Apple ed exploit, cacciato un guru della sicurezza

[theJanitor]

Quote:

Originariamente inviato da coschizza

veramente qualunque azienda NON lo avrebbe silurato anzi normalmente si fanno i ringraziamenti ufficiali in questi casi e si cita il ricercatore quando si va poi a distribuire la patch delal falla per ringraziare il ricercatore di turno.

Questo avviene nel mondo normale ma in questo caso stiamo parlando di apple.

ti farebbero i ringraziamenti ufficiali se da dipendente, cosa che continua a non essere stato , svelassi al mondo una falla rilasciando pure l'applicazione che sfrutta l'exploit anzichè farlo presente direttamente a loro?

[coschizza]

Quote:

Originariamente inviato da (IH)Patriota

Se avesse voluto un po' di considerazione da parte di Apple per ricavarne qualcosa (in termini economici) avrebbe fatto prima a contattare l' azienda al posto di scriverlo al mondo intero su twitter, probabilmente avrebbe ottenuto qualcosa in più.

è esattametne quello che ha fatto ha contattato apple ma dopo che apple non lo ha calcolato minimanete ha pubblicato la falla. Questo avviene giornalmente con tutti i software al mondo se chi sviluppa ignora le avvisaglie di bug di sicurezza date dagli esperti poi non possono mica lamentarsi del fatto che le rendano pubbliche dopo un tempo congruo.

[coschizza]

Quote:

Originariamente inviato da theJanitor

ti farebbero i ringraziamenti ufficiali se da dipendente, cosa che continua a non essere stato , svelassi al mondo una falla rilasciando pure l'applicazione che sfrutta l'exploit anzichè farlo presente direttamente a loro?

lui gli ha avvisati per tempo quindi e apple a essere dalla parte del torto visto che lo ha ignorato.
Io gli faccio i miei ringraziamenti perche con il suo atteggiamento ha dimostrato come certe aziende prendano il problema della sicurezza in maniera cosi poco professionale.

[PaveK]

Quote:

Originariamente inviato da coschizza

veramente qualunque azienda NON lo avrebbe silurato anzi normalmente si fanno i ringraziamenti ufficiali in questi casi e si cita il ricercatore quando si va poi a distribuire la patch delal falla per ringraziare il ricercatore di turno.

Questo avviene nel mondo normale ma in questo caso stiamo parlando di apple.

In quali aziende hai lavorato?
Manifestare pubblicamente una grave mancanza e venir premiato?
Ripeto, in quali aziende hai lavorato?

[coschizza]

Quote:

Originariamente inviato da PaveK

In quali aziende hai lavorato?
Manifestare pubblicamente una grave mancanza e venir premiato?
Ripeto, in quali aziende hai lavorato?

io lavoro in un azienda ospedaliera è ho con i miei colleghi piu volte segnalato bug di sicurezza tali da mettere in pericolo l'intero database regionale della sanita, negli ultimi 6+ anni tutti sanno di queste falle i tecnici i dirigenti e persino i dirigenti a livello regionale ma nessuno ci considera cosi quando succederà il disastro finiremo sul giornale come quelli che lo hanno scoperto e segnalato da sempre e i responsabili non saremo cero noi (cosa fondamentale direi).

Se vai a leggere i dettagli di cosa è successo vedrai che non hai capito come sono andate le cose.

[Portocala]

Chiama Striscia la notizia allora e vediamo come cambiano le cose, cioè usa un metodo di diffusione della notizia che ha impatto e secondo me qualcosa si muoverà.

[coschizza]

Quote:

Originariamente inviato da Portocala

Chiama Striscia la notizia allora e vediamo come cambiano le cose, cioè usa un metodo di diffusione della notizia che ha impatto e secondo me qualcosa si muoverà.

non possimao perche per contratto è vietato quindi verremmo comunque tutti licenziati.

[!fazz]

Quote:

Originariamente inviato da bs82

Per i commenti qua sopra. Dove vivete?

