能力值:
( LV3,RANK:20 )
|
-
-
26 楼
不修复为什么就要公布出来?这不是就是威胁吗?活该被关
|
能力值:
( LV4,RANK:50 )
|
-
-
27 楼
我看到大多数被曝光的漏洞都是大厂商,曝光者通过这些厂商要么可以得到钱,要么可以得到名,为什么小网站没有被帮助检查漏洞?这说明这些人的目的本来就是不纯洁的,又怎么保证他们是真的为厂商着想?
|
能力值:
( LV2,RANK:10 )
|
-
-
28 楼
现在你是看不到了,不然你可以看看所谓的得名都是圈内一点小名,这是应该的,至于钱,呵呵,看看那些所谓的大厂,又有几个买账的,你要知道厂商在这些平台是无需支付任何费用,完全出于自愿的,所以礼物成了买账手段,但是这些大厂一年收到的漏洞反馈和礼物数根本不成正比,你关注的点一直都在于对发布漏洞的人的利益上,而完全不在乎厂商的利益,你要知道 漏洞被发现也不可能凭空修补,难道非得等到网站被脱裤,厂商和用户的利益受到威胁的时候你才希望当初有个人能提前告知这个漏洞吗?
|
能力值:
( LV7,RANK:100 )
|
-
-
29 楼
肯定是一些人干私活了,嘿嘿。本来出发点是好的,理想化了,开出来的时候俺就不看好。
|
能力值:
( LV2,RANK:10 )
|
-
-
30 楼
那么久了
|
能力值:
( LV4,RANK:50 )
|
-
-
31 楼
看样子是开不了了
|
能力值:
( LV2,RANK:10 )
|
-
-
32 楼
关了1个多月了,看着有点悬...
|
能力值:
( LV5,RANK:70 )
|
-
-
33 楼
当你手握漏洞的时候,你就不是真正的你了。对于漏洞披露这一块,个人感觉不能完全照办老外那一套模式。有些厂家不愿给漏洞买单,也有情可原。这就好比一个人得了病,医生告诉他后,治与不治,那是他个人的权利。同样的,厂家对漏洞不理睬,充其量那是厂家不注重用户安全问题,那算是厂家道德问题,没有法律上面的义务。漏洞本身只是个技术名词,但是漏洞后面的金矿那可是一堆一堆的。就好比剑,用好了,可以防身,用不好了,那就是害人害己。漏洞亦然。乌云被关,本身是应该有些问题,至少不会“欲加之罪何患无辞”吧。至少目前这个世道还没到那个地步。若真是心中悬着一把“法”的剑,一直走下去那就不成问题。最后,还是希望乌云能够重开。
|
能力值:
( LV4,RANK:50 )
|
-
-
34 楼
按照你的说法,这个医生是跑到人家家里不管别人同意不同意就给他诊断,然后诊断出艾滋病,对患者说,你得了艾滋病,要赶快治,你要是没钱或者不想治,那过几天我就让全世界知道你得了艾滋病。这合理吗?
|
能力值:
( LV5,RANK:70 )
|
-
-
35 楼
病人---> 查出病因。 前提是得先有病人。病人自己同不同意检查病因,这里面涉及所有权的问题,什么权利?决定同不同意的权利。对于真正的个人,这个很容易实行和监管,你自己同意检查就检查,不同意检查而被强制检查,这首先就侵犯了人权,已经算是民事犯罪了,至于后面该怎么处理就处理,谁犯事抓谁。然而对于厂商的产品,我请问你怎么做到如同人一直能够自主做出决定?软件能自己说话吗?显然不行。所以这就涉及对于软件产品的修改和检测所有权的归属问题,显然对于网络这种虚拟产品来说,我们不能按照人权的那种模式来套,也就是说我在挖一个软件的漏洞前是否应该征得厂家或者软件本身的同意,至于应不应该给软件建立一套权利,这个我不讨论。从目前的形式来看,显然是先斩后奏啊,不过现在各大厂家也开始鼓励挖掘自己产品的漏洞。写到这,不晓得,你认为我的那个假设是否合理。
|
能力值:
( LV4,RANK:50 )
|
-
-
36 楼
所以说乌云扮演的角色就是强行给人家做检查,人家本来不知道自己有病,然后被检查出来有病,可能这个病在不知道的情况下并没有什么大的危害,但是如果别人告诉你有病,然后告诉所有人你有病,这就可能造成比你不知道你有病更严重的影响了
|
能力值:
( LV9,RANK:410 )
|
-
-
37 楼
这方面的服务应该还会继续的。无论哪个立场,都会支持更透明的服务。但要杜绝擦边球则需要各方的努力。
|
能力值:
( LV2,RANK:10 )
|
-
-
38 楼
比方说 某个人有QQ的漏洞,可以随意登陆任意QQ没有任何记录,而这个人刚开始是想发到乌云上的,但是乌云关闭了就把漏洞私藏了,虽然他本人没有恶意,但是被别人知道了,其中包括你,而这个漏洞也存在了很久很久都没被腾讯发现并修复,就问你方不方,这个时候如果有黑市想要收他的漏洞,可能会出几十万几百万,是个人都会心动,这样漏洞的危害就一瞬间被放到了最大,就问你方不方
|
能力值:
( LV2,RANK:10 )
|
-
-
39 楼
恩 过了G20 乌云应该会回归吧
|
能力值:
( LV4,RANK:50 )
|
-
-
40 楼
我认为他要是没有功利目的,完全可以直接告诉腾讯,不必通过什么乌云,告诉乌云就相当于多一批人知道(就是高级白帽子),这样危害的可能性更大了。如果是想为厂商着想,发现漏洞直接告诉厂商就行了,何必借其他人之口呢?多一个人知道,保密性就下降一分。
|
能力值:
( LV2,RANK:10 )
|
-
-
41 楼
http://www.360doc.com/content/15/0113/20/14106735_440521657.shtml
乌云可以给你名气,让你得到圈内认可,但是腾讯给不了,腾讯只会给你一封感谢信,就算按你说的出于利益,我不可能完全为厂商着想什么都不要,而乌云能给机会,甚至以后还可以靠这些来换取更多公司的青睐,反正无论怎么做,直接给厂商提交漏洞永远是最不明智的选择。谁都有私心,但是这点私心很正常也对其他人无害,你要说对厂商有害?那写这些程序的程序猿是不是应该第一个拉出来先批斗,毕竟没他们写程序哪来的漏洞,你说不是吗?
