能力值:
( LV3,RANK:20 )
|
-
-
2 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
哎,都已是註定的事情,除非完全成為狗腿子,否則沒有重開的可能性。
可悲的官僚主義
|
能力值:
( LV4,RANK:50 )
|
-
-
4 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
做人难,做一个好人更难。这就是现在的真实写照。
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
*******。。。。。。。。。
|
能力值:
( LV4,RANK:50 )
|
-
-
7 楼
??********?
|
能力值:
( LV4,RANK:40 )
|
-
-
8 楼
可怜的乌云,为什么不用美国的服务器,
|
能力值:
( LV8,RANK:130 )
|
-
-
9 楼
乌云啊,~~~~(>_<)~~~~再也不能搞学习了,乌云你回来啊
|
能力值:
( LV7,RANK:110 )
|
-
-
10 楼
应该不会关吧,现在国家正重视信息安全。只是还没有健全法规而已,等着吧
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
静静的等待。。。。。。
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
与其听信谣言,不如相信乌云
|
能力值:
( LV4,RANK:50 )
|
-
-
13 楼
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
[QUOTE=lixinwk;1439792]是官僚主义还是乌云本身有问题?看这个,我觉得说的挺有道理: http://www.nextgod.com/thread-1393-1-1.html[/QUOTE]
这话说的不对啊,发现漏洞->修补漏洞->公开漏洞->让其他人警惕自己的程序不会犯同样的错误 这才是漏洞公开的价值所在,如果你的程序本身有漏洞,而这个漏洞被人利用所产生的后果谁能承担?漏洞平台存在的目的不是为了凌驾于网站之上,而是为了让更多人注重网站安全。如果从未有人提交过漏洞,公开过漏洞,也就不会有人注意到,产生的后果就是互联网一片的存在大量漏洞的网站
|
能力值:
( LV2,RANK:85 )
|
-
-
15 楼
有争议的地方是“公开漏洞”这个,厂家没修复就公开,危害之大就不用说了。
另外,这些漏洞平台,包括市面上其他漏洞平台,给搞灰产或黑产起了一个漏洞导航平台作用,即使没公开漏洞细节,但告诉了黑产工作者这座山(相关网站或app)有”金矿”,只等这些”矿工”来挖掘了,节省了”矿工”大量的找矿成本。
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
一看你就根本不懂乌云,也不懂乌云漏洞流程,漏洞都是厂商修复后才会公布的,如果厂商拒绝或者联系不上才会公布,自己不懂不要瞎扯
|
能力值:
( LV2,RANK:10 )
|
-
-
17 楼
这么说也不对,首先乌云公开漏洞是有前提条件的,提交漏洞后乌云是第一时间通知厂商的,而且有足够的时间供厂商修复,如果这时候厂商都不修复只能怪他们对产品不负责,对于“告诉黑产这里有金山” 这就更不对了,首先能挖到洞算你有本事,如果一个网站漏洞太多,那这个网站即便不被乌云公布也离关门大吉不远了,即便是那些黑产挖洞者 也不是说漫无目的的去网上找网站挖洞,相反乌云公布的很多大厂的漏洞存在了可能有几年,这中间可能早已被那些黑产挖过洞了,如果没有漏洞平台,可能这些洞还要被隐藏很久,这才是漏洞平台和白帽子的存在价值,即便真的你说的对,那在利害之间肯定利要优于害的,与其反反复复的经历漏洞的迫害,不如公布来让更多开发者知道这个漏洞,及时修改自己的程序,避免踏上一样的路,这才是价值所在。
|
能力值:
( LV4,RANK:50 )
|
-
-
18 楼
万一厂商不会修复呢?难道就要眼睁睁看着自己的缺点被公开?
|
能力值:
( LV2,RANK:10 )
|
-
-
19 楼
所以说干嘛把漏洞告诉厂家,拿去卖就没事了
|
能力值:
( LV2,RANK:10 )
|
-
-
20 楼
那就是厂商自己的问题了,我相信没有一家厂商连漏洞都不会修补的,除非早已放弃自己的产品,这是不负责的体现。
|
能力值:
( LV4,RANK:50 )
|
-
-
21 楼
毕竟很多厂商都是小厂商,巨头比较少
|
能力值:
( LV2,RANK:10 )
|
-
-
22 楼
我想到了一个成语,逼良为娼.
|
能力值:
( LV2,RANK:10 )
|
-
-
23 楼
小厂商别人免费给你找漏洞,就差没帮你改了……你还嫌弃什么呢?要不你就直接托管IDS不就行了,没钱也不舍得改漏洞,不是对你的用户不负责,那么公开让用户自动离开不是正义?
|
能力值:
( LV4,RANK:50 )
|
-
-
24 楼
比如一个提供在线阅读的网站,他所提供的服务是在线阅读,收入方式是用户充值书币,然后付给版权方版权。如果被人发现充值漏洞,但是不会修复而被公布,对用户并没有什么影响,却造成网站运营者的巨大损失,这和对用户负责没关系,但是谁来保证运营者的权益?甚至可能乌云发现之后先赚取利益才告知厂商也说不定,这可能也是乌云关闭的一个原因
|
能力值:
( LV2,RANK:10 )
|
-
-
25 楼
你怎么保证这个漏洞不公布也不会被利用,更可怕的是被利用了网站却不知道,这时候又怎么去保证运营者的权益?虽然你说的可能会发生,但是起码网站知道这个漏洞了,并有时间去修复,如果非要把问题全强加到厂商不会修补漏洞上,这就未免太荒唐了。
|
|
|