Но даже в таком случае, мне всё равно было бы неприятно как инженеру, что РЖД использует такие дырявые турникеты, которые так или иначе были куплены с привлечением уплаченных мною денег. Это подмочило бы репутацию компании в моих глазах.
Ну так мы с вами обсуждаем публикацию информации, порочащей репутации компании. И вы сейчас говорите о своих впечатлениях, а не об эффективности технологического решения и его достаточности для заказчика. Думать о нем вы можете что угодно, у каждого своё мировоззрение, только вот я не вижу оснований для требований, а Che Burashka требует и угрожает.
Я думаю в любой технологической (и не только) компании, есть вещи, которых они могли бы постыдиться, но они есть по той или иной причине. И это не повод кричать: «Я, meG@Duc, расскажу всем как хреново устроены солонки в этой компании, требую, чтобы они немедленно использовали другие». Тем более, когда это не касается напрямую клиентов этой компании. И со стороны владельца бизнеса, «кухню» которого публично вскрывают — это выглядело бы неэтично, отпугивало бы новых сотрудников, портило бы репутацию, снижало бы прибыли. Но у нас в стране интересы бизнеса не очень рассматриваются. Бизнесмен в глазах российского обывателя по-умолчанию обманщик, вор, наживающийся на простых смертных, поэтому уличить его в чем-то этаком практически цель каждого клиента, а публичное обличение вызывает предсказуемое одобрение. Но тут уже меня понесло немного.
Вернусь к РЖД и «зайцам». Вот Che Burashka подмочили карму РЖД, а чего они добиваются угрозами, какая цель у них? Чтобы РЖД признали: «Ок, наши турникеты легко обойти», ввалили кучу денег на обновление турникетов, валидаторов, касс и прочего оборудования, поставило по часовому у каждого прохода, потом подняли цены за билеты, усложнили процедуру покупки билета? И все, вот теперь благодать, миссия выполнена, а зайцы как просачивались, так и просачиваются, только другими способами, гораздо более тривиальными. Спасибо, белые хакеры :)
В общем смысле с вами соглашусь, по поводу привлечения к ответственности не совсем все очевидно и однозначно. Но в частном, как хозяин квартиры, которого обокрали благодаря вот такому вот коллеге, я бы однозначно знал виновного и требовал крови ответственности. У меня не повернется язык назвать его этичным вором, а у вас повернется?
Что касается налогов, прибыли РЖД и что куда тратится — уже отписывался выше — все опять же неоднозначно, вы хотите доплачивать 100 рублей в качестве компенсации потерь от зайцев или 110 рублей за обеспечение и поддержку защиты от зайцев, например? Вы же не требуете от супермаркетов лучше следить за ворами, потому что компенсация за воровство заложена в стоимости товаров? Еще вопросик: вы бы предпочли не доплачивать компенсацию за воровство в супермаркете, но проходить полный досмотр на выходе? Или доплатить и вообще охраны не видеть?
Согласен, ваша версия ближе к текущей ситуации, только добавьте еще что-то вроде того:
Я требую устранить уязвимость, иначе опубликую полную информацию для вскрытия твоей квартиры
Что касается налогов и что там в стоимости проезда — это все же относится к области догадок, тем более что РЖД не на одни дотации живет, хотя согласен, что доля истины есть. Только вот что вы скажете, когда на устранение уязвимости и поддержку её в актуальном состоянии пойдет еще больше наших с вами налогов и цена билета вырастет еще больше? Поэтому я считаю, что все же не нам с вами судить как РЖД планировать свой бюджет и на что им лучше тратить доходы.
Плюс — обращаю ваше внимание на то, что претензии предъявляются не непосредственно заказчику и эксплуататору системы защиты, а разработчику системы защиты. А что если заказчиком был оплачен именно такой уровень защиты и он посчитал его достаточным, вы же не будете винить производителя шпингалета, который вы установили в свой коттедж, когда вашу дверь вынесут ногой?
А мне кажется, что это тот случай, когда обнародовавших уязвимость должны привлечь к ответственности.
Объясню почему: от этой уязвимости не страдают третьи лица, страдает только конкретная компания, и это сугубо их дело. Я не исключаю даже того, что РЖД были уведомлены, что система не обеспечивает полной защиты и легко обходится, но посчитали, что дешевле обеспечить такой простой уровень валидации. Турникеты в конце концов вообще перепрыгнуть можно.
Приведу пример не из сферы IT: я, уходя из дома, каждый день закрываю свою металлическую дверь на 3 оборота суперсовременного замка и считаю такую защиту достаточной, но ключи кладу в свою куртку и вешаю её на вешалку возле рабочего места. Я понимаю, что несу определенные риски. И вот мой коллега meG@Duc узнал где у меня ключи, когда меня нет на рабочем месте и посчитал своим долгом рассказать всем (в том числе воровскому сообществу):
«Я, meG@Duc, обнаружил уязвимость защиты квартиры своего коллеги! Его нет на рабочем месте с 14:00 до 15:00, он работает в компании «Рога и копыта», вход на территорию свободный, я уже 3 раза побывал в его квартире (конечно ничего не брал, ведь я этичный хакер). Это позор для его личной безопасности. Требую обеспечить должную защиту жилища!»