|
能力值:
( LV4,RANK:50 )
|
-
-
42 楼
最后一段我不认同,任何程序都不可能是完美的,更何况是大型项目,错误是难免的,这也不能怪程序员,哪个程序员敢说自己写的程序没有任何错误??为了名气费尽脑汁去探寻别人的网站或者程序的错误,这本身就是不道德的。就像一个小偷为了证明自己技术高超到处去寻找合适的下手目标一样,这也是不合法的。除了一些安全厂商自己测试产品的时候欢迎别人来找茬以外,没有哪个厂商愿意被这样的一群人天天盯着自己,找自己的问题,这就很说明问题了---你做的事别人不想让你做,你偏要对别人做,那这就是强权主义!
|
能力值:
( LV2,RANK:10 )
|
-
-
43 楼
不去怪程序猿做出不完美程序而去怪挖洞的人挖到洞么?
|
能力值:
( LV2,RANK:10 )
|
-
-
44 楼
各自的角度不一样,谁也不可以强行要求别人按自己的想法来,乌云错在没有合理的应诉机制,本身就在可抓可不抓之间,其实做个美国服务器的连接就什么问题也没有
|
能力值:
( LV4,RANK:50 )
|
-
-
45 楼
那你这样说的话,难道小偷到你家看看有没有什么好偷的的行为没错,反而要怪你自己的家没做好所有的防盗措施了???抢银行的人没错,反而错在银行安保力量不足了??
|
能力值:
( LV2,RANK:10 )
|
-
-
46 楼
按你说的 挖洞就是一种犯罪,那那些曾经的数不尽的高危漏洞都是犯罪分子帮助修复的,那是不是应该把他们都抓起来,好让你的电脑充满各种高危漏洞,你不应该忘记这群人才是推动安全发展的关键,就像之前的三叉戟漏洞,你是希望所有漏洞都被掌握到那种人手里吗
|
能力值:
( LV4,RANK:50 )
|
-
-
47 楼
乌云的存在是鼓励那些有技术的人去寻找漏洞,他们之所以能够修复漏洞首先是他们非法挖掘别人产品的漏洞,假如他们偶然发现这个漏洞,告诉产品生产者是好事,但是通过各种平台去传播就是违法行为了,因为谁也不知道你传播的平台是不是真的正义。如果这个平台本身就有问题,而又通过各种方式鼓励有技术的人去挖掘漏洞,这就可怕了。而且你说的“犯罪分子”修复漏洞,请问既然是“犯罪分子”,为什么不可以抓起来?难道杀人犯杀了人再救一个人就不是罪犯了吗??在他们修复一个漏洞之前,必定有无数个被他们非法利用的漏洞来锻炼他们的这种技术吧。
|
能力值:
( LV2,RANK:10 )
|
-
-
48 楼
你瞬间否定了所有漏洞平台和悬赏机制,微软谷歌那些企业竟然付钱给那些非法份子,而不是去告他们挖掘自家产品漏洞
|
能力值:
( LV4,RANK:50 )
|
-
-
49 楼
非常赞同你的观点,即使不被白帽子们挖掘出来,但不代表其他有黑客就找不到,不能掩耳盗铃
|
能力值:
( LV3,RANK:30 )
|
-
-
50 楼
哎,看评论看不下去了,我只想说你们心中对乌云美化了,他提供一个良好的平台良好的氛围,这个毋庸置疑,但是只是厂商说泄露数据这么简单?封了这么久,是个人也能知道,他们获取数据,对数据经行怎样的加工‘处理’,点到为止~所以不要再瞎吵了,不如多给看雪这个平台做点贡献,你不贡献我不贡献谁来贡献?你也索取我也索取,向谁索取?(ps:虽然我在看雪是小白,但是不影响我发表意见吧~)
|
|
|