密無作用 02/21 10:05
LaPass:THX 02/21 10:06
JokerCatz:@LaPass上個版本的bug被拿去用,下個版本修好但尚未更新 02/21 10:06
JokerCatz:@LaPass網路太黑暗了,歷史包袱很多,且無解 02/21 10:09
codemonkey:原PO真可愛 02/21 10:22
Gitangan:原PO做了一些事想改變某站的態度,網民說了一些話想改變 02/21 11:31
Gitangan:原PO的態度的想法。有人說原PO不該管城邦的事,那你們管 02/21 11:32
Gitangan:原PO那麼多做什麼? 02/21 11:33
bleed1979:我覺得樓上想太多了,評論不代表要改變對方想法。 02/21 12:35
bleed1979:不過「棒打落水狗」這種事情在PTT倒是很常見。 02/21 12:36
andymai:不是想改變!真要改變的話~對我來說~最起碼要我很在乎他~會 02/21 12:59
andymai:提出意見也不過是認為有更好的做法罷了~就像寫程式一樣~不 02/21 13:00
andymai:是只有一種寫法!接不接受當然是看個人~討論區本來就是讓人 02/21 13:01
andymai:發表意見用的~不是嗎?至於要不要管~那原本就是自己的抉擇! 02/21 13:02
nobody1:事主都下來討論了 竟反問鄉民管太多 州官放火百姓點燈? 02/21 13:04
andymai:像現在就很流行把警告資訊po到FB上面流傳~而且對我來說~我 02/21 13:04
andymai:並不是他們的使用者~所以我只會分享到FB上提醒大家注意 02/21 13:05
andymai:而且像現在新聞都報出來了~還要繼續成為使用者~那不就是個 02/21 13:07
andymai:人自己選擇的嗎?就像美牛的問題~要不要吃是自己選的?不是 02/21 13:08
andymai:嗎?再者~自以為是的爛公司就是該淘汰~你這樣犧牲自己去救 02/21 13:09
andymai:還是沒救到那間公司和那些使用者啊... 02/21 13:10
andymai:就像我覺得HTC很爛!但我既不是他們的客戶~也不是股東~那我 02/21 13:19
andymai:到底憑什麼跑到人家面前要求人家改善???就讓市場去決定吧! 02/21 13:20
TonyQ:盲點在於真的有人去做也不需要跟你報備啊,等著看一個月內 02/21 13:32
TonyQ:有沒有人修吧。(笑 02/21 13:33
TonyQ:不要預設太多事情,慢慢等著看吧 02/21 13:34
TonyQ:不過是說公佈漏洞你上次挑的是簡單跟危險性高的xss, 02/21 13:40
TonyQ:這次這個看起來條件多了不少,不那麼公平啊(笑 02/21 13:41
TonyQ:還是來查查 remote execution 他們修了沒好了 :p 02/21 13:42
JokerCatz:挑那個跑分就知道,上面那個要打的啊XD我兩年不能犯案哩 02/21 13:50
yauhh:換我來就是在旁邊寄個信提醒提醒,有辦法就把demo寫成文件 02/21 14:42
yauhh:告知就好了. 因為我知道我個人的責任義務及權力就那麼大而已 02/21 14:43
pcyu16:如果在網路公開網站的漏洞 這會造成法律問題嗎? 02/21 14:49
luciferii:丟 Qualys Scan的垃圾結果出來..我確認你只是想吵架 02/21 15:30
xvid:你可以找防毒版的嗨嗨每個人交朋友 02/21 17:41
Winggy:...... 這個掃描結果基本上意義不大,連缺失都算不太上 02/21 19:58
Winggy:不知道貼出來的用意為何 ? 02/21 19:58
JokerCatz:單純的因為很多東西我不能貼就是了,所以只能貼這個|||| 02/22 09:31
JokerCatz:至於算不算缺失...SSL被輕易地解掉對方用GET作登入的LOG 02/22 09:32
JokerCatz:所以只要看到該網域的網址就偷到帳密,這算不算缺失? 02/22 09:32
JokerCatz:對我公司算是就是了,而他們還有很嚴重的flow的問題.... 02/22 09:47
JokerCatz:其他的就太詳細了Orz"...很抱歉 02/22 09:47
asdfghjklasd:喔喔出現了溫雞耶.....徒弟來了師父也來了 02/22 09:53
Winggy:這個要成為漏洞的前提是要介入雙方的通訊之中... 02/23 01:22
Winggy:如果被 MITM 了,那你該頭痛的事情比這個大很多 02/23 01:23
Winggy:整件事情說穿了,原本提醒完後就沒你的事情了 02/23 01:25
