LINUX.ORG.RU

ГД РФ приняла в первом чтении закон о «Белых хакерах»

 ,

ГД РФ приняла в первом чтении закон о «Белых хакерах»

4

3

Госдума приняла в первом чтении законопроект о праве «белых хакеров» бесплатно и без разрешения автора изучать программу для электронно-вычислительных машин (ЭВМ) в целях выявления недостатков.
Изменения касаются статьи 1280 части 4 Гражданского Кодекса.


Лицо, правомерно владеющее экземпляром программы для ЭВМ
или экземпляром базы данных, (пользователь) вправе без разрешения автора
или иного правообладателя и без выплаты дополнительного вознаграждения
изучать, исследовать или испытывать функционирование такой программы и
(или) базы данных в целях выявления недостатков для их безопасного
использования или поручить иным лицам осуществить эти действия при
соблюдении следующих условий:


  • указанные действия осуществляются исключительно в
    отношении экземпляров программ для ЭВМ и (или) базы данных,
    функционирующих на технических средствах пользователя;
  • выявленная пользователем или лицом, действующим по его
    поручению, информация о недостатках не может быть передана
    третьим лицам, за исключением правообладателя и (или) лица,
    осуществляющего переработку программы для ЭВМ и (или) базы
    данных с согласия правообладателя, если иное не установлено
    законом.
  • Лицо, выявившее недостатки безопасного использования
    программы для ЭВМ и (или) базы данных, обязано сообщить о них
    правообладателю в течение пяти рабочих дней со дня их выявления, за
    исключением случая если в результате предпринятых им разумных и
    достаточных мер ему не удалось установить его место нахождения, место
    жительства или адрес для переписки.".


>>> Подробности

★★★★★

Проверено: dataman ()
Последнее исправление: dataman (всего исправлений: 1)

То-то в универе говорили нам «не будьте хацкерами, посадють» - теперь наконец-то не посадють. Ну, это только если передал информацию хз кому по адресу прописки в течение календарной недели.

Bfgeshka ★★★★★
()

Звучит, будто не запретили что-то ещё (к этому мы привыкли — постоянно что-то запрещают), а будто бы наоборот что-то разрешили. Так не бывает. В чём подвох?

CrX ★★★★★
()

информация о недостатках не может быть передана третьим лицам, за исключением правообладателя

То есть публиковать инфу о найденных уязвимостях по-прежнему нельзя.

LamerOk ★★★★★
()
Ответ на: комментарий от Bfgeshka

То-то в универе говорили нам «не будьте хацкерами, посадють»

Гнать пинками идиотов, которые путают хакеров и крякеров.

AS ★★★★★
()
Ответ на: комментарий от CrX

Так не бывает. В чём подвох?

Подвох в том, что слова «разрешили» означают «запретили».

Явным образом ЗАПРЕТИЛИ рассказывать об уязвимостях кому-либо кроме правообладателя. Причем так сформулировано все, что даже для большинства Open Source программ, потому что емнип только в GPL есть что-то про свободу изучать, да и то надо перечитать.

praseodim ★★★★★
()
Ответ на: комментарий от LamerOk

То есть публиковать инфу о найденных уязвимостях по-прежнему нельзя.

Не по-прежнему нельзя, а явно сформулировали, что НИЗЗЯ. До сих пор это была «серая зона» и в целом практика состояла в том, что для общественного блага таки можно было публиковать.

Теперь, если нашел в каком-то софте хоть явную закладку, самый гнусный слив своих данных и т.д и тп., нельзя об этом сообщать. Ну приехали.

praseodim ★★★★★
()
Ответ на: комментарий от praseodim

ЗАПРЕТИЛИ рассказывать об уязвимостях кому-либо кроме правообладателя.

Ага, и еще можно ломать только что-то на локалхосте

goingUp ★★★★★
()

По-моему, там что-то подобное, но в другой формулировке было. Но не надо было передавать правообладателю ничего.

