在公开发布有关该软件的安全性问题(Twitter,博客等)之前,我是否必须联系该软件的生产商?获取这些知识是否很重要(逆向工程,嗅探网络流量,反复试验等)?我住在欧洲(如果有的话)。
发布漏洞利用程序如何?
我说的是智能手机应用程序或桌面应用程序之类的通用软件。
#1 楼
在这种情况下,最好的和道德的做法是与软件/系统的生产商联系,并向他们提供验证安全问题的示例。如果您想验证是否已收到信息,请通过电话与收件人联系,并通过安全的可验证方法(包括通宵快递等)发送。如果确实是一种利用,这将使供应商有时间希望对其系统进行修补,并领先于可能因发布上述信息而受益的任何攻击。如果供应商是道德和赞赏的,则一旦他们缓解了问题(假设您想被任命),他们反而应该为您报告安全错误提供信誉。#2 楼
简短的答案:不要问我们,要请律师。长答案:没有人,甚至没有律师,也可以在不了解您情况的细节的情况下为您提供任何合理的建议,包括就像美国的联邦法一样,没有哪个欧洲法律可以取代每个州的法律,每个国家都有责任将欧盟的指令本身转化为国家法律。欧盟各州之间的详细信息可能会有很大差异。
即使您提供了非常具体的详细信息,我们也可能无法为您提供帮助,因为我们是技术人员,而不是律师。我们可能会帮助您开发漏洞利用程序;我们不能告诉您是否以及在何处公开该法律。
即使我们中有些人是律师:想像一下,我们告诉您还可以。您发布漏洞利用程序。您因我们错了而被捕并提起诉讼。 “我问了一些对此似乎非常了解的论坛人员”完全不会帮助您解决这个问题。如果您收到律师的书面陈述,告诉您您将要做什么,那他是错的,那么您很有可能使他(他的保险公司)为您赔偿损失。您不会从我们那里得到任何东西。
评论
另外,即使我们是律师,根据特定的司法管辖区,我们也可能会拒绝回答您的问题,因为它可能被解释为提供法律咨询,因此使我们对损失承担责任……而且我不确定我们的保险公司可能如何像这样的愚蠢。
–Jörg W Mittag
2014年11月30日15:57
我在英国找不到一个真正愿意根据具体情况分析发布安全性研究是否合法的律师/律师。问题在于,他们的大部分工作是与签定合同为其他公司工作的安全公司合作,而不是没有授权的唯一研究人员。
– Cybergibbons
2014年12月1日9:24
评论
这个问题似乎与法律无关,因为它与法律有关。@GuntramBlohm:好吧,我们在本网站开始时就此进行了讨论。最后,在这里谈论逆向工程的法律方面似乎是可以的(如果问题足够集中)。人们对Reverse的法律方面有很多疑问,并且对Reverse的想法也很多(实际上,大多数错误是错误的)。尝试更好地解释所有这些机制(如您所做的)应该会有所帮助。而且,不,律师在回答这个问题上并不是真的比技术人员更好(相信我!),如果用技术术语来陈述这个问题,他们中的大多数人都不会理解。
您可能对此法律堆栈交换提案感兴趣,该提案现已进入承诺阶段。