mboost-dp1
Suk
Jo, jo, men ifølge Carsten Ingerslev, kontorchef i Center for CVR Salg og support, så er det jo ikke noget problem - som han siger: "Man skal heller ikke glemme, at vi logger ip-adresser, så vi vil kunne finde hackeren, hvis der er nogen, der misbruger andres oplysninger."
Og vi ved jo alle at en IP adresse altid er ensbetydende med brugeren kan findes, for man kan jo ikke ændre på hvilken IP adresse det ser ud som om man benytter, right?
(Ironi kan forekomme i ovenstående...)
Og vi ved jo alle at en IP adresse altid er ensbetydende med brugeren kan findes, for man kan jo ikke ændre på hvilken IP adresse det ser ud som om man benytter, right?
(Ironi kan forekomme i ovenstående...)
Du glemmer at finder de hackeren, ud fra omtalte ip-adresse, så er alle de brugernavn/passwords vedkommende har delt til alle og enhver ubrugelige. For hackerens egentlige formål er ikke at bruge eller dele oplysningerne, men ikke at blive fundet.
Der kan være spor af ironi og nødder i mit indlæg.
Der kan være spor af ironi og nødder i mit indlæg.
Jeg glemmer skam ingenting. Det synes jeg er frækt at du antyder (frækt på den skidt knægt agtige måde - ikke på den slem pige agtige måde).
Næ - jeg nævner det med vilje ikke, for da Carsten Ingerslev, kontorchef i Center for CVR Salg og support, ikke nævner dette anser jeg det ikke for værende noget issue, for når det ikke er for Carsten Ingerslev, kontorchef i Center for CVR Salg og support, så kan det ikke være det. Husk på han er både kontorchef for salg OG support
Næ - jeg nævner det med vilje ikke, for da Carsten Ingerslev, kontorchef i Center for CVR Salg og support, ikke nævner dette anser jeg det ikke for værende noget issue, for når det ikke er for Carsten Ingerslev, kontorchef i Center for CVR Salg og support, så kan det ikke være det. Husk på han er både kontorchef for salg OG support
Jeg får faktisk lidt ondt af manden at den onde, onde journalistbasse sådan kører på ham - hele grunden til de har loginløsningen er jo bare for at kunne tjene lidt mønt, og behøver ikke være sikker:
"der er kun en betalingsløsning, fordi vi skal have dækket vores omkostninger".
Jeg vil foreslå dem de tager til kontakt til newz/Microsoft og hører om mulighederne for nogle helsides annoncer på cvr.dk, så de kan hive lidt knaster hjem...
"der er kun en betalingsløsning, fordi vi skal have dækket vores omkostninger".
Jeg vil foreslå dem de tager til kontakt til newz/Microsoft og hører om mulighederne for nogle helsides annoncer på cvr.dk, så de kan hive lidt knaster hjem...
stekkurms (15) skrev:Det tror jeg ikke. Man får vel ikke nogen informationer at se før man udfører en søgning.4815162342 (14) skrev:Har du så ikke allerede set informationer, du ikke burde have adgang til?
Med mindre der er en slags oversigt.
Uanset hvad, er du stadig et sted hvor du ikke bør være. Det er du også, hvis du bryder en lås, går ind ad den låste dør og går ud igen.
Det ville være en mere præcis sammenligning hvis du havde sagt at man går hen og tager i håndtaget for at undersøge om de har husket at låse døren. Om det er ulovligt afhænger mig bekendt af intentionen.4815162342 (16) skrev:Det er du også, hvis du bryder en lås, går ind ad den låste dør og går ud igen.
stekkurms (18) skrev:Det ville være en mere præcis sammenligning hvis du havde sagt at man går hen og tager i håndtaget for at undersøge om de har husket at låse døren. Om det er ulovligt afhænger mig bekendt af intentionen.4815162342 (16) skrev:Det er du også, hvis du bryder en lås, går ind ad den låste dør og går ud igen.
At trykke på et link er at tage i et håndtag. SQL injektion er (i dette tilfælde) en bankenøgle eller et bevidst forsøg på at bryde en lås uden at beskadige den. Held og lykke med at overbevise nogen om reelle hensigter med det.
