Musím uznat, že ač se webovými věcmi vůbec nezabývám, jsem velmi zvědavý na to, v čem ten vektor útoku spočívá. Zvláště pokud je to opravdu taková bomba, jak naznačuješ.
Za responsible disclosure to ale nepovažuju. Je ale fakt, že pokud je zranitelná drtivá většina webů, moc dobře se to asi dělat nedá, protože míst, která bys musel informovat, je příliš mnoho.
Že se tvoje zpráva nesetkala s pochopením, se nedivím. Kdyby přišla mně, tak bych se z tebe snažil vytáhnout podrobnější info, ale není to běžné. Bohužel ta zpráva působí tak, že chceš zejména získat nějaké ty finance a nic moc víc, takže neprojde prvním filtrem na podpoře dané firmy.
Teoreticky bys mohl z toho zkusit získat nějakou odměnu i jiným způsobem (ne seminářem). Popsat (v soukromých emailech) danou zranitelnost obecně a nabízet test/návrh řešení pro konkrétní firmy/weby. Pak by to bylo blíže mé představě responsible disclosure (která je, pravda, dost nevýdělečná :-) ).
Mimochodem, jak je na tom nečeský svět?
----------
2 + 2 = 5, for extremely large values of 2 |
