ГД РФ приняла в первом чтении закон о «Белых хакерах»

То-то в универе говорили нам «не будьте хацкерами, посадють» - теперь наконец-то не посадють. Ну, это только если передал информацию хз кому по адресу прописки в течение календарной недели.

Звучит, будто не запретили что-то ещё (к этому мы привыкли — постоянно что-то запрещают), а будто бы наоборот что-то разрешили. Так не бывает. В чём подвох?

информация о недостатках не может быть передана третьим лицам, за исключением правообладателя

То есть публиковать инфу о найденных уязвимостях по-прежнему нельзя.

То-то в универе говорили нам «не будьте хацкерами, посадють»

Гнать пинками идиотов, которые путают хакеров и крякеров.

Так не бывает. В чём подвох?

Подвох в том, что слова «разрешили» означают «запретили».

Явным образом ЗАПРЕТИЛИ рассказывать об уязвимостях кому-либо кроме правообладателя. Причем так сформулировано все, что даже для большинства Open Source программ, потому что емнип только в GPL есть что-то про свободу изучать, да и то надо перечитать.

То есть публиковать инфу о найденных уязвимостях по-прежнему нельзя.

Не по-прежнему нельзя, а явно сформулировали, что НИЗЗЯ. До сих пор это была «серая зона» и в целом практика состояла в том, что для общественного блага таки можно было публиковать.

Теперь, если нашел в каком-то софте хоть явную закладку, самый гнусный слив своих данных и т.д и тп., нельзя об этом сообщать. Ну приехали.

Теперь официально можно «изучать» фотошоп и винду?

ЗАПРЕТИЛИ рассказывать об уязвимостях кому-либо кроме правообладателя.

Ага, и еще можно ломать только что-то на локалхосте

По-моему, там что-то подобное, но в другой формулировке было. Но не надо было передавать правообладателю ничего.

В чём подвох?

Как минимум, в двух пунктах:

- Теперь ты не можешь рассказывать об уязвимостях публично, только сообщать о них правообладателю.

- Закон не распространяется на сетевые сервисы (разрешен только программ для ЭВМ и (или) базы данных, функционирующих на технических средствах пользователя), то есть белый хакинг все так же не разрешен для львиной доли уязвимых систем.

Теперь официально «да, но нет». LOL. Потому что такое изучение «разрешили», но обставили заапретами. Для себя можешь, но молчи в тряпочку, что наизучал, при этом строго обязан MS или Adobe сообщить, что ты там наизучал плохого. В течение 5 рабочих дней...

белых хакеров

Рэйсист же.

Позитивные хакеры)

Отсутствует механизм определения даты выявления, спите спокойно, товарищи.

Нашел дырень в отечественном ПО - сиди и молчи, отправь имейл разработчику, может когда-то пофиксят)

- Теперь ты не можешь рассказывать об уязвимостях публично, только сообщать о них правообладателю.

Ага, сразу обратил внимание. То есть, это не разрешительный, а по сути, запретительный закон. Причем очень вредный, причем по смыслу он даже OpenSource программ может коснуться, так как формально, лицензии кроме GPL я не помню, чтобы пункт про изучение содержали.

А где парный к этому закон, о том, что правообладатель в течение пяти дней обязан дырочку закрыть?

Отсутствует механизм определения даты выявления, спите спокойно, товарищи.

Это уже игра в прятки.

правообладатель в течение пяти дней обязан дырочку закрыть?

Зачем ее закрывать, если о ней никто легально не сообщит)

А вообще этот закон явно написан под крупные компании, у которых действительно могла быть проблема в обеспечении собственной безопасности. Чтобы им можно было совершенно легально проводить для СЕБЯ аудит софта.

Ни о каком общественном благе и действиях частных исследователей тут речи не идет, наоборот, их придушивают этим законом.

Приплыли.

Эзопов язык теперь применять и для сообщений о том, что надо срочно какую-то софтину перенастроить, чтобы тот же 152-ФЗ не нарушить?

