Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Уязвимость iBank 2.0.1.4 12.06.02 14:51 Число просмотров: 1644
Автор: Димитрий Статус: Незарегистрированный пользователь
|
Уважаемый Дмитрий Леонов!
Запись в RIPN'е о владельце домена bugtraq.ru, а также наличие на сайте копирайта и ссылки на Ваш e-mail, позволили мне сделать предположение, что портал BugTraq.RU модерируете именно Вы.
В связи с этим я обращаюсь к Вам, как к модератору портала, и, по всей видимости, Редактору новостей RSN (судя по Вашей периодическому постингу RSN в фидошную эху ru.security).
Размещенная на Вашем сайте новость - http://www.bugtraq.ru/rsn/archive/2002/06/14.html - об обнаружении уязвимости в системе iBank 2 при использовании внешнего СКЗИ является тенденциозной, явно носит "жареный" характер, и что самое печальное - не соответствует действительности.
Чуть менее недели назад я комментировал ситуацию с использованием ПБЗИ "Базис-защита" Александру Комлину. Я считал, что мне удалось донести до Александра необоснованность его выводов, ибо исходные данные, от которых отталкивался г-н Комлин, были ошибочны (по всей видимости из-за поверхностного ознакомления с системой, из-за горячности и скорополительности эксперта, а также из-за, к сожалению, явного недостатка квалификации в нюансах Java-security).
Позиция компании "БИФИТ" всегда была, есть и будет открытой в отношении вопросов информационной безопасности разрабатываемого нами банковского ПО. Мы всецело приветствуем и поддерживаем проведение независимых исследований наших разработок. Более того, мы постоянно привлекаем сторонних специалистов для проведения независимых экспертиз.
В тоже время я бы просил впредь более деликатно относиться к публикациям новостей о найденных багах в банковском и финансовом ПО. Прежде чем публиковать подобные жаренные новости следует максимально подробно и всесторонне ознакомиться с затронутыми экспертом вопросами, оценить глубину знаний экспертом исследуемой системы.
То, что приемлемо и полезно с пиаровской точки зрения для фришных интернет-сервисов и шароварных программ, совершенно недопустимо для сферы финансового ПО. Подобные жаренные всесторонне непроверенные новости в секторе банковского ПО чреваты колосальными убытками для пользоваталей этих решений.
Что если завтра, в четверг, 13 июня, какой-нибудь большой и серьезный клиент не менее серьезного банка позвонит в свой банк, и не разобравшись в сути вопроса, а также используя Вашу непроверенную новость всего лишь как повод, заявит о своем уходе из этого банка, и последний потеряет гарантированно зарабатываемые ххх k$ в месяц на этом клиенте? Что тогда? Ведь люди работают, трудятся....
Дмитрий, вчера я постарался максимально подробно прокомментировать письмо г-на Комлина в форуме Crypto на BugTraq.ru - http://www.bugtraq.ru/cgi-bin/forum.mcgi?type=sb&b=15&m=50536 . В тоже время я считаю этот комментарий совершенно недостаточным, ибо кроме форума еще была "новость".
"Новость", абсолютно не соответствующая действительности, вдобавок была изложена в стиле ответственного редактора газеты "Утренняя Заря и Боевой Клич округа Джонсон" из знаменитого рассказа Марка Твена "Журналистика в Теннесси" - http://www.twain.narod.ru/ten.htm
Дмитрий, Ваш портал пользуется заслуженным уважением, Ваш портал посещает большое количество IT-специалистов, работающих в том числе и в банковской сфере. Подобная жаренная "новость" нам и нашим клиентам точно в минус. В очень большой минус. К сожалению, далеко не все будут разбираться в перепетиях и тонкостях, в рассуждениях эксперта и в комментариях разработчика. И очень многие вынесут только негатив из этой новости, собранной, кстати из фраз бурного и эмоционального письма г-на Комлина.
Со стороны разработчика считаю совершенно невозможным удаление этой "новости" с Вашего сайта. "Новость" уже прозвучала, уже "выстрелила". Слово сказано. Удалять либо редактировать новость недопустимо.
Единственным корректным и примемелмым для нас выходом является размещение в новостях RSN официального опровержения.
Надеюсь на понимание Вами, Дмитрий, нашей позиции.
С уважением, Репан Димитрий
Исполнительный директор компании "БИФИТ" - www.bifit.com
Тел/факс (095) 465-4760, 465-0253
E-mail: rdv@bifit.com
|
|
|
подробно о проекте
Анализ криптографических сетевых...
