V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member Sign In
This topic created in 2690 days ago, the information mentioned may be changed or developed.
一位安全员发现了 MS 的 0day 漏洞,无视权限设置可读取任意权限用户的文件。未事先告知 MS 就把 poc 代码放在了 github 上,不久账号就被封,repo 被移除。既然 github 已属于 MS,MS 这样做无可厚非,但这给很多开发者警示如果不懂法律或规矩公开了一些代码则账号可能直接被封。
Supplement 1 · Dec 23, 2018
补充一下,题目意思是担忧 MS 收购以后,github 在处理类似问题时是否会有针对 MS 的倾向性,比如对于 MS 家的处理就特别主动及时。我不是质疑触犯法律或协议会被惩罚。
 |
1
d5 Dec 22, 2018 via iPhone
这……
|
 |
2
ronman Dec 22, 2018 via Android
这种事应该没问题吧?
|
 |
4
Phariel Dec 22, 2018 via iPhone
github.com not .org
|
 |
6
dototototo Dec 22, 2018 via Android
想知道懂法律或者规矩的开发者对于该事的看法。是 MS 做过头了还是安全员做过头了呢,双方是否会有法律方面的问题呢。🤔
|
 |
7
leavic Dec 22, 2018  1
就算 github 不是微软的,微软如果提出要求,github 应该也会删掉这个 repo,这样在没有搞定 patch 之前就直接放 exploit 的做法本来就不是合格的白帽子做法。
|
 |
9
GDC Dec 22, 2018 via iPhone
微软这么做肯定考虑过法律问题啦,那么大的公司,多少人盯着呢
|
 |
10
rekulas Dec 22, 2018
感觉你(可能 /也许 /maybe)误会 ms 了,这种行为应该属于泄露危险代码或泄露包含 crack 风险的代码,github 这几年来一直勤勤勉勉、孜孜不倦地与这类库做斗争(就是删库封号),虽然可以发邮件申诉但貌似胜率不高据说,很多人就因为无意中 fork 了别人的某个项目就被封了辛辛苦苦多年的账号。。。
|
 |
11
tanpengsccd Dec 22, 2018 via iPhone
@rekulas 比如荒野无灯
|
 |
12
vanishcode Dec 23, 2018 via Android
@tanpengsccd 恩山灯大?
|
 |
13
trn4 Dec 23, 2018 via iPhone
肯定是用户协议允许的啦,不然肯定要吃官司的
|
 |
14
ryd994 Dec 23, 2018 via Android
1.这样做违法 eula 本就会被封号。你既然知道是 0day 还随便公开,是何居心?如果不公开的话,储存在自己私有 repo 里,又是何居心? GitHub 封号不过分
2.微软前不久才完成书面上的并购,并未插手 GitHub 的运营。不排除 GitHub 想拍马屁 3.微软又不是**佳缘,为什么不通过正规途径报告 0 day ?如果你不相信微软或微软不回应或涉及多厂家,你可以报告给相对中立的 cve ? https://cve.mitre.org/cve/identifiers/index.html |
|
15
ryd994 Dec 23, 2018 via Android
”但这给很多开发者警示如果不懂法律或规矩公开了一些代码则账号可能直接被封“
一直如此。何止是被封,故意传播漏洞甚至有法律责任。 |
 |
16
deepdark Dec 23, 2018 via Android
讲真 MS 没告他都已经谢天谢地了,删 repo 封号算什么。这种不沟通直接放 0day 的 exp 的人要承担法律责任的
|
 |
17
Akkuman Dec 23, 2018 via Android
事情的经过是这样,一名挖洞人不知道怎么和微软杠上了,好像是微软的什么处理让他不开心了,然后这个任意读文件已经是他一个月(还是几个月记不清了)内放出的第四个洞了,都是给微软直接公开,还说微软就是坨屎,微软和他有什么矛盾暂且不论,就这个 github 删 repo 封号这事,我觉得是没毛病的。
|
 |
18
yksoft1 Dec 23, 2018
话说 M$这么多年这么多库,应该像这次这个 MsiAdvertiseProduct 之类没有做检查的函数多了吧
|
Select Language