Du har gemt nødderne godt.Ronson (3) skrev:Der kan være spor af ironi og nødder i mit indlæg.
Nogen gange er det det samme. Den anklagede i Valus-sagen blev mig bekendt dømt for SQL injektion efter han blot havde fulgt et link.4815162342 (20) skrev:At trykke på et link er at tage i et håndtag. SQL injektion er...
Og personen syntes ikke forklaringen lød troværdig.arne_v (22) skrev:Men i Valus sagen var der en forklaring med linket, så den der klikkede vidste hvad der skete ikke?
Hvis en tråd på newz f.eks. gave denne [url= bare fordi de havde hørt forklaringen på, hvorfor de skulle lade være.
Hvis vi rent hypotetisk forestiller os, at en bruger på newz følger link nummer to, og der sker noget skidt af den grund, hvem er så ansvarlig?
Var det nu også det? Som jeg husker det var der tale om en tråd omkring nogle URLer med brugerdata, hvor de havde glemt at checke at man nu også var logget ind som den pågældende bruger. Og et sted i tråden er der så en der skriver en kort bemærkning i retning af: "Suk, man kunne sikkert også bruge." efterfulgt af en gyldig URL, hvor der er tilføjet %03shutdown i slutningen. Så vidt jeg husker fortalte det pågældende indlæg intet om, hvad %03 i den URL betød.arne_v (25) skrev:Det var ret klart forklaret i masser af artikler og debat indlæg.
Men det ser ud til at IDG har valgt at slette alle de gamle debatindlæg. Så det er ikke nemt at finde ud af, hvad der har stået.
Mit gæt er at han ville være blevet frifundet, hvis han havde taget anklagen lidt mere seriøst og fundet en ordentlig advokat.arne_v (25) skrev:Vedkommende burde have været klar over at det kunne virke.
Samtidigt vil jeg sige, at jeg er klar over at selv en fuldstændigt uskyldig URL også kan gøre skade under tilpas uheldige omstændigheder. Men selv hvis man er klar over at den mulighed er til stede vil jeg ikke mene at man kan gøres ansvarlig for skaden.
F.eks. er der set software med bugs som resulterede i datatab eller korrupte data når et filsystem er fyldt op. Hver gang man tilgår en URL er der mulighed for at den ene logindgang gør udslaget for om en anden process på samme server har nok plads til at gennemføre en operation. Og hvis der var en bug som resulterede i datatab når filsystemet er fyldt op, så gjorde den ene URL udslaget. Det er ikke voldsomt sandsynligt, men det kan ske.
Eller et enkelt klik på en URL starter en kædereaktion af hændelser i forskellige systemer med varierende grad af automatisering, som i sidste ende resulterer i at nogle personer mister mange millioner dollars. Sandsynligheden for at jeg forårsager det, næste gang jeg følger et link, er meget lille. Men jeg ved at en sådan hændelse er sket tidligere. Er jeg ansvarlig, hvis det tilfældigvis er mig der udløser den næste kædereaktion af den type?
Har man tilstrækkeligt teknisk indblik ved man, at enhver URL har mulighed for at gøre skade, og man kan aldrig være 100% sikker på at en URL ikke gør skade. Har man mindre teknisk indsigt ændrer det ikke på nogen fundamental måde på det faktum, det betyder bare at man har mindre mulighed for at vurdere sandsynligheden for at det sker.
Nogle gange er man ganske enkelt nødt til at kunne følge et link og vide, at hvis dette link gør nogen skade, så er det fordi nogle andre ikke har gjort deres arbejde ordentligt og så er det dem, som er ansvarlige. Men hvad er kriteriet for om man kan sende ansvaret videre på den måde?
De ting jeg mener er moralsk forsvarligt at gøre inkluderer:
- Prikke til et system på forskellige måder for at se om man kan finde et sikkerhedshul, så længe man ikke ad den vej forårsager et nedbrud eller tab/korruption af data.
