هاكر أخلاقي “بلطجي”
برأيي الحل الأمثلة للتخلص من مثل هذه الشخصيات هي عمل Bug bounty program رسمي من حسوب , تضع فيها "مكافئات محدده" للشخص حسب نوعية الثغرة لكن بشكل أساسي يجب عليك تحديد مبلغ محدد للثغرات حسب خطورتها أو تضع حد أدنى مثلاً 100$ وحد أعلى 1000$ حيث يتم مكافئة الشخص ضمن هذه المبالغ حسب خطورة الثغرة , بهذه الحالة سوف يدرك أنه تحت الأمر الواقع وأنه لن يستطيع طلب المزيد , ولا أظن أن يرفض شخص 1000$ مقابل ثغرة خطره لكي يخترق موقع ويضع الإندكس الخاص به :D , وكذلك من الممكن عمل لائحه بالهاكرز الأخلاقيين اللذين إكتشفوا ثغرات لديكم , هذه سوف تكون نقطه جميلة ومن الممكن أن تغير نظرتهم بشكل كلي عن مفهوم "المكافئة الإجبارية أو الإبتزاز".
في حال كانت الشركة توفر برنامج مكافئات فهذا يعتبر وعد مسبق من الشركة بتقديم مكافئة تكون من تقديرها هي وفق الشروط والنطاق الذي تم تحديده ويتم فقط بعد التبليغ عن الثغرة والتأكد من صحتها وليس قبل. في حال عدم وجود برنامج مكافأت فالقيام بمحاولة اختبار اختراق الموقع أساساً أمر غير مصرح به قبل أخذ اذن مسبق.
فالقيام بمحاولة اختبار اختراق الموقع أساساً أمر غير مصرح به قبل أخذ اذن مسبق.
و كأننا نعيش فى المدينه الفاضلة :) الناس ليسوا مثاليون أخى عبدالمهيمن , و أصابعك ليست كلها متشابهه
لا أعتقد أن هذا المقصود من تلك الجملة، المقصود مما فهمته من خلال تدوينة عبدالمهمين أنه يقصد إن هناك إتفاقيات ويجب إحترامها قبل البدء في عملية التبليغ عن ثغرات :)
وهذا ما أردت قوله , أي أنك تقوم بطرح برنامج مكافئات ضمن شروطك الخاصه وضمن حدود معينه للمبلغ لكي يكون الشخص مجبر بالتقيد بهذه الأمور في حال قام بإكشتاف ثغرة معينه عوضاً عن تقيمها من تلقاء نفسه أو إبتزازكم بها كما ذكرت أنت , ولكن الأن تذكرت أنكم بالأصل لا تقدمون برنامج مكافئات فأي ثغرة أو أي خلل أمني يتم إكتشافه أنتم غير مجبرون على تقديم مكافئه له , ولكن يبقى توفير برنامج مكافئات هو الأنسب في مثل هذه الحالات.
التعليقات