Winggy:對方要不要改善是他們的問題,但是你介入去 'POC' 以後 02/23 01:25
Winggy:依照我國的超讚無限上綱妨礙電腦使用罪你已經立於不勝了 02/23 01:27
Winggy:緩起訴已經是檢察官很開明很給你機會的最佳狀況 02/23 01:28
Winggy:如果下次你還要堅持問題沒修是對方的錯硬要其他人照你規矩 02/23 01:34
Winggy:做事,那被告真的只是剛好而已 02/23 01:35
Winggy:把別人的問題變成自己的刑事責任,這種要求還是第一次碰到 02/23 01:35
Winggy:勸你好好想想,不要枉費檢察官給你一次機會 02/23 01:41
JokerCatz:A...事情其實早結束了,我也只是單純的丟出話題討論罷了 02/23 11:08
JokerCatz:會不會再做不知道,不過至少不會讓自己變得那麼麻煩就是 02/23 11:09
este1a:私人的不行,公家的可以 02/23 17:08
luciferii:據之前某人經驗,臺灣檢察官喜歡表面說你很強,然後背 02/23 22:38
luciferii:後捅一刀。這次沒事是走運,還是建議去拜拜一下。 02/23 22:39
檔案過大!部分文章無法顯示
標題: Re: [討論] 維護者、道德與安全 時間: Thu Feb 21 09:54:30 2013 hmm...我發現很多所謂的熱心人士,七嘴八舌的... 我不常上來PTT,不過這應該是PTT的特性 有人要我穿西裝打領帶,要我去談對方的安全性問題,有人說我不該那樣做怎樣的 那...換你們做一下如何?:) 我身邊還有很多他們的漏洞,可是這些漏洞可能不痛不癢很難打下來 所以我公開其中一個,就如同有人要我公開發表在其他網站一樣 https://www.ssllabs.com/ssltest/analyze.html?d=members.popo.tw 那...現在換所謂的能人如何?所有對這件事情事後諸葛的人去建議看看如何? Your turn :) -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 114.35.31.145
LaPass:這是PTT的特性沒錯..... 當你講了某件事/某件觀念之後,通 02/21 09:58
LaPass:常會有不一樣的聲音冒出來,這時候,能接受就回應一下,不 02/21 09:59
LaPass:能接受就別管對方。一但兩邊都擺出「我是對的」的態度、姿 02/21 10:00
LaPass:態在討論的話,通常最後就會變成鬼打牆式的筆戰,直到被板 02/21 10:01
LaPass:主出面制止為止。 02/21 10:01
hSATAC:聽說是 rails 232...?搞不好 hash collision 跟 02/21 10:02
hSATAC:remote code execution 的洞都沒補呢... 02/21 10:02
JokerCatz:我很不愛無意義的筆戰,是真希望它好,所以誰去解決它? 02/21 10:03
JokerCatz:@hSATAC 你知道的太多了...不過還有Rails超大的隱憂 02/21 10:03
LaPass:對了,想請教這個漏洞的關鍵字,我不懂這一塊,想去搞懂。 02/21 10:04
JokerCatz:session cookie decode => 尋找plugin漏洞((加密無作用 02/21 10:05
LaPass:THX 02/21 10:06
JokerCatz:@LaPass上個版本的bug被拿去用,下個版本修好但尚未更新 02/21 10:06
JokerCatz:@LaPass網路太黑暗了,歷史包袱很多,且無解 02/21 10:09
codemonkey:原PO真可愛 02/21 10:22
Gitangan:原PO做了一些事想改變某站的態度,網民說了一些話想改變 02/21 11:31
Gitangan:原PO的態度的想法。有人說原PO不該管城邦的事,那你們管 02/21 11:32
Gitangan:原PO那麼多做什麼? 02/21 11:33
bleed1979:我覺得樓上想太多了,評論不代表要改變對方想法。 02/21 12:35
bleed1979:不過「棒打落水狗」這種事情在PTT倒是很常見。 02/21 12:36
andymai:不是想改變!真要改變的話~對我來說~最起碼要我很在乎他~會 02/21 12:59
andymai:提出意見也不過是認為有更好的做法罷了~就像寫程式一樣~不 02/21 13:00
andymai:是只有一種寫法!接不接受當然是看個人~討論區本來就是讓人 02/21 13:01