- Udnytte et sikkerhedshul til at enten lukke hullet, lukke systemet ned eller sende en besked til systemets administrator, såfremt der er tale om et sikkerhedshul som ellers kunne være udnyttet af andre til at forårsage tab/korruption af data eller at få adgang til fortrolige data.
- Publicere detaljer omkring sikkerhedshullets karakter.
For 15 år siden ville jeg have sagt at for at et eneste af de tre punkter kunne kaldes for moralsk forsvarligt, så skal man samtidigt fortælle de ansvarlige for systemet om alle de huller man finder. Desværre må jeg erkende at jeg tog fejl på det punkt.
Faktum er at uanset hvor langt man går for at give de ansvarlige for sikkerheden en ordentlig behandling, når man rapporterer et hul, så kan man ikke forvente at selv få en ordentlig behandling. Med min viden om hvordan man kan blive behandlet, når man rapporterer huller, så kan jeg ganske enkelt ikke længere sige at man er moralsk forpligtet til at udsætte sig selv for det.
Derfor mener jeg at man kun er moralsk forpligtet til at rapportere hullet, hvis de ansvarlige for sikkerheden selv på forhånd har givet grund til at tro, at man vil blive ordentligt behandlet.
Inden nogen begynder at sige at det jeg sig er er forkert, så husk på, at moralske værdier er et subjektivt spørgsmål. I har lov til at have en anden holdning end mig.
Hvad der så er lovligt er et helt andet spørgsmål. Loven er en approksimation af moralske værdier, som er delt blandt et flertal af befolkningen.
Jeg kan kun opfordre til at man stræber efter at holde sig indenfor både loven og sine egne moralske værdier. Hvis man synes loven er forkert må man arbejde på at få den ændret og ikke bare overtræde den fordi man synes.
I den sag jeg refererede til vurderer jeg at den dømte har holdt sig indenfor hvad jeg synes er moralsk forsvarligt, og hvis man læser loven helt bogstavligt, så tror jeg heller ikke han har overtrådt den.
kasperd (26) skrev:Var det nu også det? Som jeg husker det var der tale om en tråd omkring nogle URLer med brugerdata, hvor de havde glemt at checke at man nu også var logget ind som den pågældende bruger. Og et sted i tråden er der så en der skriver en kort bemærkning i retning af: "Suk, man kunne sikkert også bruge." efterfulgt af en gyldig URL, hvor der er tilføjet %03shutdown i slutningen. Så vidt jeg husker fortalte det pågældende indlæg intet om, hvad %03 i den URL betød.
Men det ser ud til at IDG har valgt at slette alle de gamle debatindlæg. Så det er ikke nemt at finde ud af, hvad der har stået.
Debatten er måske slettet men der er diverse artikler.
http://www.computerworld.dk/art/26013/mild-dom-til...
Ovenpå lanceringen fulgte en debat om sikkerheden i systemet, som fik it-udvikler Søren Christensen til at beskrive på Computerworld Onlines debatforum, hvordan man ved at indtaste en simpel adresse i sin web-browser kunne lægge hjemmesiden ned.
http://www.computerworld.dk/art/16634/valus-hacker...
Det formastelige debatindlæg hævdede, at man blot ved at skrive et link, der indeholdt en "Shutdown"-kommando, i sin internetbrowser kunne lægges Valus' server ned.
http://www.computerworld.dk/art/16536/politiet-sig...
linker til:
https://groups.google.com/forum/?fromgroups=#!msg/...
hvor en af de to anklagede selv fortæller:
Baggrunden skal findes i www.computerworld.dk 's debatfora
tilbage i maj under åbningen af Valus. Det blev heftigt diskuteret
hvor ringe deres hjemmeside var lavet og én skrev at man oven
i købet kunne lægge siden ned ved bare at skrive en bestemt
URL ind i browseren. Det måtte naturligvis prøves, for det lød
næsten for utroligt til at være sandt. Noget tydede på at det var
rigtigt, for efter indtastningen af URL'en kunne man ikke længere
komme ind på hjemmesiden.
kasperd (26) skrev:Mit gæt er at han ville være blevet frifundet, hvis han havde taget anklagen lidt mere seriøst og fundet en ordentlig advokat.
