- A hozzászóláshoz be kell jelentkezni
Hozzászólások
Ohhh.. Csak nem egy új szabvány javaslat? /sarcasm
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..
- A hozzászóláshoz be kell jelentkezni
Ez inkabb "Best practice", nekem tetszik.
--
"You can hide a semi truck in 300 lines of code"
- A hozzászóláshoz be kell jelentkezni
jah, spammerek is lájkolják ezt :)
- A hozzászóláshoz be kell jelentkezni
Nem kötelező e-mail címet megadni. Lehet kapcsolati oldalt, impresszumot is linkelni, ahol van mondjuk egy form.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
láttam, ezzel együtt sikerült egy jól belőtt példát adni a best practiceben. :)
- A hozzászóláshoz be kell jelentkezni
Hát, nem tudom melyik nagyobb probléma. Ha be akarnak neked jelenteni egy kritikus hibát, de nem tudnak, vagy az, hogy van egy e-mail címed, amit esetleg spammelnek. Kell elé egy jó spamszűrő és kész. Évek óta kinn van az oldalon publicban egy hup-ot e-mail címem. Nem látom problémának.
De legyen ez egy teszt:
https://hup.hu/.well-known/security.txt
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
nyilvánvalóan ez előbbi, természetesen. csak mindig gyanúsak az olyan dolgok, amikből ránézésre süt, hogy nem lettek olyan jól átgondolva :)
- A hozzászóláshoz be kell jelentkezni
Igy egy nap utan, hogy halad a teszt?
--
"You can hide a semi truck in 300 lines of code"
- A hozzászóláshoz be kell jelentkezni
Egy nap után? Semmit sem kaptam.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
2017-ben még mindig ott tartunk, hogy a spam ellen a "nem írom ki az e-mail címemet" a megoldás?
- A hozzászóláshoz be kell jelentkezni
nem, nem az a megoldás, csak a spamszűrőnek segít kicsit, hogy kevesebb vacak jöjjön. Nem véletlen kopott ki szegény whois is például, és kapsz helyette az arcodba captchas vackot mindenhol. sajnos az email eléggé fubar, és körbe kell tákolni...
- A hozzászóláshoz be kell jelentkezni
Nem email cimet tennek oda, hanem egy linket egy formra ahol lehetne jelenteni a gondokat.
De jogos felvetes.
--
"You can hide a semi truck in 300 lines of code"
- A hozzászóláshoz be kell jelentkezni
Csinálsz egy egyedi e-mail címet (pl. security@) erre a célra. Csinálsz egy rule-t, hogy ami erre jön és nem PGP titkosított, az -> /dev/null
Problem solved.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Ezért a kommentért jöttem :)
- A hozzászóláshoz be kell jelentkezni
Tudsz mondani 14 masik szabvanyt ugyanerre a problemara?
Jelenleg - ha egyaltalan jelentik - 2 megoldas van: elkuldik egy random ugyfelszolgalati cimre, ahol nem hozzaertok olvassak, es sokszor lassuak/nem ertik/nem kuldik tovabb/hulyen reagalnak. (ld. BKK esete, vagy Meister vs. netbank.hu)
A masik, hogy szinten az ugyfelszolgalaton keresztul vagy valami publikus kapcsolati cimen keresztul megprobalod kinyomozni a hozzaerto contactjat, es utana neki elmagyarazod tobb-kevesebb sikerrel a problemad.
Egyik sem igazan jo.
Persze ott az eladod/nem jelented/kihasznalod/full public disclosure, stb.. ott nincs ilyen problema. Es ott van a masik kerdes, hogy ha jelentetted, hogy veszed ra a keszitot, hogy felelossegteljesen javitsa a hibat? Ehhez is jo a kozvetlen contact (ha kell plusz info, PoC, stb..).
--
Worrying about killer AI and the superintelligent robots is like worrying about overcrowding on Mars. - Garry Kasparov
- A hozzászóláshoz be kell jelentkezni
Úgy érzem félreértetted amit mondani akartam (bár tény, hogy a szarkasztikus jelleg miatt nem voltam túl deskriptív). A problémám ezzel az, hogy egy részről ezt még szabványnak se merném mondani (ahogy az oldalukon leírták, jelenleg nem is az ("security.txt is currently an Internet draft that has been submitted for RFC review")), más részről meg megint valaki ki akar találni valamit anélkül, hogy erről komolyan a közösséget megkérdezte volna.
Amúgy voltak erre eddig is próbálkozások (security@company.com vagy admin@company.com mint alapértelmezett E-mail címek ilyen jellegű mailekre, esetleg felhívni a közösség figyelmét 1-1 hibára levlistán, IRC-n, vagy valamilyen publikusan ismert csatornán keresztül) csak kb egyik se jött be, mert attól még hogy van egy elgondolás (vagy akár egy szabvány), az még nem kötelez senkit se arra, hogy kövesse is (ahogy az összes előzőnek is ez lett a sorsa)
Amúgy azzal egyet értek, hogy van egy probléma (aminek van egy kis részt technikai, nagy részről meg emberi oldala) amire jó lenne egy megoldást találni, de ezt így és ebben a formában én nem tudom komolyan venni.
____________________________________
Az embert 2 éven át arra tanítják hogyan álljon meg a 2 lábán, és hogyan beszéljen... Aztán azt mondják neki: -"Ülj le és kuss legyen!"..
- A hozzászóláshoz be kell jelentkezni
Érdekes, mintha lett volna már ilyen, bár más célból... Miért nem lehetett ehhez hozzátenni: http://humanstxt.org/
--
Debian 8.8 Jessie, Android 6.0.1 Marshmallow+MIUI 8.2.9.0 Global, OpenWrt 15.05.1 Chaos Calmer, Armbian 5.24, Free MC Boot 1.953+OPL 0.10.15 Daily Build, Boyue C60 20140410 (Gentoo)
- A hozzászóláshoz be kell jelentkezni