[Re:] [sh4d0w:] Responsible disclosure - BLOGOUT fórum

üzenetek

hozzászólások


joghurt
(addikt)
Blog

És akkor mihez kezdjek, ha a két kretén bokszolása mellett van egy harmadik játékos is: a laptop gyártója, aki "természetesen" saját csomagokat (nem) ad ki az eszközmeghajtókból? Tehát az egy dolog, ha mondjuk a Google kikényszeríti az nVidiából a javítást, ha utána a Dell (vagy akárki) fél évig ül ezen a frissítésen.

Szerintem leginkább (állami) jogi szabályozással lehetne nagyot dobni ezen: kimondani, hogy kötelező érvénnyel felelős a gyártó a szoftver által okozott károkért (ezt most kb. az EULA első sorával zárják ki). Egy autógyártó sem mondhatja, hogy bocs, nem működött a fék némi szoftverhiba miatt, te az autóval együtt úgysem vetted meg a szoftvert, csak a használati jogát.


Gargouille
(őstag)

Ez egy fontos probléma amit felhoztál, igazából ennek az egésznek az újragondolása lassan időszerű lenne, mert így jelen formában teljes mértékben gáz. Már régóta az persze, csak mivel az életünk egyre több aspektusa függ különféle szoftverektől, így egyre jobban feltűnik.


sh4d0w
(nagyúr)
Blog

Meg lehet kerülni az ilyen gyártói korlátozásokat - vagy legalábbis bizonyos esetekben működik. A HP szirszarra én sem tudtam direkten az Intel VGA drivert telepíteni, de a Device Manageren keresztül manuális telepítéssel megkerülhető volt.

A szoftverek körüli felelősséget valóban át kellene gondolni, mert minden felelősség a felhasználóra van tolva. Persze az sem várható el, hogy a szoftvercégek felelősséggel tartozzanak a crackelt/loaderelt cuccokért.


joghurt
(addikt)
Blog

Jómagam meg tudom oldani. De egy egységsugarú felhasználótól nem elvárható, hogy az eszköz gyártójának oldaláról letöltse az ő gépére való meghajtót (az OS még esetleg megy, de milyen driver modell, meg WHQL, meg gaming?). És amúgy is, mi van, ha épp az a kivételes eset van, hogy a gépgyártó azért nem rakta ki a saját csomagolásában, mert talált valami kompatibilitási problémát?

A szoftvercégnek nem kell felelősséget vállalnia az illegális szoftverekért. Mint ahogyan az autógyártónak sem azért, ha te kettévágod, majd szigszalaggal összekötöd a fék vezetékét.


UnA
(Korrektor)
Blog

responsible disclosure = felelősségi / felelősség-vállalási nyilatkozat.

Persze én sem vagyok nemzetközi szövegekkel foglalkozó jogász, de ez a logikus értelmezés számomra, és vannak hasonló hivatalos fordítások a szavakra.


sh4d0w
(nagyúr)
Blog

Azt hiszem, maradok az idegen nyelvű kifejezésnél... :DDD


Gargouille
(őstag)

A crackelt/mókolt cuccokért nyilván nem is kell felelősséget vállalni, de jelenleg ugye az érintetlen, jogtiszta és rendeltetésszerűen használt szoftverek hibátlan működéséért vagy a hibás működésből fakadó károkért sem vállalnak semmilyen felelősséget. Tehát szemben minden más iparággal és termékekkel, semmilyen garancia vagy szavatosság nincs a szoftveriparban. Ugyanakkor az árazásban valahogy ez nem köszön vissza, mert ehhez képest meg pofátlanul túlárazottak a szoftverek (persze meg van magyarázva).

Mást ne mondjak "Rolling release" ami gyakorlatilag (tehát nem a marketing szövegek szerint) azt jelenti, hogy félkész szoftvereket adnak el mint kész terméket, majd utólag toldozgatják-foltozgatják még egy darabig. Persze mindezt garanciavállalás nélkül. Azért megnézném mondjuk ha átállna erre például a gépjárműipar akkor abból mi lenne. :)


joghurt
(addikt)
Blog

Az egyik kulcs különbség, hogy ha kifizetsz 4millió forintot, akkor az az új Dacia a tiéd, az eladó meg x ideig szavatol a működőképességéért. Ha kifizetsz ugyanennyit egy szoftverért, csak a használati jogát veszed meg, és örülj, ha egyáltalán csinál valamit (és nem okoz kárt neked).