Han har ikke haft skyggen af en chance i retten:
- det skete
- det er ulovligt
- der hvor han havde viden fra fremgik det at det ville lægge siden ned (lukke database serveren ned)
Ret klart sandsynligheds forsæt.
kasperd (26) skrev:
Samtidigt vil jeg sige, at jeg er klar over at selv en fuldstændigt uskyldig URL også kan gøre skade under tilpas uheldige omstændigheder. Men selv hvis man er klar over at den mulighed er til stede vil jeg ikke mene at man kan gøres ansvarlig for skaden.
F.eks. er der set software med bugs som resulterede i datatab eller korrupte data når et filsystem er fyldt op. Hver gang man tilgår en URL er der mulighed for at den ene logindgang gør udslaget for om en anden process på samme server har nok plads til at gennemføre en operation. Og hvis der var en bug som resulterede i datatab når filsystemet er fyldt op, så gjorde den ene URL udslaget. Det er ikke voldsomt sandsynligt, men det kan ske.
Eller et enkelt klik på en URL starter en kædereaktion af hændelser i forskellige systemer med varierende grad af automatisering, som i sidste ende resulterer i at nogle personer mister mange millioner dollars. Sandsynligheden for at jeg forårsager det, næste gang jeg følger et link, er meget lille. Men jeg ved at en sådan hændelse er sket tidligere. Er jeg ansvarlig, hvis det tilfældigvis er mig der udløser den næste kædereaktion af den type?
Har man tilstrækkeligt teknisk indblik ved man, at enhver URL har mulighed for at gøre skade, og man kan aldrig være 100% sikker på at en URL ikke gør skade. Har man mindre teknisk indsigt ændrer det ikke på nogen fundamental måde på det faktum, det betyder bare at man har mindre mulighed for at vurdere sandsynligheden for at det sker.
Nogle gange er man ganske enkelt nødt til at kunne følge et link og vide, at hvis dette link gør nogen skade, så er det fordi nogle andre ikke har gjort deres arbejde ordentligt og så er det dem, som er ansvarlige. Men hvad er kriteriet for om man kan sende ansvaret videre på den måde?
Det afhænger helt af hvor sandsynligt det er.
Sandsynligheden for at et link lukker en side ned hvis en navngiven person siger at det gør på debatforumet hos et lad os kalde det førende dansk IT medie må være ganske stor.
Sandsynligheden for at klik på et vilkårligt link resulterer i disk fuld og store problemer er meget lille - større end nul men meget lille.
kasperd (26) skrev:
De ting jeg mener er moralsk forsvarligt at gøre inkluderer:
- Prikke til et system på forskellige måder for at se om man kan finde et sikkerhedshul, så længe man ikke ad den vej forårsager et nedbrud eller tab/korruption af data.
- Udnytte et sikkerhedshul til at enten lukke hullet, lukke systemet ned eller sende en besked til systemets administrator, såfremt der er tale om et sikkerhedshul som ellers kunne være udnyttet af andre til at forårsage tab/korruption af data eller at få adgang til fortrolige data.
- Publicere detaljer omkring sikkerhedshullets karakter.
For 15 år siden ville jeg have sagt at for at et eneste af de tre punkter kunne kaldes for moralsk forsvarligt, så skal man samtidigt fortælle de ansvarlige for systemet om alle de huller man finder. Desværre må jeg erkende at jeg tog fejl på det punkt.
Faktum er at uanset hvor langt man går for at give de ansvarlige for sikkerheden en ordentlig behandling, når man rapporterer et hul, så kan man ikke forvente at selv få en ordentlig behandling. Med min viden om hvordan man kan blive behandlet, når man rapporterer huller, så kan jeg ganske enkelt ikke længere sige at man er moralsk forpligtet til at udsætte sig selv for det.
Derfor mener jeg at man kun er moralsk forpligtet til at rapportere hullet, hvis de ansvarlige for sikkerheden selv på forhånd har givet grund til at tro, at man vil blive ordentligt behandlet.