Закон ни о чём, как и все их продукты жизнедеятельности.

выявленная пользователем или лицом, действующим по его поручению, информация о недостатках не может быть передана третьим лицам,

Лицо, выявившее недостатки безопасного использования программы для ЭВМ и (или) базы данных, обязано сообщить о них правообладателю в течение пяти рабочих дней со дня их выявления

Эзопов язык теперь применять и для сообщений о том, что надо срочно какую-то софтину перенастроить, чтобы тот же 152-ФЗ не нарушить?

Ага. А сайты с CVE видимо роскомнадзорить будут.

Гнать пинками идиотов, которые путают хакеров и крякеров.

а в чём разница?

О, точно. Кто бы мог подумать, что абсолютно не компетентные в юриспруденции люди найдут в законе дыру размером с Тихий Океан в течении менее чем 2-х часов... И это не по всему тексту, а только по 3-м абзацам.

Это напоминает как они разрешили собирать валежник. Такое разрешение хуже любого запрета.

Эх. Пора совсем из этого вашего айти уходить, не дадут житья иначе.

А я всё не могу забыть чипирование домашних животных. Ну, например диких голуей и крыс, живущих в Н.П. Полностью соответствует требованию закона.

Гнать пинками идиотов, которые путают хакеров и крякеров.

А так же тех кто не отличает их от кукеров и закладкеров.

Жизни чёрных хакеров важны

В чём подвох?

Я так понимаю ты не можешь требовать за это денежное вознаграждение а обязан это предоставить бесплатно.

Здесь могла быть отличная шутка про негров, но я её не придумал.

На фото горизонт завален или кажется?

Не уверен, что они это дыренью считают, вполне может быть, что по их мнению, так и надо.

Наконец-то можно быть легально кулхацкером. Достаём свою Kali и начинаем трали-вали …

Запретили пункты лицензий о запрете реверса. Т.к. ты всегда можешь сказать что реверсишь в целях поиска дефектов.

Этически спорный момент, с одной стороны, правило хорошего тона заплатить за найденную уязвимость, с другой стороны требовать деньги чем-то на шантаж может походить.

Так это ж мечта идеологов опенсорса, что пользователи софта возвращают автору свой вклад.

Эти уязвимости кого надо уязвимости!

Как я понял в данном случае ты не можешь требовать, а обязан сообщить.

В общем, искать дыры в Великих Отечественных Дистрибутивах - низя. Гарантированно найдется такой правообладатель цельнотянутого кода, которому ты не сообщил - и добро пожаловать под статью.

Стоп. Вроде речь не про опен-сурце как раз.

Именно так, а если требуешь денег, значит это уже статья (ролик с жирным человеком и репликой: Тьфу на тебя!)

Они их сохранили, причем в некотором роде даже в худшем виде, т.к. ранее возможны были разные трактовки, апеллирующие к общественному благу, в случае публикации сведений, а сейчас явно сказали, что «нашел - молчи, правообладателю обязательно сообщай»

А, ну да. В опенсорсе имеется разрешение автора, соответственно можешь искать баги и не обязан никуда сообщать.

Сначала посадют, а потом дадут комп и задачи – если не хочешь сидеть как все. Обычно это так происходит.

А я, смотрю, ты в теме)))

Ничего не сохранили, чтоб найти надо реверсить, значит реверсить можно. Вот будут у тебя на компе декомпилированные исходники винды - и за них тебя нельзя будет посадить - ведь это ты баги в ней ищешь. А сообщал ли ты про найденные баги, да и нашёл ли хоть один баг вообще - это уже другая история которую надо отдельно доказывать.

Запретили не рассказывать о найденных дырах подолгу.

Не подкачали, формулировки всё таки же косолапые как и всегда. Да ещё и явно запретили выкладывать информацию в паблик, чтобы привлечь внимание. Воистину лучше бы ничего не делали.