Da che mondo e mondo un esperto di sicurezza trova i problemi.

Lui lo ha fatto e per aver fatto bene il suo lavoro è stato cacciato.

Stile Apple, uno stile morente con al massimo 5-6 anni di vita ancora davanti.

ottimo flame

5gg

[Mde79]

Quote:

Originariamente inviato da okram69

Probabilmete più che commentare le sorti dello sviluppatore e il malo modo con cui Apple ha deciso di trattarlo (sarebbe stato meglio per loro contattarlo e magari anche ringraziarlo), sarebbe opportuno chiarire meglio e discutere sull'incredibile falla di sicurezza del melafonino.
Falle meno pericolose e sfruttabili sono state sbandierate ai quattro venti per indicare la insicurezza intrinseca di altri sistemi, mentre qui si mette l'accento sulle sorti di un developer, mah!
Si sta parlando di accesso completo al telefonino di un qualunque utente con possibilità di download di tutte le informazioni dello stesso, semplicemente attraverso una "legale" applicazione presa dal marketplace, una falla di sicurezza che tra l'altro potrebbe essere già stata utilizzata all'insaputa di Apple e dei suoi utenti, perchè da quanto si evince dall'articolo nulla vieta che ciò già sia accaduto. Miller non ha fatto altro che rendere noto questo grosso bug.

Ringrazi una persona che trova una falla ci crea una app e la sbandiera ai 4 venti per farsi pubblicità?
Ringrazi qualcuno che ti fa notare la falla senza rilasciare un app che permette a chiunque di poter sfruttare il bug.
Tra l'altro aver pubblicato anche la lettera di Apple è un chiaro segno di voler enfatizzare la questione.
Questo senza nulla togliere alla gravità del problema

[Mainas]

Quote:

Originariamente inviato da coschizza

non possimao perche per contratto è vietato quindi verremmo comunque tutti licenziati.

e pensi che per Miller fosse diverso? per contratto non poteva divulgare tali informazioni, ora ne paga le conseguenze... stop

[Lieutenant]

Personalmente trovo il comportamento di Apple illogico.

La App, da quanto ho capito, è stata rilasciata proprio per dimostrare l'esistenza della falla. Espellere lo sviluppatore che ha individuato la falla dal DP non cancella l'esistenza della falla e anzi amplifica la visibilità sia dello sviluppatore sia della falla.

Apple avrebbe potuto semplicemente "richiamarlo all'ordine", chiedendo che rimuovesse la App... e magari contemporaneamente collaborare più strettamente con lui in modo da capire come sia possibile risolvere il problema.

[calabar]

@Mainas
Ahem... stanno dicendo da due pagine che Miller non era dipendente Apple.
Certo, il titolo della news in questo caso appare un po' fuorviante...

[elleby]

Quote:

Originariamente inviato da Mainas

e pensi che per Miller fosse diverso? per contratto non poteva divulgare tali informazioni, ora ne paga le conseguenze... stop

Legalmente Apple ha diritto di fare questo ed altro.
Ma moralmente no. Apple ha aperto il develeper channel a persone che passano magari 8 ore al giorno a cercare falle di sicurezza nel suo software e poi nega i loro risultati. Miller ha moralmente ragione: è entrato nel programma developer per trovare falle (e se accetti uno che ha vinto diverse competizioni mondiali violando proprio software di tua produzione, ti aspetti che sia una persona dalle forte convinzioni e della grande capacità di hacking) ed ha usato l'unico mezzo a sua disposizione, l'opinione pubblica, per fare quello per cui era stato assunto.

[Cidibi]

Quote:

Originariamente inviato da bs82

Per i commenti qua sopra. Dove vivete?

Da che mondo e mondo un esperto di sicurezza trova i problemi.

Lui lo ha fatto e per aver fatto bene il suo lavoro è stato cacciato.