Inden nogen begynder at sige at det jeg sig er er forkert, så husk på, at moralske værdier er et subjektivt spørgsmål. I har lov til at have en anden holdning end mig.
Jeg finder det moralsk dybt forkasteligt at bevist lede efter sikkerhedshuller uden tilladelse.
Men det er jo så bare min mening.
Jeg vil dog godt påpege 2 praktiske problemer med tilgangen:
* Risikoen for utilsigtet at påvirke driften må være meget større ved den her form for "prikken" ved normal brug. Så selvom man ikke tilsigter at lave et nedbrud, så kan man komem til det.
* Hvis man gjorde det lovligt, så ville man gøre det lovligt for hackere at forsøge sig indtil de fandt et hul der kunne bruges til noget vigtigt. Det vil blive langt mere attraktivt at være hacker.
Jeg læste meget af det der blev skrevet om sagen allerede dengang. Allerede dengang hæftede jeg mig specielt ved dette citat:arne_v (27) skrev:Debatten er måske slettet men der er diverse artikler.
Det er ikke just et citat, der styrker min tiltro til retssystemet.http://www.computerworld.dk/art/26013/mild-dom-til-valus-hacker-to-frifundet skrev:Dommeren efterspurgte efter domsafsigelsen mere
indsigt i, hvad der rent teknisk var foregået.
Jeg er ikke overbevist.arne_v (27) skrev:det er ulovligt
Den ene paragraf snakker om at skaffe sig uberettiget adgang. Hvad havde han adgang til før han tilgik den pågældende URL? Hvad havde han adgang til efter han tilgik den pågældende URL?
Den anden paragraf snakker om at ødelægge ting? Hvad har han ødelagt? Databasen blev lukket pænt ned, det kan man ikke kalde for at ødelægge den.
I øvrigt kunne det nemt sandsynliggøres at han ved at lukke databasen ned beskyttede den imod tab af data. http://www.computerworld.dk/art/16916/den-foerste-...
Sandsynligheder er dog altid givet ud fra den viden man har. Og det vil sige at hvis det afgørende er sandsynligheden, så må det altså være set udfra den viden, som personen der gjorde det havde på det tidspunkt handlingen blev udført.arne_v (27) skrev:Det afhænger helt af hvor sandsynligt det er.
Hvis man vil tage udgangspunkt i viden som personen ikke havde på det pågældende tidspunkt, så når vi ud i argumenter som siger at der var kun et udfald, og havde man haft den viden på tidspunktet kunne man også have forudsagt udfaldet med 100% sikkerhed.
Og så er vi i en situation, hvor det reelt kun er den anklagede der ved, hvilken viden han havde på tidspunktet. Og derfor er der ingen andre som vil være i stand til at fastsætte den sandsynlighed.
For det første blev der ikke sagt definitivt hvad linket ville gøre. Det var et gæt. Der blev heller ikke sagt, hvad linket ville gøre, såfremt det virkede. Dog kunne shutdown i URLen være et hint. Men selv det kunne have været vildledende. Og selv hvis det ikke er bevidst vildledende har shutdown forskellig betydning på forskellige systemer.arne_v (27) skrev:Sandsynligheden for at et link lukker en side ned hvis en navngiven person siger at det gør på debatforumet hos et lad os kalde det førende dansk IT medie må være ganske stor.
For det andet mener jeg ikke man uden videre kan gå ud fra at en tilfældig bruger på et debatforum ved bedre end udviklerne ansat af en stor bank til at udvikle et system, hvor sikkerhed er absolut førsteprioritet.
Og jeg finder det dybt forkasteligt at der er virksomheder som mener de har eneret til at kende til sikkerhedshuller, som kan udgøre en trussel imod mange andre personer.arne_v (28) skrev:Jeg finder det moralsk dybt forkasteligt at bevist lede efter sikkerhedshuller uden tilladelse.
Den risiko er til stede, men jeg mener den er ubetydelig i forhold til risikoen for at et hul bevidst bliver misbrugt til skadelige formål.arne_v (28) skrev:Risikoen for utilsigtet at påvirke driften må være meget større ved den her form for "prikken" ved normal brug. Så selvom man ikke tilsigter at lave et nedbrud, så kan man komem til det.
