Sitat av
ggda
Om jeg skal svare på disse
Åpne eller lukkede apier? Begge men de brukes til å finne feil i suppose
Er det sensitiv data som blir eksponert? Det har hendt, da har jeg rapportert (noen tilfeller gått til avisen)
Passiv eller aktiv rekognosering? Aktiv og passiv (lagde egen scanner for det)
Norsk eller utenlandsk mål? Norsk og uteland
Er det en kjent sårbarhet eller nulldag? Diverse sårbarhetet jeg finner som er spesefik til den nettsiden så definerer det som en slags "nulldag"
Har du kun dokumentert sikkerhetshullet eller har du også utnyttet hullet? Dokumenterer og rapporterer (Krever ikke penger)
Vil avsløringen føre til økonomiske tap for den det gjelder? Kan føre til økonomiske tap om feks datatilsynet blir involvert eller siden deres går ned grunnet feilen
Jeg merker jo at du ikke jobber med dette, men uansett:
Du kan ikke definere noe til å bli en nulldag når du laster den ned fra nettet slik du viser til.
Ansvarsfull publisering inkluderer både varsling, venting på at feil utbedres og offentlig publisering.
Det er vanskelig å mene noe når du ikke klarer å komme med et konkret eksempel da alle denne type avsløringer er forskjellige. Men aktive skanninger inkluderer jo i praksis innbruddsforsøk, så du kan fort komme i en situasjon hvor du blir beskyldt for forsøk på å bryte deg inn.
Noe sier meg at du spør om selve letingen etter sikkerhetshull er ulovlig og ikke publiseringen?