Wapieth
()
Ответ на: комментарий от CrX

В чём подвох?

Как минимум, в двух пунктах:

- Теперь ты не можешь рассказывать об уязвимостях публично, только сообщать о них правообладателю.

- Закон не распространяется на сетевые сервисы (разрешен только программ для ЭВМ и (или) базы данных, функционирующих на технических средствах пользователя), то есть белый хакинг все так же не разрешен для львиной доли уязвимых систем.

Xintrea ★★★★★
()
Ответ на: комментарий от cocucka_B_TECTE

Теперь официально «да, но нет». LOL. Потому что такое изучение «разрешили», но обставили заапретами. Для себя можешь, но молчи в тряпочку, что наизучал, при этом строго обязан MS или Adobe сообщить, что ты там наизучал плохого. В течение 5 рабочих дней...

praseodim ★★★★★
()

белых хакеров

Рэйсист же.

Позитивные хакеры)

frunobulax ★★★
()

Нашел дырень в отечественном ПО - сиди и молчи, отправь имейл разработчику, может когда-то пофиксят)

goingUp ★★★★★
()
Ответ на: комментарий от Xintrea

- Теперь ты не можешь рассказывать об уязвимостях публично, только сообщать о них правообладателю.

Ага, сразу обратил внимание. То есть, это не разрешительный, а по сути, запретительный закон. Причем очень вредный, причем по смыслу он даже OpenSource программ может коснуться, так как формально, лицензии кроме GPL я не помню, чтобы пункт про изучение содержали.

praseodim ★★★★★
()

А где парный к этому закон, о том, что правообладатель в течение пяти дней обязан дырочку закрыть?

Irma ★★
()
Ответ на: комментарий от Irma

Отсутствует механизм определения даты выявления, спите спокойно, товарищи.

Это уже игра в прятки.

praseodim ★★★★★
()
Ответ на: комментарий от Irma

правообладатель в течение пяти дней обязан дырочку закрыть?

Зачем ее закрывать, если о ней никто легально не сообщит)

goingUp ★★★★★
()

А вообще этот закон явно написан под крупные компании, у которых действительно могла быть проблема в обеспечении собственной безопасности. Чтобы им можно было совершенно легально проводить для СЕБЯ аудит софта.

Ни о каком общественном благе и действиях частных исследователей тут речи не идет, наоборот, их придушивают этим законом.

praseodim ★★★★★
()

Приплыли.

Эзопов язык теперь применять и для сообщений о том, что надо срочно какую-то софтину перенастроить, чтобы тот же 152-ФЗ не нарушить?

mogwai ★★★★★
()

Закон ни о чём, как и все их продукты жизнедеятельности.

kirill_rrr ★★★★★
()
Ответ на: комментарий от CrX

выявленная пользователем или лицом, действующим по его поручению, информация о недостатках не может быть передана третьим лицам,

Лицо, выявившее недостатки безопасного использования программы для ЭВМ и (или) базы данных, обязано сообщить о них правообладателю в течение пяти рабочих дней со дня их выявления

kirill_rrr ★★★★★
()
Последнее исправление: kirill_rrr (всего исправлений: 2)
Ответ на: комментарий от mogwai

Эзопов язык теперь применять и для сообщений о том, что надо срочно какую-то софтину перенастроить, чтобы тот же 152-ФЗ не нарушить?

Ага. А сайты с CVE видимо роскомнадзорить будут.

praseodim ★★★★★
()
Ответ на: комментарий от praseodim

О, точно. Кто бы мог подумать, что абсолютно не компетентные в юриспруденции люди найдут в законе дыру размером с Тихий Океан в течении менее чем 2-х часов... И это не по всему тексту, а только по 3-м абзацам.

kirill_rrr ★★★★★
()
Последнее исправление: kirill_rrr (всего исправлений: 1)

Это напоминает как они разрешили собирать валежник. Такое разрешение хуже любого запрета.

screamager
()
Ответ на: комментарий от praseodim

Эх. Пора совсем из этого вашего айти уходить, не дадут житья иначе.

mogwai ★★★★★
()
Ответ на: комментарий от screamager

А я всё не могу забыть чипирование домашних животных. Ну, например диких голуей и крыс, живущих в Н.П. Полностью соответствует требованию закона.

kirill_rrr ★★★★★
()
Ответ на: комментарий от AS

Гнать пинками идиотов, которые путают хакеров и крякеров.