Min vurdering er at hvis et system kan lægges ned blot ved at prikke lidt til det for at lede efter huller, så er det meget sandsynligt at samme hul kunne udnyttes til at opnå tilstrækkelig kontrol over systemet til at gøre skade, som er langt værre end at systemet blev lukket ned.
Jeg tror på at det er nemt nok at skjule sine spor til at det ikke gør nogen forskel.arne_v (28) skrev:Hvis man gjorde det lovligt, så ville man gøre det lovligt for hackere at forsøge sig indtil de fandt et hul der kunne bruges til noget vigtigt.
kasperd (29) skrev:Den ene paragraf snakker om at skaffe sig uberettiget adgang. Hvad havde han adgang til før han tilgik den pågældende URL? Hvad havde han adgang til efter han tilgik den pågældende URL?
At lukke en server betragtes som at skaffe sig uberettiget adgang til et program.
kasperd (29) skrev:Sandsynligheder er dog altid givet ud fra den viden man har. Og det vil sige at hvis det afgørende er sandsynligheden, så må det altså være set udfra den viden, som personen der gjorde det havde på det tidspunkt handlingen blev udført.
Ja.
Bedste forsvar mod sandsynlighedsforsæt ville have været at kunne dokumentere at man intet anede om computere.
Men det var nok ikke muligt med personer,
kasperd (29) skrev:Hvis man vil tage udgangspunkt i viden som personen ikke havde på det pågældende tidspunkt, så når vi ud i argumenter som siger at der var kun et udfald, og havde man haft den viden på tidspunktet kunne man også have forudsagt udfaldet med 100% sikkerhed.
kasperd (29) skrev:Og så er vi i en situation, hvor det reelt kun er den anklagede der ved, hvilken viden han havde på tidspunktet. Og derfor er der ingen andre som vil være i stand til at fastsætte den sandsynlighed.
Vi må tage udgangspunkt i at de havde fået at vide at linket med den ene af de dømtes egne ord "kunne lægges Valus' server ned".
Så der er ingen grund til at spekulere i om de vidste det da de klikkede på linket. Det har kunnet dokumenteres af CW og er også tilstået af ihvertfald en af de dømte.
kasperd (29) skrev:For det første blev der ikke sagt definitivt hvad linket ville gøre. Det var et gæt. Der blev heller ikke sagt, hvad linket ville gøre, såfremt det virkede. Dog kunne shutdown i URLen være et hint. Men selv det kunne have været vildledende.
Det blev sagt hvad linket ville gøre per CW artikler og den ene dømtes egen post til usenet.
kasperd (29) skrev:Og selv hvis det ikke er bevidst vildledende har shutdown forskellig betydning på forskellige systemer.
De vidste at den ville lukke ned. Om det var web server, database eller OS betyder ikke noget i denne sammenhæng.
kasperd (29) skrev:For det andet mener jeg ikke man uden videre kan gå ud fra at en tilfældig bruger på et debatforum ved bedre end udviklerne ansat af en stor bank til at udvikle et system, hvor sikkerhed er absolut førsteprioritet.
Det er ikke sådan at en der finder et sikkerhedshul nødvendigvis ved mere end dem der har lavet sikkerhedshullet.
Fordi det er ikke nødvendigvis tale om at firmaet ikke havde hørt om SQL injection - det er nok ikke engang sandsynligt at det er tilfældet.
Men fra at kende de alle de potentielle sikkerheds problemer og så til at levere en stor kompleks applikation uden nogen af dem er der meget langt.
Personen der skrev linket har ikke vidst med sikkerhed om det ville virke. Hvis han skulle have vurderet sandsynligheden for at linket faktisk ville lukke serveren ned forventer jeg at tallet ville have ligget under 50%. Personen der læste det og afprøvede linket har nok vurderet sandsynligheden endnu lavere.arne_v (31) skrev:Det blev sagt hvad linket ville gøre per CW artikler og den ene dømtes egen post til usenet.
