17:30 < guzik> ile dni po poinformowaniu dostawcy o błędach w jego oprogramowaniu można o tym mówić publicznie?
17:30 < guzik> w sensie etyki
17:31 < guzik> jest jakoś zwyczajowo przyjęty termin?
17:31 <@ikt> miesiac ?
17:32 <@ikt> ^]: a o co sie rozchodzi ?
17:47 <@^C> guzik: Zapytaj dostawy.
17:47 <@^C> *dostawcy
18:25 <@s1m0n> Nie ma reguly. Niepisana umowa jest taka, zeby dac dostawcy rozsadny czas na poprawe bledu. Jesli z jego strony jest echo lub nie wyrobi
(pomijajac sytuacje w ktorych sie skontaktuje i stwierdzi zeby jeszcze sie wstrzymac z publikacja, poprosi o pomoc etc.), to sie publikuje.
18:28 <@s1m0n> Przez danie rozsadnego czasu rozumiem poinformowanie dostawcy o bledzie ze szczegolami lub bez oraz informacja, ze ma sie zamiar opublikowac
informacje o bledzie. Zapytac ile czasu by potrzebowali na poprawe bledow i voila
18:31 <@^C> hm
18:31 <@^C> a ja jestem przeciwny
18:31 <@^C> publikowaniu czegokolwiek
18:32 <@^C> jeżeli nie uzyskasz od dostawcy zgody na publikacje
18:32 <@^C> w szczególności zanim będzie poprawka
18:32 <@s1m0n> Wtedy nieopublikowane bledy sobie wisza, wisza, a inni wykorzystuja i wykorzystuja.
18:32 <@s1m0n> A tak to jest jakas mobilizacja:P
18:33 <@s1m0n> Ale masz racje.
18:33 <@^C> Myślałem, że nie mówimy o patologicznych sytuacjach.
18:33 <@s1m0n> Kazde podejscie ma swoje plusy i minusy.
18:33 <@s1m0n> Wielu juz spedzilo godziny na probie znalezienia kompromisu.
18:34 <@^]> guzik: a można wiedzieć co to za produkt?
18:34 <@s1m0n> Jesli nie wszystkie, to wiekszosc przypadkow wymaga osobnego rozwazenia za i przeciw.
18:34 <@^C> Ale takie publikowanie od czapy zwykle robi więcej złego niż dobrego.
18:35 <@^]> a może warto opublikować taką informację z łatką?
18:35 <@s1m0n> Nie jesli dostawca dba o te sprawy i rozwiazuje takie problemy profesjonalnie.
18:35 <@^C> s1m0n: A co jeżeli dostawca już nie istnieje?
18:35 <@^C> Albo nie supportuje produku sprzed X lat?
18:36 <@s1m0n> Wtedy juz pozostaje kwestia leniwych i/lub niedouczonych uzytkownikow/administratorow
18:36 <@^C> Wiesz, panią Czesie z księgowości zwykle jebie jakiś bo.
18:37 <@s1m0n> ^C: Wtedy to jest dobry czas aby przerzucic sie na cos innego lub we wlasnym zakresie poprawic *cos* jesli jest taka mozliwosc.
18:37 <@^]> a akurat pani Czesia z księgowości, którą ja znam jest bardzo kumata i problemy bezpieczeństwa nie są dla niej obojętne :)
18:37 <@^C> ^]: I klika exploity w excelowych makrach? :)
18:38 <@^]> nie, w perlu!
18:38 <@^C> to pies ją trącał.
18:38 <@^C> Myślałem, że to kobieta nowoczesna.
18:38 <@^C> A nie babochłop z brodą [
18:38 <@^C> ;[
18:38 <@s1m0n> Osobiscie jednak wole wiedziec, ze rozwiazanie z ktorego korzystam ma jakies bledy i w zwiazku z tym jakie zagrozenia wiaza sie z tym faktem.
18:39 <@s1m0n> Bleh, zamieszan zdanie ale chyba wiadomo co autor mial na mysli;]
18:39 <@^C> dobra
18:39 <@^C> zasadniczo żadne rozwiązanie nie jest dobre
18:39 <@^C> załóżmy, żę masz soft X
18:39 <@^C> a) opublikujesz -> bierzesz odpowiedzialność za użytkowników którym się ludzie wjebali przez buga
18:40 <@^C> b) nie opublikujesz -> ktoś jeszcze zrobi worma/chujumuju i będziesz pluł sobie w brodę, że nie opublikowałeś i nie ostrzegłeś świata
18:40 <@^C> więc generalnie po co szukać bugów
18:41 <@^C> bo jeżeli znajdziesz to co nie zrobisz
18:41 <@^C> to okażesz się WIELKIM CHUJEM
18:41 <@s1m0n> ;]
18:42 <@^]> dobra idę sobie
18:42 <@^]> nanra
18:42 <@^C> Jedyny akceptowalny przezemnie model:
18:42 <@s1m0n> Biorac pod uwage a i b dla mnie rachunek jest prosty;]
18:42 <@^C> info do dostawcy i koniec.
18:43 <@s1m0n> Zlewaja cie, co dalej?
18:43 <@^C> Zlewasz ich.
18:43 <@s1m0n> Kolegow po fachu tez zlewasz?
18:44 <@s1m0n> Nie sadze, mowisz im.
18:44 <@s1m0n> Oni mowia z kolei swoim kolegom.
18:44 <@s1m0n> Ktos opisuje to na blogu.
18:44 <@s1m0n> Ktos powie komus komu nie powinien
18:44 <@^C> Oj, jeżeli ktoś ma potrzebę dzielenia się swoją pracą
18:44 <@^C> to można to uznać za publikację.
18:44 <@s1m0n> To moze od razu lepiej wszystkim powiedziec?
18:45 <@^C> Generalnie jeżeli coś robisz, to weź za to odpowiedzialność.
18:45 <@s1m0n> Jak najbardziej.
18:46 <@guzik> napisałem im nawet sposoby na załatanie
18:46 <@guzik> i ogólny zarys poprawy
18:46 <@guzik> no nic poczekam jeszcze chwilę i ew. opublikuję jak wypuszczą poprawkę
18:47 <@s1m0n> A byli na tyle uprzejmi, ze chociaz odpowiedzieli.
18:47 <@s1m0n> ?09:41 <@guzik> pierwsza odpowiedź to – nie ma błędu
09:41 <@guzik> druga – nie udało nam się tego zasymulować
09:41 <@guzik> trzecia po moich _dokładnych_ wyjaśnieniach – przekażemy sprawę programiście
09:42 <@guzik> kolejna dziura – przekażemy sprawę *Prezesowi* i zadecyduje co zrobić
10:07 <@s1m0n> guzik: full profeska;-)
10:45 <@ikt> eskalacja sie to nazywa ;)
Ta rozmowa nie ma nic wspólnego z tym czym obecnie się zajmuję. W ogóle nie miałem na myśli oprogramowania, które dane wysyła za pomocą FTP bez TLS dzięki czemu możliwe jest podsłuchanie hasła. Ani na chwilę nie pomyślałem o oprogramowaniu, które korzystając ze wspomnianego wcześniej protokołu nie izoluje użytkownika w jego domowym katalogu, co umożliwia przejrzenie mu całej struktury katalogów. Nie chodzi mi również o podatność czegokolwiek na ataki DOS.
Niemniej cały czas ciepło myślę o nieświadomych zagrożeń programistach, którzy nie muszą wyjeżdżać ‘na zmywak’, bo potrafią za pomocą myszki stworzyć spory system.