Аналогия, как вы понимаете — из рассказа про хакера с солонкой, но даже та история с солонками менее абсурдна, т.к в той истории хотя бы страдали третьи лица. И вот благодаря действиям этого господина, мою квартиру обносят, можно ли квалифицировать его деяния как содействие совершению преступления? Я считаю, что да
Ну так мы с вами обсуждаем публикацию информации, порочащей репутации компании. И вы сейчас говорите о своих впечатлениях, а не об эффективности технологического решения и его достаточности для заказчика. Думать о нем вы можете что угодно, у каждого своё мировоззрение, только вот я не вижу оснований для требований, а Che Burashka требует и угрожает.
Я думаю в любой технологической (и не только) компании, есть вещи, которых они могли бы постыдиться, но они есть по той или иной причине. И это не повод кричать: «Я, meG@Duc, расскажу всем как хреново устроены солонки в этой компании, требую, чтобы они немедленно использовали другие». Тем более, когда это не касается напрямую клиентов этой компании. И со стороны владельца бизнеса, «кухню» которого публично вскрывают — это выглядело бы неэтично, отпугивало бы новых сотрудников, портило бы репутацию, снижало бы прибыли. Но у нас в стране интересы бизнеса не очень рассматриваются. Бизнесмен в глазах российского обывателя по-умолчанию обманщик, вор, наживающийся на простых смертных, поэтому уличить его в чем-то этаком практически цель каждого клиента, а публичное обличение вызывает предсказуемое одобрение. Но тут уже меня понесло немного.
Вернусь к РЖД и «зайцам». Вот Che Burashka подмочили карму РЖД, а чего они добиваются угрозами, какая цель у них? Чтобы РЖД признали: «Ок, наши турникеты легко обойти», ввалили кучу денег на обновление турникетов, валидаторов, касс и прочего оборудования, поставило по часовому у каждого прохода, потом подняли цены за билеты, усложнили процедуру покупки билета? И все, вот теперь благодать, миссия выполнена, а зайцы как просачивались, так и просачиваются, только другими способами, гораздо более тривиальными. Спасибо, белые хакеры :)
кровиответственности. У меня не повернется язык назвать его этичным вором, а у вас повернется?Что касается налогов, прибыли РЖД и что куда тратится — уже отписывался выше — все опять же неоднозначно, вы хотите доплачивать 100 рублей в качестве компенсации потерь от зайцев или 110 рублей за обеспечение и поддержку защиты от зайцев, например? Вы же не требуете от супермаркетов лучше следить за ворами, потому что компенсация за воровство заложена в стоимости товаров? Еще вопросик: вы бы предпочли не доплачивать компенсацию за воровство в супермаркете, но проходить полный досмотр на выходе? Или доплатить и вообще охраны не видеть?
Что касается налогов и что там в стоимости проезда — это все же относится к области догадок, тем более что РЖД не на одни дотации живет, хотя согласен, что доля истины есть. Только вот что вы скажете, когда на устранение уязвимости и поддержку её в актуальном состоянии пойдет еще больше наших с вами налогов и цена билета вырастет еще больше? Поэтому я считаю, что все же не нам с вами судить как РЖД планировать свой бюджет и на что им лучше тратить доходы.
Плюс — обращаю ваше внимание на то, что претензии предъявляются не непосредственно заказчику и эксплуататору системы защиты, а разработчику системы защиты. А что если заказчиком был оплачен именно такой уровень защиты и он посчитал его достаточным, вы же не будете винить производителя шпингалета, который вы установили в свой коттедж, когда вашу дверь вынесут ногой?
Объясню почему: от этой уязвимости не страдают третьи лица, страдает только конкретная компания, и это сугубо их дело. Я не исключаю даже того, что РЖД были уведомлены, что система не обеспечивает полной защиты и легко обходится, но посчитали, что дешевле обеспечить такой простой уровень валидации. Турникеты в конце концов вообще перепрыгнуть можно.
Приведу пример не из сферы IT: я, уходя из дома, каждый день закрываю свою металлическую дверь на 3 оборота суперсовременного замка и считаю такую защиту достаточной, но ключи кладу в свою куртку и вешаю её на вешалку возле рабочего места. Я понимаю, что несу определенные риски. И вот мой коллега meG@Duc узнал где у меня ключи, когда меня нет на рабочем месте и посчитал своим долгом рассказать всем (в том числе воровскому сообществу): Аналогия, как вы понимаете — из рассказа про хакера с солонкой, но даже та история с солонками менее абсурдна, т.к в той истории хотя бы страдали третьи лица. И вот благодаря действиям этого господина, мою квартиру обносят, можно ли квалифицировать его деяния как содействие совершению преступления? Я считаю, что да