POSIX har et shutdown systemkald som lukker en TCP forbindelse. Det vil overhovedet ikke være unormalt at se hver eneste HTTP request afsluttet med at shutdown systemkald.arne_v (31) skrev:De vidste at den ville lukke ned. Om det var web server, database eller OS betyder ikke noget i denne sammenhæng.
Nej, men den erkendelse finder du kun blandt folk som ved noget om emnet. Lægmand vil have en hel anden holdning. Fortæl lægmand at du tror en bank har lanceret et IT system med gabende sikkerhedshuller, og deres reaktion vil som regel være at selvfølgelig kunne en bank ikke finde på at lancere systemet uden at tænke på det.arne_v (31) skrev:Det er ikke sådan at en der finder et sikkerhedshul nødvendigvis ved mere end dem der har lavet sikkerhedshullet.
Selvfølgelig er det dumt af den person at afprøve linket. Men jeg har ikke set dokumentation for, at han har vidst, hvad det ville gøre.
Selv hvis han havde fået at vide, hvad det ville gøre, betyder det ikke at han har vidst det. Hvis man er blevet fortalt noget, som man oprigtigt ikke tror på, så betyder det ikke at man ved det.
Hvis vi skal over i den slags analogier, så må nogle af de huller jeg i tidernes løb har fundet svare til en af følgende:arne_v (23) skrev:Hvilket med analogien vel svarer til at tage i dørhåndtaget på en dør, hvor man har fået at vide at den ikke er låst.
1. Jeg går hen imod en dør, men snubler over en skæv flise og sætter fra med hænderne imod døren, som til min overraskelse går op.
2. Jeg kigger på døren og klør mig i baghovedet, da jeg konstaterer at på det sted, hvor man normalt sætter en låsemekanisme, er der blot et stort gabende hul.
Sagt med andre ord, nogle gange finder man sikkerhedshuller helt uden at lede efter dem. Og selv når hullerne er så åbenlyse, at de kan findes uden at lede efter dem, vælger virksomheder alligevel ofte at lade dem stå åbne.
kasperd (33) skrev:Personen der skrev linket har ikke vidst med sikkerhed om det ville virke. Hvis han skulle have vurderet sandsynligheden for at linket faktisk ville lukke serveren ned forventer jeg at tallet ville have ligget under 50%. Personen der læste det og afprøvede linket har nok vurderet sandsynligheden endnu lavere.
kasperd (33) skrev:
Selvfølgelig er det dumt af den person at afprøve linket. Men jeg har ikke set dokumentation for, at han har vidst, hvad det ville gøre.
Selv hvis han havde fået at vide, hvad det ville gøre, betyder det ikke at han har vidst det. Hvis man er blevet fortalt noget, som man oprigtigt ikke tror på, så betyder det ikke at man ved det.
Han behøver ikke vide det med sikkerhed. Han behøver bare at vide at der er en vis sandsynlighed for det.
Og forudsat at datoen ikke er 1. april, så bliver sådan noget ikke postet på et rimeligt seriøst forum for sjovs skyld.
Det var dumt af ham ikke at tro at det kunne ske. Og det kostede ham 10x250=2500 kroner i bøde.
Ingen tvivl om at han handlede dumt. Det var også dumt ikke at få sig en god advokat. Jeg tror stadig på at han kunne have undgået den bøde, hvis han havde haft en fornuftig advokat.arne_v (35) skrev:Det var dumt af ham ikke at tro at det kunne ske. Og det kostede ham 10x250=2500 kroner i bøde.
Er bøden ikke markant billigere end bare en enkelt time med en bare nogenlunde velfungerende IT-advokat?
Jeg tror nok man kan få en advokat til mindre end 2500kr i timen. Men man får nok ikke gennemført nogen retssag med advokatudgifter på mindre end 2500kr. Man skal dog huske på at dommen godt kan have haft andre konsekvenser, end de 2500kr han betalte i bøde. Desuden har han måske haft mulighed for at få en beskikket advokat.Danish Dude (37) skrev:Er bøden ikke markant billigere end bare en enkelt time med en bare nogenlunde velfungerende IT-advokat?
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Tagwall
Gå til bund