Stile Apple, uno stile morente con al massimo 5-6 anni di vita ancora davanti.

Sottoscrivo Al 100%, l'articolo parla di un Guru sicurezza cacciato da Apple...pertanto per essere cacciato doveva lavorare per loro in qualsiasi forma contrattuale. In tipico stile Apple pronta a nascondere o aminimizzare i bug dei suoi sistemi, hanno cacciato un esperto in sicurezza che ha mostrato la fragilità di un sistema? Io lo avrei premiato, forse senza di lui non sarebbero mai arrivati ad individuare il problema o perlomeno non nell'immediato
Apple già in passato aveva "cacciato" Jobs per poi andarlo a cercare con la coda fra le gambe nel 2000/2001, visto che stava fallendo, e sTEVE jOBS GLI HA SALVATO CAPRA E CAVOLI portando novità come IPOD...e tanto altro a seguire...senza di lui (io nn lo reputo ne un santo e neppure un genio) vedremo cosa riusciranno a fare, ma se la politica torna ad essere quella pre-2k addio Apple

[theJanitor]

l'articolo ha un titolo che non c'entra nulla e basterebbe leggerlo per capirlo

per la 100ma volta: non era un dipendente ma uno che aderiva al programma sviluppatori di Apple, cosa che può fare chiunque

Quote:

Dear Charles Miller:
This letter serves as notice of termination of the iOS Developer Program License Agreement (the "iDP Agreement") and the Registered Apple Developer Agreement (the "Registered Developer Agreement") between you and Apple, effective immediately.

[Cidibi]

Quote:

Originariamente inviato da theJanitor

l'articolo ha un titolo che non c'entra nulla e basterebbe leggerlo per capirlo

per la 100ma volta: non era un dipendente ma uno che aderiva al programma sviluppatori di Apple, cosa che può fare chiunque

Ok, ma questo non cambia molto se non la forma contrattuale, anche se magari non retribuita...ma dubito, senno perchè tanto rumore??

[PaveK]

Quote:

Originariamente inviato da PaveK

Ha violato l'accordo di licenza, come evidenziato dall'email.
Solo che, essendo Apple... Apple, ed essendo l'email in inglese e non in italiano, fioccheranno commenti "diversamente ragionevoli".
Preparatevi, ce ne saranno di belle

Previsione confermata al 100%. Ho vinto qualcosa?

[PaveK]

Quote:

Originariamente inviato da Cidibi

Ok, ma questo non cambia molto se non la forma contrattuale, anche se magari non retribuita...ma dubito, senno perchè tanto rumore??

Ma di cosa stai parlando? Mi sa che proprio non hai compreso la cosa. Nessun contratto, era uno sviluppatore iscritto al program.
Quando si dice, la lingua più veloce del cervello.

[theJanitor]

Quote:

Originariamente inviato da Cidibi

Ok, ma questo non cambia molto se non la forma contrattuale, anche se magari non retribuita...ma dubito, senno perchè tanto rumore??

come non cambia molto??????

ha violato la licenza sottoscritta ed il contratto, che non è di lavoro, è stato annullato, mi pare normale amministrazione. di retribuito non c'è nulla

il clamore ovviamente dipende dal fatto che si tratta di una multinazionale stramilardaria, dalla notorietà che va cercando il tizio sputtanandola e da notizie con titoli fuorvianti

[!fazz]

Quote:

Originariamente inviato da Cidibi

Ok, ma questo non cambia molto se non la forma contrattuale, anche se magari non retribuita...ma dubito, senno perchè tanto rumore??

mmm conosci almeno in parte come funziona appstore e come funziona il developer program?

no perchè pare che tu non abbia minimamente letto la notizia ed inoltre stai parlando di cose che non conosci con ovvi risultati in termini di conclusioni sbagliate ed alto rischio di innesco di flame vari

un pò più di attenzione la prossima volta con i commenti altrimenti mi tocca sospendere