А так же тех кто не отличает их от кукеров и закладкеров.

Jameson ★★★★★
()
Ответ на: комментарий от CrX

В чём подвох?

Я так понимаю ты не можешь требовать за это денежное вознаграждение а обязан это предоставить бесплатно.

mx__ ★★★★★
()

Здесь могла быть отличная шутка про негров, но я её не придумал.

perl5_guy ★★★★★
()

На фото горизонт завален или кажется?

rumgot ★★★★★
()

Наконец-то можно быть легально кулхацкером. Достаём свою Kali и начинаем трали-вали …

Desmond_Hume ★★★★★
()
Последнее исправление: Desmond_Hume (всего исправлений: 1)
Ответ на: комментарий от CrX

Запретили пункты лицензий о запрете реверса. Т.к. ты всегда можешь сказать что реверсишь в целях поиска дефектов.

firkax ★★★★★
()
Последнее исправление: firkax (всего исправлений: 1)
Ответ на: комментарий от mx__

Этически спорный момент, с одной стороны, правило хорошего тона заплатить за найденную уязвимость, с другой стороны требовать деньги чем-то на шантаж может походить.

praseodim ★★★★★
()
Ответ на: комментарий от praseodim

Как я понял в данном случае ты не можешь требовать, а обязан сообщить.

mx__ ★★★★★
()

В общем, искать дыры в Великих Отечественных Дистрибутивах - низя. Гарантированно найдется такой правообладатель цельнотянутого кода, которому ты не сообщил - и добро пожаловать под статью.

Adamos ★★
()
Ответ на: комментарий от mx__

Именно так, а если требуешь денег, значит это уже статья (ролик с жирным человеком и репликой: Тьфу на тебя!)

zxflux
()
Ответ на: комментарий от firkax

Они их сохранили, причем в некотором роде даже в худшем виде, т.к. ранее возможны были разные трактовки, апеллирующие к общественному благу, в случае публикации сведений, а сейчас явно сказали, что «нашел - молчи, правообладателю обязательно сообщай»

praseodim ★★★★★
()
Ответ на: комментарий от mx__

А, ну да. В опенсорсе имеется разрешение автора, соответственно можешь искать баги и не обязан никуда сообщать.

firkax ★★★★★
()
Последнее исправление: firkax (всего исправлений: 1)
Ответ на: комментарий от Bfgeshka

Сначала посадют, а потом дадут комп и задачи – если не хочешь сидеть как все. Обычно это так происходит.

snizovtsev ★★★★★
()
Ответ на: комментарий от praseodim

Ничего не сохранили, чтоб найти надо реверсить, значит реверсить можно. Вот будут у тебя на компе декомпилированные исходники винды - и за них тебя нельзя будет посадить - ведь это ты баги в ней ищешь. А сообщал ли ты про найденные баги, да и нашёл ли хоть один баг вообще - это уже другая история которую надо отдельно доказывать.

firkax ★★★★★
()
Ответ на: комментарий от CrX

Запретили не рассказывать о найденных дырах подолгу.

thegoldone ★★
()

Не подкачали, формулировки всё таки же косолапые как и всегда. Да ещё и явно запретили выкладывать информацию в паблик, чтобы привлечь внимание. Воистину лучше бы ничего не делали.

ox55ff ★★★★★
()
Для того чтобы оставить комментарий войдите или зарегистрируйтесь.