andymai:發表意見用的~不是嗎?至於要不要管~那原本就是自己的抉擇! 02/21 13:02
nobody1:事主都下來討論了 竟反問鄉民管太多 州官放火百姓點燈? 02/21 13:04
andymai:像現在就很流行把警告資訊po到FB上面流傳~而且對我來說~我 02/21 13:04
andymai:並不是他們的使用者~所以我只會分享到FB上提醒大家注意 02/21 13:05
andymai:而且像現在新聞都報出來了~還要繼續成為使用者~那不就是個 02/21 13:07
andymai:人自己選擇的嗎?就像美牛的問題~要不要吃是自己選的?不是 02/21 13:08
andymai:嗎?再者~自以為是的爛公司就是該淘汰~你這樣犧牲自己去救 02/21 13:09
andymai:還是沒救到那間公司和那些使用者啊... 02/21 13:10
andymai:就像我覺得HTC很爛!但我既不是他們的客戶~也不是股東~那我 02/21 13:19
andymai:到底憑什麼跑到人家面前要求人家改善???就讓市場去決定吧! 02/21 13:20
TonyQ:盲點在於真的有人去做也不需要跟你報備啊,等著看一個月內 02/21 13:32
TonyQ:有沒有人修吧。(笑 02/21 13:33
TonyQ:不要預設太多事情,慢慢等著看吧 02/21 13:34
TonyQ:不過是說公佈漏洞你上次挑的是簡單跟危險性高的xss, 02/21 13:40
TonyQ:這次這個看起來條件多了不少,不那麼公平啊(笑 02/21 13:41
TonyQ:還是來查查 remote execution 他們修了沒好了 :p 02/21 13:42
JokerCatz:挑那個跑分就知道,上面那個要打的啊XD我兩年不能犯案哩 02/21 13:50
yauhh:換我來就是在旁邊寄個信提醒提醒,有辦法就把demo寫成文件 02/21 14:42
yauhh:告知就好了. 因為我知道我個人的責任義務及權力就那麼大而已 02/21 14:43
pcyu16:如果在網路公開網站的漏洞 這會造成法律問題嗎? 02/21 14:49
luciferii:丟 Qualys Scan的垃圾結果出來..我確認你只是想吵架 02/21 15:30
xvid:你可以找防毒版的嗨嗨每個人交朋友 02/21 17:41
Winggy:...... 這個掃描結果基本上意義不大,連缺失都算不太上 02/21 19:58
Winggy:不知道貼出來的用意為何 ? 02/21 19:58
JokerCatz:單純的因為很多東西我不能貼就是了,所以只能貼這個|||| 02/22 09:31
JokerCatz:至於算不算缺失...SSL被輕易地解掉對方用GET作登入的LOG 02/22 09:32
JokerCatz:所以只要看到該網域的網址就偷到帳密,這算不算缺失? 02/22 09:32
JokerCatz:對我公司算是就是了,而他們還有很嚴重的flow的問題.... 02/22 09:47
JokerCatz:其他的就太詳細了Orz"...很抱歉 02/22 09:47
asdfghjklasd:喔喔出現了溫雞耶.....徒弟來了師父也來了 02/22 09:53
Winggy:這個要成為漏洞的前提是要介入雙方的通訊之中... 02/23 01:22
Winggy:如果被 MITM 了,那你該頭痛的事情比這個大很多 02/23 01:23
Winggy:整件事情說穿了,原本提醒完後就沒你的事情了 02/23 01:25
Winggy:對方要不要改善是他們的問題,但是你介入去 'POC' 以後 02/23 01:25
Winggy:依照我國的超讚無限上綱妨礙電腦使用罪你已經立於不勝了 02/23 01:27
Winggy:緩起訴已經是檢察官很開明很給你機會的最佳狀況 02/23 01:28
Winggy:如果下次你還要堅持問題沒修是對方的錯硬要其他人照你規矩 02/23 01:34
Winggy:做事,那被告真的只是剛好而已 02/23 01:35
Winggy:把別人的問題變成自己的刑事責任,這種要求還是第一次碰到 02/23 01:35
Winggy:勸你好好想想,不要枉費檢察官給你一次機會 02/23 01:41
JokerCatz:A...事情其實早結束了,我也只是單純的丟出話題討論罷了 02/23 11:08
JokerCatz:會不會再做不知道,不過至少不會讓自己變得那麼麻煩就是 02/23 11:09
este1a:私人的不行,公家的可以 02/23 17:08
luciferii:據之前某人經驗,臺灣檢察官喜歡表面說你很強,然後背 02/23 22:38
luciferii:後捅一刀。這次沒事是走運,還是建議去拜拜一下。 02/23 22:39