Gargouille
(őstag)

Ez pontosan így van. Bár sokak számára eretnek gondolat, de szerintem ez nonszensz, hogy megvásárolok (nem bérbe veszem) valamit és az utána nem az enyém. Én azt gondolom, hogy az a példány amit megvásároltam az enyém kellene, hogy legyen (ettől még nem lesznek a szerzői jogaim) és azt teszek vele amit akarok. Illetve kívülről nem befolyásolhatja egyoldalúan a felhasználásomat a gyártó. Hiába ez a gyakorlat, én ezt nem tartom helyesnek és bízom benne, hogy ezen egyszer változtatni fognak.


sh4d0w
(nagyúr)
Blog

Azért tartottam fontosnak leszögezni, mert garantáltan előkerülnének adott esetben olyanok, akik a warez cuccoknál is igényt tartanának támogatásra/garanciára.


sztanozs
(veterán)
Blog

Nem, ez lejterjakab

(itt) a responsible disclosure azt takarja, hogy csak felelősségteljesen (etikusan) hozol nyilvánosságra kényes információt (pl hagysz időt a feljesztőknek, hogy egy - még ki nem használt - sebezhetőséget javítsanak, mielőtt kirakod a netre a POC-t)...

[ Szerkesztve ]


UnA
(Korrektor)
Blog

Akkor viszont a "felelősségteljes közzététel" teljesen egyértelmű, nem tudom, mi volt vele a probléma. ;)


bLaCkDoGoNe
(veterán)

Azzal együtt, hogy egyetértek veled, ez azért némileg bonyolultabb kérdés, mint az autófékes példád: az autót egy komplett, kitesztelt rendszerként kapod meg, a gyártója elvileg az utolsó csavarig ismeri, tudja, hogy a komponensek megfelelő módon működnek együtt. Egy (vagy nagyon kis számú) "konfiguráció" van, erre kitesztelte alaposan.

Egy számítógépes környezet viszont ezerféle összetevőből állhat hardveresen és szoftveresen egyaránt, tehát ezt a fajta eljárást egy szoftver gyártója nem tudja megcsinálni akkor sem, ha lenne rá szándéka (más kérdés, hogy valószínűleg nincs is).

Nem tudom, hogy mi lenne a jó megoldás, mert a jelenlegi helyzet valóban semmilyen szinten nem kedvez a vásárlónak, és ezen tényleg változtatni kellene.


Gargouille
(őstag)

Persze, ez teljesen jogos kitétel.


Gargouille
(őstag)

"Egy számítógépes környezet viszont ezerféle összetevőből állhat hardveresen és szoftveresen egyaránt, tehát ezt a fajta eljárást egy szoftver gyártója nem tudja megcsinálni akkor sem, ha lenne rá szándéka (más kérdés, hogy valószínűleg nincs is)."

Ez egyébként egy érdekes kérdés. Szinte megoldhatatlannak tűnik vagy aránytalanul nagy költséggel járna. De ha az autós hasonlatnál maradunk, akkor tulajdonképpen az autógyártóknak is ugyanilyen nehéz a tesztelés, a különféle anyagok szilárdsági és fáradási mutatóinak vizsgálata, a különféle laborok ahol vizsgálják a hatásfokot, teljesítményt, fékerőket, a különféle bevonatokat stb., teszt pályák építése, a különféle időjárási és útviszonyok modellezése és még sorolhatnánk hosszan. De tőlük elvárjuk, hogy építsen tesztpályát, hogy végezzen törésteszteket, mérje a káros anyag kibocsátást és még ezer módon vizsgálja be a terméket mielőtt kiadja a kezéből. Ha innen nézem akkor ezek is ugyanilyen "aránytalan" költségek nekik, nyilván egy autógyártónak is sokkal egyszerűbb lenne csak letervezni és piacradobni a modellt, majd széttárni a kezét, hogy hát mindenféle környezeti tényezőt nem tud előre figyelembe venni...

Azt gondolom, hogy az igazság inkább valahol ott húzódik, hogy amikor a szoftveripar - nem is olyan ősrégen - kinőtt a semmiből, akkor még kevés olyan szoftver volt amin "fontos dolgok múltak" és ezt a keveset valóban ilyen alaposan megírták. A többi szoftver inkább szórakoztatást szolgált vagy nem volt jelentősége egy benne felejtett hibának. És így kialakult ez a fajta "anarchikus" állapot, mondhatni a szoftverekkel mindenki elnéző volt, hiszen azok "csak programok", senki nem forszírozta különösebben a felelősségvállalást, mivel fontosnak sem tartotta és érteni sem értette, hogy mi az a szoftver egyáltalán. A politikusok és döntéshozók számára egy fekete doboz volt az egész IT (ma is az), így nem ugrottak rá ennek a kérdésnek a szabályozására, ezért úgymond ez megmaradt ilyen vadnyugati világnak, amiben a szoftvercégek kiélhették magukat.

Mostanra jutottunk el oda, hogy még a hozzá nem értő átlag ember (így a politikus is) a saját bőrén kezdi el érezni, hogy mekkorára nőttek ott a háttérben ezek a cégek és milyen hatalom összpontosul a kezükben, illetve hogyan élnek vissza a ma még mindig vadnyugatinak tekinthető (vagy így rögzült) helyzetükkel. Mára viszont az életünk egyre több kritikus területe kerül át virtuális térbe, vagy függ tőle közvetlenül, így tehát egyre inkább nem mellékes, hogy a szoftverek működéséért ki és hogyan vállal felelősséget. Előbb vagy utóbb ezt a kérdést elő kell majd venni.

üzenetek